Démystifier la cyber-sécurité pour mieux la rationaliser : proposition d’une grille de lecture (2/3)
La cyber-sécurité est une matière complexe, conséquence de sa multidimensionnalité et de la profondeur d'analyse de chacune de ses dimensions. Celle-ci est au coeur d'un marché en croissance affichant encore de solides perspectives de développement. A l'ère de la professionnalisation du sujet, elle reste pourtant mal appréhendée par les entreprises, ce sur de nombreux aspects. Explicitons certains biais de lecture qui contribuent à sa mystification, et tentons de porter une approche rationnelle et structurée pour impulser une dynamique positive. - Partie 2/3.
Publié le 07/02/2024 par Sébastien DELLAC
Analyse Stratégie
12 min de lecture
Cet article s’inscrit dans une série de trois billets de blog dont l’objet vise à interroger ce qu’est la cyber-sécurité aujourd’hui, avec en cible la façon dont elle est appréhendée par les entreprises. Cette ébauche de réflexion est la résultante de nombreuses expériences professionnelles, de partages au sein de communautés du monde la cyber-sécurité, et de lectures diverses. Il reflète avant-tout une vision personnelle, ainsi qu’une volonté de modestement diffuser des convictions portant sur l’essence même de la matière.
Le début de l’article est à retrouver ici : Démystifier la cyber-sécurité pour mieux la rationaliser : proposition d’une grille de lecture (1/3)
III. Les angles morts de la cyber-sécurité et leurs impacts sur la gouvernance des organisations
(iv) Une notion d’intangibilité de la cyber-sécurité : les limites de l’évaluation, des frameworks, et de la conformité règlementaire
Il n’existe pas de métrique ou de définition absolue de la cyber-sécurité pour l’entreprise. Malgré l’émergence d’un marché de la notation cyber-sécurité (aligné avec une logique de prise en compte de la cyber-sécurité dans le contexte assurantiel [11]), de la démocratisation des référentiels et cadres de travail (NIST, CIS20, ISO27000, MITRE, TIBER-EU, etc.), ainsi que du renforcement des cadres règlementaires (RGS, RGPD, NIS 2, DORA, etc.), la problématique de l’objectivation rationnelle d’une posture cyber-sécurité de l’entreprise n’admet pas de réponse évidente.
Cette limite de l’évaluation est soulignée dans le rapport d’information du Sénat de 2021 sur la cyber-sécurité : « Conformité et sécurité ne vont pas nécessairement de pair. Une organisation peut être conforme sans pour autant atteindre un niveau de sécurité satisfaisant. Aborder la sécurité uniquement à travers le prisme de la conformité à des normes peut avoir pour objectif premier de se couvrir juridiquement. La notation s’appuie presque intégralement sur des analyses de vulnérabilités, sans tenir compte du contexte spécifique de l’entreprise et de son exposition aux risques. L’approche par les risques, individualisée, couplant audit interne et externe, reste donc indispensable et permettra de combiner une analyse précise des vulnérabilités techniques mais aussi humaines et organisationnelles de l’organisation et une vision à 360° du contexte externe (menaces) » [12].
Dans le même esprit, les limites des cadres de travail (frameworks) tiennent principalement dans la modélisation imparfaite du paysage de la cyber-sécurité, en lien avec sa complexité. Un cadre de travail reste une représentation, qui se veut objective, mais ne peut être exhaustive par nature : son apparence scientifique réduit la réalité à un nombre contraint de critères parmi un océan de concepts technologiques. Tout cadre de travail est donc une aide à l’analyse qui impose une interprétation : sa pertinence dans le contexte, la profondeur d’analyse dédiée à chaque point de contrôle et leur compréhension même, restent la responsabilité de celui qui le manipule (que ce soit dans une démarche de construction d’une posture cyber-sécurité pour l’organisation, ou dans un processus d’évaluation ou d’audit). L’application d’un cadre de travail cyber-sécurité est ainsi fondamentalement marquée par une philosophie propre, et ne peut garantir en soi une reproductibilité absolue, ni même partielle, sur la base seule de ce qui est documenté dans le référentiel.
Ceci amène légitimement la question du cadre règlementaire qui impose à de nombreuses organisations une conformité à des référentiels, en France et en Europe [13]. Ces impulsions règlementaires contribuent indéniablement à une amélioration générale du niveau de cyber-sécurité en contraignant légalement les organisations à s’emparer du sujet. D’expérience, nous observons cependant une tendance à ce que les organisations concernées tombent dans une logique de conformité qui n’embrasse pas la pleine mesure des enjeux de cyber-sécurité associés. Cette tendance, qui mériterait d’être objectivée, peut s’expliquer par un défaut de maturité global dans la compréhension de bout en bout de ces enjeux, cumulée à une pression règlementaire dont le seul critère d’évaluation reste in fine la conformité aux textes de lois. Les limites à l’objectivation de cette tendance sont directement liées à la confidentialité qui entoure ces processus de gouvernance cyber-sécurité : c’est même l’objet des réglementations que d’introduire des règles de classification et de protection des données sensibles, dont la stratégie cyber-sécurité d’un Système d’Information et son implémentation peuvent faire partie.
Au-delà de la question des métriques d’évaluation objectives, une stratégie de cyber-sécurité est nécessairement subordonnée à des arbitrages stratégiques (à l’échelle de l’organisation) : ceux-ci comportent leurs parts de subjectivité (par exemple l’appétence au risque, le choix des modes de calcul de coûts et de rentabilité, etc.) et peuvent difficilement être modélisés de façon générique au sein de référentiels cyber-sécurité. Les référentiels et cadres de travail constitueront ainsi une aide à l’analyse de la posture en définissant des lignes directrices, mais pas une ambition propre : cette ambition doit être pensée en dehors d’un cadre normatif contraint.
(v) La difficile reconnaissance de l’expertise cyber-sécurité : questionner l’apport de valeur des experts et l’auto-proclamation
L’appropriation du sujet cyber-sécurité par les organisations peut mobiliser diverses expertises. Se pose alors la question de l’adéquation de l’apport d’expertise dans un contexte où il doit intervenir à différents niveaux fonctionnels, et de sa valeur ajoutée, perçue et intrinsèque.
La notion d’expertise en cyber-sécurité est en soi un dilemme tant le champ d’application est multidimensionnel et granulaire dans son degré de spécialisation : ce niveau de granularité décline différents types d’expertises, allant de la plus généraliste (spécialisation sur un spectre large mais nécessairement peu profond, par exemple le profil du Responsable de la Sécurité des Systèmes d’Information d’entreprise), au plus spécialisé (spécialisation sur un spectre unidimensionnel mais avec une ambition dans la profondeur d’analyse, par exemple l’expert forensique). Comme les activités professionnelles de la cybersécurité ne sont pas règlementées [14], elles sont généralement accessibles sans restriction et aucune condition n’est nécessaire pour revendiquer une expertise. Dans le contexte d’un marché porteur, cumulé à une pénurie de profils qualifiés [15] (en France et dans le monde), les entreprises et les candidats ont bien compris l’intérêt commercial de se positionner sur le sujet. Cet appel d’air sur ce besoin d’expertise facilite l’auto-proclamation de l’expertise, et particulièrement une fois que l’on a acté la notion d’intangibilité de la cyber-sécurité précédemment évoquée. Le rapport du Sénat de 2021 souligne à ce titre : « L’enquête révèle également que de nombreux salariés travaillent dans la cybersécurité sans disposer de connaissances complètes en la matière » [16].
Pour conter-balancer cette absence de régulation, il existe de nombreuses certifications portées par des organismes spécialisés, dont l’objet est d’attester d’un niveau de compétences ou de connaissances afin d’étayer une crédibilité professionnelle. Le défaut des certifications est qu’elles ne sollicitent que des connaissances déclaratives, ou basées sur des scénarios ou exercices démonstratifs types. Aucune certification ne répond suffisamment finement aux enjeux globaux de la cyber-sécurité pour l’organisation : une certification permet seulement de valider qu’un candidat a récité les concepts thématiques propres attendus lors du passage de l’examen. Pour autant, on peut remettre en doute le fait que ceci constitue une plus-value certaine lorsqu’il s’agit d’apporter une réponse aux besoins des organisations.
Pour étayer ce propos : une étude académique (Curtis, 2022, Creating the Next Generation Cybersecurity Auditor), dont l’objet était d’analyser dans quelle mesure les compétences d’auditeurs cyber-sécurité influaient sur la qualité de résultats d’audit, et in fine sur la posture cyber-sécurité de l’entreprise, documente qu’une certification en cyber-sécurité ne constituerait pas une plus-value intrinsèque en termes de compétences [17]. En particulier, cette étude pointe que de nombreuses certifications dans la cyber-sécurité privilégient l’apprentissage par cœur plutôt que l’acquisition de compétences, et que comparativement, les professionnels agréés d’une certification faisant office de standard reconnu sur le marché ne sont pas plus performants que les professionnels non certifiés [18]. L’auteur de la thèse démonte également le paradigme selon lequel le nombre d’années d’expérience constituerait un facteur marquant un niveau de compétence : il y a selon lui une confusion sur le marché de la cyber-sécurité entre le nombre d’années où un professionnel est exposé au sujet cyber-sécurité, et le nombre d’années où il continue son développement de compétences [19]. Dans le contexte de l’évolution rapide des technologies informatiques, nous pouvons étendre la réflexion sur la difficulté et l’effort nécessaire pour les professionnels de maintenir à jour une compréhension fine des sujets sur la durée d’une carrière, et ne pas se retrouver dépassés par la technologie sans même le conscientiser.
Ces considérations sur l’expertise ne sont pas l’exclusivité de la cyber-sécurité et s’inscrivent dans le cadre plus global de la gestion et la reconnaissance de l’expertise en entreprise. Dans une thèse de recherche dédiée au sujet de la gestion des experts scientifiques et techniques en entreprise (Lelebina, 2014, La gestion des experts en entreprise), indépendamment de la cyber-sécurité, l’auteure documente les difficultés rencontrées par les entreprises pour partager une définition de l’expertise, évaluer les connaissances des experts, distinguer les niveaux d’expertise entre eux, identifier la valeur des savoirs généralistes techniques au sein de l’expertise, mais également et surtout, s’assurer que les capacités portées par l’expert sont réellement utiles à l’entreprise [20]. Pour dépasser ces limites d’appréciation, l’auteure suggère de redéfinir l’approche de l’expertise en considérant deux dimensions principales : une liée à la « dynamique du savoir » de l’expert, l’autre aux besoins propres de l’organisation. Pour l’auteure, la « dynamique du savoir » qui permet d’assumer un rôle d’expert est caractérisée par un temps d’apprentissage sur le temps long (critère indicatif, non discriminant), un développement constant de connaissances, une maitrise de nature pratique, théorique, systématique, stratégique, ou prospective, et également « un fort investissement subjectif de l’expert » dans son domaine d’expertise (ce dernier critère qui s’inscrit en dehors du cadre cognitif pur, a pour objet d’associer la notion d’expertise à une volonté propre de l’expert guidée par une certaine passion pour l’objet d’étude et ses enjeux). La seconde dimension, axée sur le besoin de l’organisation, vise à associer des besoins en expertise à une typologie de missions et d’attendus (activité de recherche, assistance technique pointue, conseil stratégique, capitalisation de connaissances, etc.). L’expertise se conçoit ainsi alors comme une relation, dans laquelle l’organisation joue un rôle central dans la définition de ses besoins de savoirs et de compétences. Sur cette base, l’auteure propose une modélisation pour distinguer les niveaux d’expertise entre eux : le premier niveau d’expertise est caractérisé par des compétences spécialisées sur le domaine d’étude, le deuxième niveau associe en complément « des capacités d’approfondissement, d’innovation et de diffusion de l’expertise », et le troisième et dernier niveau se caractérise par une « dimension stratégique et anticipative », c’est-à-dire une « capacité à voir au-delà de son domaine de compétence et d’intégrer des enjeux transversaux » [21].
Ces enseignements semblent directement applicables au monde de la cyber-sécurité et offrent des lignes directrices qui permettent de rationnaliser l’approche de construction d’une posture cyber-sécurité pour l’entreprise, et les besoins d’expertise afférents. En particulier, cela appuie la nécessité pour l’organisation d’impulser cette construction, sans la déléguer unilatéralement aux experts, qu’ils soient internes ou externes. Selon cette logique, le biais d’auto-proclamation d’expertise semble atténué : il y a une reconnaissance mutuelle entre un expert, qui a des compétences correspondant à un besoin exprimé de façon indépendante, et une organisation qui a identifié en conscience ses besoins. L’évaluation de l’expert dans son apport de compétence s’opère alors sur la base d’une atteinte plus factuelle des attendus d’expertise exprimés par l’organisation. Toutefois, cela implique de la part de l’expert une bonne transposition des sujets techniques en une abstraction rigoureuse des risques métiers dans le langage de l’organisation.
A suivre…
Le postulat que nous faisons est que ces biais de lecture nuisent au quotidien à la gestion de la cyber-sécurité par l’entreprise. Nous proposerons dans la suite de l’article une grille de lecture pour tenter d’échapper à ces biais.
Ce billet est à retrouver ici : Démystifier la cyber-sécurité pour mieux la rationaliser : proposition d’une grille de lecture (3/3)
Références
[11] Raphaële Karayan. (2023). Jusqu’où le cyber rating peut-il s’imposer dans l’assurance cyber ?. L’Usine Digitale.
[12] Sénat. (2021). La cybersécurité des entreprises - Prévenir et guérir : Quels remèdes contre les cyber virus ? - Rapport d’information n° 678 (2020-2021).
[13] Note de l’auteur : Par exemple, le ”Référentiel Général de Sécurité”, qui s’applique dans le contexte français aux autorités administratives et leur écosystème depuis maintenant plusieurs années, ou la directive européenne NIS 2 ( ”Network and Information Security 2”) qui entrera en vigueur en France au deuxième semestre 2024 après transposition au niveau national et concernera des milliers d’entreprises françaises.
[14] Institut National de la Propriété Industrielle. (s.d.). Annuaire des activités et professions réglementées.
[15] Patrice Chelim. (2023). Peut-on en finir avec la pénurie de ressources en cybersécurité en France ?. Forbes France.
[16] Sénat. (2021). La cybersécurité des entreprises - Prévenir et guérir : Quels remèdes contre les cyber virus ? - Rapport d’information n° 678 (2020-2021).
[17] Blake Curtis. (2022). Creating the Next Generation Cybersecurity Auditor: Examining the Relationship between It Auditors’ Competency, Audit Quality, & Data Breaches. Capitol Technology University. p 10-11.
[18] Blake Curtis. (2022). Creating the Next Generation Cybersecurity Auditor: Examining the Relationship between It Auditors’ Competency, Audit Quality, & Data Breaches. Capitol Technology University. p 43.
[19] Blake Curtis. (2022). Creating the Next Generation Cybersecurity Auditor: Examining the Relationship between It Auditors’ Competency, Audit Quality, & Data Breaches. Capitol Technology University. p 335.
[20] Olga Lelebina. (2014). La gestion des experts en entreprise. Business administration. Ecole nationale supérieure des mines de Paris, 2014. French. <NNT : 2014ENMP0027>. <tel-01123778>. p 159-161.
[21] Olga Lelebina. (2014). La gestion des experts en entreprise. Business administration. Ecole nationale supérieure des mines de Paris, 2014. French. <NNT : 2014ENMP0027>. <tel-01123778>. p 161-166.