Cet article s’inscrit dans une série de trois billets de blog dont l’objet vise à interroger ce qu’est la cyber-sécurité aujourd’hui, avec en cible la façon dont elle est appréhendée par les entreprises. Cette ébauche de réflexion est la résultante d’un vécu professionnel, d’une écoute attentive de ce qui s’exprime dans différentes communautés cyber-sécurité, et de lectures diverses. Cet article reflète avant-tout une vision personnelle, ainsi qu’une volonté, sans ambition, de diffuser des convictions portant sur l’essence même de la matière.

I. Approche du cyber et de la cyber-sécurité : tentative de définition

Sujet à forte exposition médiatique et aux enjeux multiples, « cyber » et « cyber-sécurité » sont des concepts peu ou mal compris du grand public, des décideurs, et même parfois des professionnels du domaine eux-mêmes. Commençons par en définir les contours pour ensuite dégager une vision et des convictions applicables à la gestion de la cyber-sécurité en entreprise.

Intuitivement, le terme « cyber » réfère à une abstraction englobante et multidisciplinaire des concepts et usages relatifs aux technologies informatiques. Sur cette base, le poids prépondérant d’Internet et des réseaux dans les sociétés modernes induit de facto une omniprésence de la « cyber » dont les champs d’application s’avèrent démesurément vastes (multimédia, communications, robotique et informatique industrielle, Intelligence Artificielle, etc.).

Dans ce contexte, nous désignons la cyber-sécurité comme la discipline, et par extension, les moyens mis en œuvre, visant à protéger les actifs informatiques ou informationnels d’une entité, selon une approche conduite par la connaissance des enjeux organisationnels, humains, et technologiques. Cette notion de protection est à mettre en relation directe avec les menaces qui portent sur ces actifs : la cyber-sécurité est ainsi la discipline de la gestion des risques informatiques ou informationnels. Nous excluons du champ d’analyse de la cyber-sécurité les vecteurs propres à l’influence sur Internet, qui peuvent capitaliser sur l’aspect cyber en tant que media pour porter atteinte ou exploiter des actifs notamment informationnels, mais qui relèvent de la discipline de la cyber-influence (à laquelle sont associés les aspects de lutte informationnelle et de guerre de l’information : désinformation, influence en ligne, etc.).

II. La cyber-sécurité et ses enjeux : une frontière parfois indistincte

Risques économiques, réputationnels, risque d’atteinte à la propriété intellectuelle ou aux activités de production : au sein d’une société de plus en plus numérisée et conjointement à une recrudescence des cyber-attaques, la cyber-sécurité est aujourd’hui considérée à raison comme « un enjeu décisif de survie des entreprises » tel que souligné dans un rapport d’information du Sénat de 2021 [1].

Pour autant, le périmètre d’action de la cyber-sécurité demeure circonscrit à celui des systèmes informatiques et de leurs interfaces avec le monde physique : cette frontière s’avère parfois difficile à appréhender, et la nature des enjeux associés peut ainsi faire l’objet de débat. Sans minimiser les risques pour les organisations, réels, une prise de recul critique semble nécessaire pour permettre la bonne appréciation du sujet cyber-sécurité. Notamment, des biais de lecture que nous allons expliciter contribuent à renvoyer une image imprécise ou erronée de la cyber-sécurité, et nuisent in fine au processus de gestion de la cyber-sécurité en entreprise. Paradoxalement, les entreprises grand-comptes dotées d’un organe dédié à la gestion de la cyber-sécurité ne sont pas épargnées par ces défauts d’appréciation.

III. Les angles morts de la cyber-sécurité et leurs impacts sur la gouvernance des organisations

(i) Une complexité intrinsèque à la matière qui crée une barrière à l’entrée

Par nature, la cyber-sécurité est complexe. Cette complexité est la résultante de l’étendue et de la profondeur de son champ d’application, ainsi que de l’évolution rapide du paysage technologique.

Le champ d’application de la cyber-sécurité est multidisciplinaire : il englobe invariablement des sujets relevant de la gouvernance de l’entreprise (modèles opérationnels, fonctions organiques, appréhension stratégique du risque, gestion de projets, etc.), de l’ingénierie informatique (conception d’architecture, implémentation d’outillage, gestion des vulnérabilités, réponses aux attaques, etc.), jusqu’à la recherche en informatique fondamentale et appliquée (cryptographie, attestation formelle d’environnements logiciels, etc.). Cette multidisciplinarité s’accompagne d’une profondeur d’analyse qui permet une exploration dans des niveaux de détails de plus en plus fins de chaque thème de la cyber-sécurité, qui chacun considéré séparément présente une richesse conceptuelle propre. La cyber-sécurité se distingue ainsi par une double dimension, en termes d’étendue disciplinaire, et de profondeur dans l’expertise.

De plus, son champ d’application n’a cessé de croître au cours des deux dernières décennies avec les ruptures technologiques qui se sont opérées dans le paysage informatique : ces nouvelles capacités sont à l’origine de nouveaux usages et modes de fonctionnement qui s’avèrent aujourd’hui structurants pour les organisations (tels que l’émergence de l’informatique en nuage – cloud –, ou le concept d’industrie 4.0). Ces nouveaux modèles opérationnels ont fait émerger en peu de temps des métiers et expertises neufs, ainsi que des risques cyber spécifiques. Ainsi, l’étendue technique et fonctionnelle de la cyber-sécurité décline de nombreux métiers spécialisés [2], et des sous-domaines d’expertise propres [3]. Cette multidimensionalité qui s’inscrit dans un paysage en évolution constante crée une complexité de lecture, qui érige une barrière à l’entrée dans la discipline. Il est ainsi communément admis que la cyber-sécurité est un sujet d’experts. Cette barrière à l’entrée est de nature à créer un clivage entre le sachant et le non-sachant. Le risque induit est alors d’abandonner les réflexions cyber-sécurité aux seuls experts du domaine, sans contre-pouvoir. La cyber-sécurité au sein d’une organisation ne peut exister pour elle-même : elle doit être au service des intérêts qu’elle protège, donc de son métier. Une cyber-sécurité qui évoluerait en pure autonomie sans s’imprégner du contexte métier qu’elle sert, risque de créer un désalignement avec les objectifs stratégiques de l‘organisation. L’apport de valeur des sachants doit donc répondre à des objectifs précis d’apport d’expertise (interne ou externe) aux différents niveaux fonctionnels, qui se concrétisent également par une appropriation du sujet cyber-sécurité par le métier.

(ii) Des biais de médiatisation qui entretiennent une psychose technologique

La cyber-sécurité bénéficie d’une exposition médiatique de plus en plus prononcée [4]. Cependant, cette couverture médiatique contribue à renvoyer une image partiellement erronée de la cyber-sécurité et à entretenir une psychose technologique.

Une publication récente a tenté d’analyser et de restituer les biais dans le traitement médiatique des conflits cyber (Makridis, Maschmeyer, Smeets, 2023, If it Bleeps it Leads? - Media Coverage on Cyber Conflict and Misperception). Celle-ci documente notamment l’existence d’un parti pris technologique dans l’exposition médiatique de ces conflits : les menaces qui présentent une sophistication technologique supérieure et qui sont aisées à retranscrire auprès du grand public, vont bénéficier d’une couverture plus importante. D’après les auteurs de la publication, ceci contribue à déformer la perception du grand public sur le niveau de menace réel : ces biais sont de nature à augmenter la perception de la dangerosité d’une attaque cyber en mettant l’accent sur des menaces « technologiquement nouvelles, complexes, et incontrôlables ». Les chercheurs vont plus loin en affirmant que même en l’absence d’exposition d’effet destructeur tangible, ces biais médiatiques contribuent à nourrir un sentiment de risque incontrôlé qui persiste, et s’accroit : aujourd’hui, la perception de la menace d’origine cyber apparait pour le grand public comme plus « existentielle » que d’autres types de menaces [5].

Cette distorsion médiatique peut être liée à la recherche d’un certain sensationnalisme alignée sur une logique d’attractivité d’audience. Egalement, la difficulté de restituer justement et finement la complexité de la cyber-sécurité au grand public peut être à l’origine de mauvaises retranscriptions. Le terme « cyber-guerre », largement usité dans les médias, illustre à lui seul un détournement du vocabulaire à des fins sensationnalistes, tel que mis en perspective dans une note de la Fondation pour la Recherche Stratégique : « l’expression “cyberguerre” sonne bien. Elle est régulièrement employée par des journalistes ou des commentateurs peu avisés. Pourtant, elle est fausse […]. Quel est alors [le] critère distinctif [de la guerre] ? La létalité : la mort violente de vies humaines […]. Désormais, le critère de la guerre qui demeure est celui de l’existence – ou non – de morts humaines touchant soit les parties militaires au conflit, soit les populations environnantes (civiles) […]. Constatons que pour l’heure, il n’y a pas de mort directement imputable à une agression cyber. Aujourd’hui, le cyber ne tue pas ; du moins pas encore […]. Cela ne veut pas dire que le cyber ne soit pas dangereux, ni qu’il ne soit dans la guerre » [6].

Ainsi, ces biais médiatiques alimentent une appréhension du cyber-espace et des menaces associées : en maintenant une forme de coercition cognitive, ils sont de nature à entraver le processus de prise de décision libre et éclairé de chacun sur les sujets cyber, pouvant mener à des choix irrationnels conduits par cette appréhension. Par l’intermédiaire des médias, cette emprise cognitive concerne autant le grand public que les dirigeants d’organisations qui n’ont pas vocation à être des sachants du sujet : le processus décisionnel dans la gouvernance cyber-sécurité est alors impacté. Ceci est d’autant plus saillant lorsque les professionnels du domaine eux-mêmes contribuent à relayer cette emprise, souvent dans une logique d’impulser une dynamique cyber-sécurité dans les organisations [7].

(iii) Un brouillard de guerre entretenu par l’effervescence du marché : le marketing pour donner corps à des ruptures technologiques factices

Le marché de la cyber-sécurité ne connait pas la crise : il est en forte croissance [8] et présente de solides perspectives de développement à long terme. Dans ce contexte effervescent, un marketing exacerbé masque de nombreuses réalités de la cyber-sécurité et génère un brouillard de guerre.

En adoptant un angle de vue systémique, nous pouvons faire l’hypothèse que les biais de lecture liés à la complexité de la matière, et la médiatisation à tendance psychotique de la cyber-sécurité, sont entretenus, consciemment ou inconsciemment, par les professionnels du secteur eux-mêmes, dans le contexte de ce marché frénétique qui le permet et le favorise. En premier lieu, la couverture médiatique du sujet cyber-sécurité repose pour partie sur les publications des professionnels du secteur qui analysent et documentent des tendances au titre d’expert. Ces publications, qui sont ensuite reprises par les médias, s’inscrivent dans un contexte de partage et de diffusion d’informations, mais ont également des visées marketing : elles exposent des compétences et des capacités pour valoriser une activité ou un produit, et consolider une image de marque. En ce sens, les professionnels contribuent indirectement au parti pris technologique et à la psychose afférente évoqués précédemment : le message marketing sous-jacent est celui du besoin, pour les organisations, d’investir dans des produits ou services de pointe afin de faire face à un écosystème de menaces technologiques avancées.

En second lieu, dans le contexte concurrentiel d’un marché effervescent à forte dimension technologique, l’innovation apparait naturellement comme un vecteur différenciant. Cependant, à l’heure des réseaux sociaux et de l’hyper-communication, des professionnels du secteur entretiennent une novlangue technologique qui accentue artificiellement la complexité du sujet, en la drapant du sceau de l’innovation ou de la rupture technologique. Cette novlangue apparait alors comme un instrument pour imposer un rapport de force par le langage : la création de nouveaux termes et concepts, lorsqu’elle est caractérisée par une artificialité imperceptible par le non-sachant, alimente un mysticisme de la cyber-sécurité, qui s’avère difficile à confronter sans rentrer dans le détail de ces néo-concepts. A titre illustratif, évoquons les terminologies : antivirus, EDR, XDR, MDR, EPP, ITDR. Bien connus des spécialistes, ces termes évoquent tous un outillage informatique mis à disposition par des éditeurs de solutions logicielles cyber-sécurité pour apporter une protection contre les programmes informatiques malveillants. Chacun des termes est censé refléter une amélioration technologique par rapport à son prédécesseur terminologique. D’un point de vue rationnel dépassionné, notons qu’il s’agit de programmes informatiques propriétaires dont il est difficile d’évaluer finement la qualité sans travaux d’application dédiés, tant celle-ci dépend de nombreux facteurs [9]. L’évolution terminologique en œuvre, à l’initiative des éditeurs logiciels, fait le jeu de l’obscurcissement des concepts : en faisant passer l’XDR (« eXtended Detection and Response ») dans le langage courant comme une amélioration de l’EDR (« Endpoint Detection and Response ») sans en donner une définition normative absolue, on acte une logique purement commerciale et marketing. Diffusée au sein du microcosme de la cyber-sécurité, cette évolution terminologique contribue à l’entretien d’un entre-soi excluant les non-initiés. Des argumentaires similaires peuvent être développés sur l’apport de valeur intrinsèque du DevSecOps comparativement au DevOps, ou sur celui du SOAR (« Security Orchestration, Automation, and Response ») comparativement au SIEM (« Security Information and Event Management »), ou encore plus récemment relativement au XSIAM (« eXtended Security Intelligence and Automation Management ») … et de tant d’autres.

Cette novlangue technologique est subversive en ce sens qu’elle contribue à apporter un faux sentiment de sécurité : les organisations qui intègrent ce vocable sans confronter la réalité du concept, et son apport factuel dans leur stratégie de cyber-sécurité, s’exposent à des déconvenues [10]. Par ailleurs, ce sentiment de sécurité est souvent renforcé par un coût d’investissement associé : celui-ci, lorsqu’il est significatif à l’échelle de l’organisation, permet de démontrer factuellement une ambition, mais ne garantit pas à lui seul un résultat probant. Ici, il est primordial d’intégrer qu’il n’y a pas de protection absolue, ni de solution miracle, qui seraient antinomiques par essence à ce qu’est la cyber-sécurité. La construction de capacités cyber-sécurité s’inscrit nécessairement dans une approche structurée et équilibrée : dans cette réflexion globale, l’exclusion des buzzwords ne pourra être que bénéfique.

La mise en avant de capacités et le partage de connaissance ne sont pas critiquables, et sont au contraire à valoriser : il appartient cependant à l’audience de faire la distinction entre ce qui révèle un résultat d’analyse probant avec une valeur intrinsèque, et ce qui n’est qu’un concept artificiel sans apport de valeur dimensionnant. Ce qui apparait basiquement comme un truisme n’est pourtant pas aussi évident dans le monde de la cyber-sécurité, notamment au regard des biais de lecture que nous exposons qui contribuent à enfermer cognitivement le grand public et les décideurs dans des schémas mentaux non-rationnels.

A suivre…

Dans le prochain billet de blog, nous évoquerons les biais de lecture liés :

• aux limites des référentiels cyber-sécurité et d’une approche par la conformité ;
• à la reconnaissance de l’expertise cyber-sécurité.

Ce billet est à retrouver ici : Démystifier la cyber-sécurité pour mieux la rationaliser : proposition d’une grille de lecture (2/3)

Dans le troisième et dernier billet, nous nous attacherons à produire une grille de lecture permettant de remettre au centre de la réflexion l’essence même de la matière cyber-sécurité, épurée des biais de lecture évoqués.

Ce billet est à retrouver ici : Démystifier la cyber-sécurité pour mieux la rationaliser : proposition d’une grille de lecture (3/3)

Références

[1] Sénat. (2021). La cybersécurité des entreprises - Prévenir et guérir : Quels remèdes contre les cyber virus ? - Rapport d’information n° 678 (2020-2021).

[2] Agence Nationale de la Sécurité des Système d’Information, & Syntec Numérique. (2020). Panorama des métiers de la cybersécurité - Edition 2020.

[3] Henry Jiang. (2021). Map of Cybersecurity Domains - Version 3.1.

[4] Victor Poitevin. (2019). Médias : la cybersécurité est-elle devenue ‘bankable’ ?. Stormshield.

[5] Christos Makridis, & Lennart Maschmeyer, & Max Smeets. (2023). If it Bleeps it Leads? – Media Coverage on Cyber Conflict and Misperception. p19-20.

[6] Olivier Kempf. (2019). Du cyber et de la guerre. Fondation pour la Recherche Stratégique, Note de la FRS n°17/2019.

[7] Anthony Caldwell. (2021). The Appropriation of Fear as a Context by Cybersecurity. Journal of Internet Technology and Secured Transactions, Volume 9, Issue 1.

[8] Alliance pour la confiance numérique. (2023). Observatoire de la Filière de la Confiance Numérique.

[9] Note de l’auteur : Les moteurs de détection de programmes malveillants se comportent comme des « boites noires » dont on ne peut prédéterminer le comportement et l’efficacité sans travaux de recherche dédiés ; au-delà de la qualité de la détection, les aspects de configuration et d’intégration de l’écosystème antiviral au sein du système d’information d’une organisation sont déterminants sur l’inhibition des programmes malveillants.

[10] Ross Haleliuk. (2022). Psychology of marketing and selling cybersecurity.