La cyber-sécurité est une matière complexe, conséquence de sa multidimensionnalité et de la profondeur d'analyse de chacune de ses dimensions. Celle-ci est au coeur d'un marché en croissance affichant encore de solides perspectives de développement. A l'ère de la professionnalisation du sujet, elle reste pourtant mal appréhendée par les entreprises, ce sur de nombreux aspects. Explicitons certains biais de lecture qui contribuent à sa mystification, et tentons de porter une approche rationnelle et structurée pour impulser une dynamique positive. - Partie 3/3.
Publié le 14/02/2024 par Sébastien DELLAC
Analyse Stratégie
7 min de lecture
Cet article s’inscrit dans une série de trois billets de blog dont l’objet vise à interroger ce qu’est la cyber-sécurité aujourd’hui, avec en cible la façon dont elle est appréhendée par les entreprises. Cette ébauche de réflexion est la résultante de nombreuses expériences professionnelles, de partages au sein de communautés du monde la cyber-sécurité, et de lectures diverses. Il reflète avant-tout une vision personnelle, ainsi qu’une volonté de modestement diffuser des convictions portant sur l’essence même de la matière.
Les articles précédents sont à retrouver ici :
Les biais de lecture qui ont été exposés contribuent à complexifier le rapport de l’organisation à la cyber-sécurité. Il apparait nécessaire aujourd’hui de rationaliser l’approche pour atténuer l’impact de ces biais, et faire de la cyber-sécurité un sujet à la fois moins clivant et plus éthique.
La première clef de lecture réside dans la démystification et la pédagogie. Percevoir la complexité de la matière n’est pas exclusif au développement d’une compréhension plus fonctionnelle, pratique et applicable. Comme pour tout apprentissage, le choix des sources d’information est à qualifier et à confronter. Une des difficultés principales consistera en l’exclusion des sources d’informations qui retranscrivent mal et dénaturent en partie la matière, tant elles fleurissent et sont faciles d’accès en lien avec une popularité à questionner. Ceci concerne tout autant les sources grand public, que celles produites dans le contexte de prestations professionnelles. Tout comme la posture de « compromission assumée » d’un Système d’Information peut sembler contre-intuitive de prime abord [22], la posture de « questionnement systématique » des sources d’information peut l’être aussi : elle doit pourtant être la norme tout en restant constructive, et devrait évidemment dépasser le petit objet de la cyber-sécurité dont il est question ici.
La seconde clef de lecture réside dans la capacité à démontrer rationnellement, à l’image d’une démonstration mathématique. Une fois démystifiée, la cyber-sécurité n’est finalement que la mise en œuvre d’une démarche à vocation scientifique. Il n’y a pas de super hackers, ou de petits génies de l’informatique : il y a l’atteinte d’un résultat clinique, par la mise en œuvre d’une démarche faisant appel à des connaissances, et des outillages.
Proposons ici une grille de lecture sur la cyber-sécurité, basée sur le triptyque « résultat, connaissance, outillage ». Le « résultat » est la finalité d’une activité ou d’une capacité opérationnelle : il est tangible, fruit d’une démonstration, et matérialise un bilan ou traduit un impact, dans un langage compréhensible par tous et suffisamment précis pour que chacun des termes exprimés ne laisse que peu de place à l’interprétation. La notion de « connaissance » vise à adosser un degré d’expertise ou de savoir-faire propre dans la production de ce résultat. C’est celle-ci qui est souvent la plus difficile à estimer sans disposer d’une compréhension plus profonde du sujet (cf. la thèse précédemment citée : Lelebina, 2014, La gestion des experts en entreprise), mais elle doit amener à s’interroger sur la nature du travail produit dans l’atteinte du résultat ou du profil des ressources humaines qui peuvent être impliquées. La notion d’ « outillage » est en ce sens le complément à celle de la connaissance dans la démarche de production du résultat, et réfère à l’ensemble des accélérateurs tangibles (au sens outils, méthodes) qui sont directement mobilisables en tant qu’intrants. Ces outillages peuvent être des programmes informatiques ou des méthodes documentées, et constituent en soi un état de l’art. Cette grille de lecture permet de questionner les résultats et les moyens d’y parvenir, et invite finalement à s’interroger sur ce qui constitue une valeur ajoutée en cyber-sécurité : des résultats démonstratifs probants peuvent être obtenus avec très peu de compétences et de moyens (par l’utilisation d’outils existants par exemple), ou au contraire, l’obtention d’un résultat peut être assujettie à des investissements importants (des achats d’outillage spécifique, ou des investissements en R&D pour développer une capacité).
Cette grille de lecture a vocation à contribuer à la rationalisation du sujet cyber-sécurité en dépassionnant l’analyse. Elle vise in fine à interroger les concepts à tendance sensationnaliste : ce qu’est un hacker, une cyber-attaque, une APT, le dark web, un cloud souverain, le zero trust, et autres concepts cyber. Son ambition est d’imposer une prise de recul, de repositionner les bases de la réflexion sur une question centrale froide : « de quoi parle-t-on ? ».
Pour les organisations, la cyber-sécurité est l’approche de gestion du risque cyber. Fonction de leur cœur de métier, de leurs actifs, ou de leur taille, les organisations ne sont pas confrontées aux mêmes enjeux, et n’ont pas les mêmes moyens à disposition. L’approche de construction d’une posture cyber-sécurité doit donc nécessairement s’imprégner du contexte propre de l’organisation.
En premier lieu, il s’agit pour l’organisation de définir une ambition en la matière. Le terme « ambition » est entendu ici comme une cible définie par la couverture raisonnable d’un niveau de risque ou de menace cyber, et la mise en adéquation des moyens associés (humains, organisationnels, financiers). Il s’agit ici uniquement d’une vue « risques » et « métier » : les notions techniques (outillage, compétences spécifiques, etc.) ne sont pas l’objet de l’ambition. Cette ambition, qui doit être avalisée, sinon impulsée, par les instances de gouvernance, instiguera un cap, dont découleront les choix d’implémentation futurs. La définition de cette ambition s’inscrit nécessairement dans une démarche d’acceptation des risques résiduels qui s’avèrent inéluctables par nature. Plus ces risques résiduels seront contraints, plus l’ambition sera élevée, et plus les efforts à mettre en œuvre seront importants. Aujourd’hui, trop d’entreprises n’ont pas bien défini cette ambition : les feuilles de routes cyber-sécurité répondent avant tout à un besoin (nécessaire) de gestion de projet IT, mais tendent à occulter la vue risque, qui est souvent mal communiquée aux instances de gouvernance (cette communication étant en soi un exercice à part avec ses enjeux propres). La pédagogie et la rigueur des sachants dans la transmission des notions de risques et de menaces cyber aux instances de gouvernance sont prépondérantes dans l’atteinte du niveau de maturité escompté. Au-delà de la compétence technique, c’est ici que se dessine la valeur de l’expertise cyber-sécurité pour les organisations : au sein d’une capacité à voir au-delà du domaine de compétence cyber-sécurité pour intégrer les enjeux transversaux, et les communiquer dans le langage de l’entreprise.
Une fois l’ambition actée, la mise en œuvre devra être répercutée puis organisée aux différents niveaux fonctionnels de la structure. A chaque niveau fonctionnel incombera la responsabilité de définir ses besoins en apport d’expertise, en ligne avec la stratégie de l’organisation et les besoins propres du métier. L’écueil principal dans la mise en œuvre de l’ambition réside dans une implémentation qui serait trop orientée sur les problématiques techniques, notamment sur l’outillage, et qui se désolidariserait partiellement de l’essence de l’ambition. Par exemple, trop d’organisations déploient des outils sans suffisamment de prise de recul sur les possibilités d’optimisation des actifs existants et leur personnalisation à un contexte spécifique (outillages sous-exploités, ou insuffisamment configurés). Tout nouvel outillage ajoute pourtant de nouvelles contraintes de déploiement et d’exploitation, et d’un point de vue de la sécurité pure, cela contribue quasi-systématiquement à une augmentation de l’exposition au risque cyber. Il apparait ainsi nécessaire de remettre régulièrement en perspective l’ambition au regard des choix d’implémentation qui sont actés.
[22] Note de l’auteur : Face à a la complexité de la menace informatique, il s’agit de concevoir et d’assumer dans la posture le fait que la sécurité ait pu être compromise sans que ne soit détectés les signes de compromission associés, et donc d’opérer en toute circonstance en conséquence, pour ne pas aggraver un état de fait.
Mentions légales