Comme chaque début d’année, les articles fleurissent et c’est la surenchère : 2020, un changement de paradigme en cybersécurité ! A partir de quand peut-on affirmer qu’il y a retournement ? Aux premiers signaux faibles, quand des individus influents s’emparent du phénomène ou lorsqu’on constate qu’une majorité de la population concernée a pris le virage ?
Est-il réaliste de clamer que la mutation des entreprises vers des systèmes d’informations bicéphales – plus agiles et ouverts mais aussi plus sécurisés – est actée ? Qu’il y a bel et bien un changement de paradigme en la matière ?
Les premiers signaux faibles sont bien là. Le marché se structure depuis plusieurs années en faveur de services clouds alliant le meilleur des deux mondes : l’agilité et la sécurité. Chez les théoriciens de la profession, le modèle de la forteresse a ainsi progressivement laissé sa place à des images plus ouvertes comme celle de l’aéroport. Plus récemment, la comparaison avec la compagnie aérienne s’est dessinée : cette dernière connaît et soigne l’expérience de ses passagers (les données), qu’elle ne fait pas transiter sans assurer un maximum de confort et de sécurité[1].
A lire aussi : Dossier Cybersécurité, le nouvel élan collectif
Si les signaux faibles sont bien là, la tendance va même déjà au-delà : la problématique est en effet décortiquée et portée par les puissants. Le risque cyber figure dans le top des sujets chauds adressés par le World Economic Forum de Davos 2020. J’en veux pour preuve les études orchestrées pour l’occasion et l’éventail d’articles plus ou moins spécialisés dédiés au sujet sur le portail web du sommet[2]. Si tout ce monde se mobilise, c’est que les dommages financiers et enjeux économiques liés à une perte de la confiance des citoyens dans le numérique ou à des fuites de données peuvent être colossales ; et ceci a d’ores et déjà été prouvé à de multiples reprises, dans le privé comme dans le public. Selon la dernière étude internationale d’Accenture Security et du Ponemon Institute, la moyenne du coût d’une attaque est désormais de 13 millions de dollars, soit une augmentation de 27% sur un an[3]. Le paysage des cybermenaces devient à la fois plus complexe et plus dense : les cibles sont toujours plus variées – l’usine de métiers à tisser Picanol, en janvier 2020[4] – et les attaquants font preuve d’une créativité aussi renouvelée que nocive.
Pour les entreprises, ces deux facteurs font qu’il est plus que jamais vital de pouvoir – par ordre de priorité – contrôler, détecter et comprendre la menace. Et c’est à ce niveau que nous pouvons légitimement interroger la réalité du changement de paradigme : une majorité de la population concernée a-t-elle bien pris ce virage ? Il semblerait que non. A titre d’exemple, seuls 19% des dirigeants de PME avaient prévu des investissements dans la cybersécurité en 2019 selon Euler Hermes[5].
Côté entreprises, on note que la transition d’une sécurité périmétrique (qualifiée de forteresse plus haut : épaisse muraille d’enceinte, unique point d’entrée sécurisé, libre circulation sans protection dans le SI) vers une sécurité paradoxalement ouverte, plus complexe mais plus agile et en adéquation avec les prérequis croissants de rapidité et d’agilité des utilisateurs, n’est toujours pas acquise pour une majorité[6]. Au cœur d’un écosystème d’employés, de partenaires, de prestataires et de clients toujours plus interconnectés et équipés, il est illusoire d’imaginer isoler l’entreprise, et ce en dépit de la hausse des Advanced Persisting Threats facilitée par des services tiers. Or si l’entreprise ne peut plus se limiter à la sécurité des « tuyaux » par lesquels passent ses informations, il lui reste à sécuriser les informations elles-mêmes. Ainsi, si les organisations privées ne discernent plus leurs propres contours, elles peuvent encore garder la main et assurer un certain niveau de sécurité et de confidentialité aux documents qu’elles créent et émettent. Et ceci passe entre autres par la protection embarquée de documents.
Que vous soyez bons élèves, très équipés, contraints à tout un assortiment de normes ou non, il est de bon ton de rappeler que l’humilité et la constante remise en question sont indispensables pour rester sur le qui-vive et garder de l’avance. Google, Apple ou Microsoft, pour ne citer que ces géants, ont chacun leur propre Red Team, une équipe de hackers professionnels réalisant en continu des tests d’intrusion ciblant leur propre employeur. On n’est finalement jamais mieux servi que par soi-même …
Côté acteurs publics, tout porte à croire que la transition est en cours. En France comme aux Etats-Unis, on constate de nouveaux partis-pris en faveur de l’adoption officielle de pratiques plus agiles et un travail assidu en faveur de l’émergence de clouds souverains sécurisés. Je pense évidemment au SecNumCloud ou au contrat de 10 milliards de dollars signé entre le gouvernement américain et Microsoft pour avancer dans ce sens[7], mais pas seulement : consciente que certains organes sensibles ne peuvent pas fonctionner efficacement en silo, isolés du reste du monde, l’ANSSI a aussi créé le statut d’Opérateurs de Services Essentiels. A peine moins sensibles que les Opérateurs d’Importances Vitales, ceux-ci bénéficient d’un cadre plus souple et plus réaliste compte-tenu de leur activité. A la différence d’une centrale nucléaire, un hôpital se doit d’être connecté à l’extérieur pour fonctionner de façon optimale.
Enfin, en 2020, où en sont les employés ? Ces utilisateurs finaux réputés étourdis et aisément corruptibles sont semble-t-il le point faible de toute organisation[8]. Si les rudiments de la cybersécurité et les bonnes pratiques qui en découlent ne sont pas dûment intégrés, digérés et appliqués par les employés au quotidien, la structure toute entière s’en retrouve exposée et fragilisée. C’est pourquoi tout est fait pour les embarquer dans une démarche d’amélioration continue en faveur d’une meilleure hygiène cyber. D’un côté, un budget et une énergie considérables sont investis dans la formation ; Gartner évalue ces dépenses à près de 124 milliards de dollars en 2019 (+8,7% comparé à 2018)[9]. De l’autre, les nouveaux entrants de la cybersécurité font leur maximum pour proposer des solutions toujours plus transparentes et faciles à utiliser, effaçant un à un les grands freins qui bloquaient jusqu’ici l’adoption de gestes sains.
Laissons la conclusion à Jules Renard, écrivain français (1864 – 1910) : « – Je vous apporte mes vœux. – Merci, je tâcherai d’en faire quelque chose ». Ainsi, avant d’être l’année des vœux les plus fous de changement de paradigme, du chiffrement homomorphe, de l’essor de la blockchain ou de l’Intelligence Artificielle appliquée à la détection de cyber failles, et si 2020 était d’abord est avant tout le moment idéal pour être pragmatique et agir pour de bon ?
[1] Wavestone @SalonData | Quel modèle de sécurité en 2020 ? – octobre 2017 – https://www.youtube.com/watch?v=kQjcjVuL8yA
[2] World Economic Forum 2020 | Cybersecurity – https://intelligence.weforum.org/topics/a1Gb00000015LbsEAE?tab=publications
[3] Accenture and Ponemon Institute survey | Le cybercrime en 2019 : impact et opportunités – mars 2019 – https://www.accenture.com/fr-fr/insights/security/etude-cout-du-cybercrime
[4] L’Echo | Picanol Hackée : comment armer votre entreprise contre une cyberattaque ? – janvier 2020 – https://www.lecho.be/entreprises/general/picanol-hackee-comment-armer-votre-entreprise-contre-une-cyberattaque/10198648.html
[5] Euler Hermes Press Release | PME françaises : des compétences numériques insuffisantes face aux grands enjeux de la cybersécurité – décembre 2018 – https://www.eulerhermes.fr/actualites/etude-cybersecurite-2018.html
[6] IT Pro Portal.com | Ensuring cyber-resiliency in the multi-cloud environment – janvier 2020 – https://www.itproportal.com/features/ensuring-cyber-resiliency-in-the-multi-cloud-environment/
[7] Les Echos.fr | Microsoft remporte un contrat de 10 millards de dollars pour le cloud du Pentagone – octobre 2019 – https://www.lesechos.fr/tech-medias/hightech/microsoft-remporte-un-contrat-de-10-milliards-de-dollars-pour-le-cloud-du-pentagone-1143276
[8] Commission européenne | Europeans’ attitudes towards Internet security – mars 2019 – https://ec.europa.eu/commfrontoffice/publicopinion/index.cfm/Survey/getSurveyDetail/instruments/SPECIAL/surveyKy/2207
[9] Press Release | Gartner forecasts worldwide information security spending to exceed $124 billion in 2019 – août 2018 – https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019