S’il y a bien un point qui a longtemps été reproché aux acteurs de la cybersécurité, c’est de jouer sur le sentiment de FUD (pour « Fear, uncertainty and doubt ») dans leurs interactions avec leurs prospects et clients. Les dégâts de plus en plus considérables que sont capables de faire, directement ou indirectement, des cyberattaques depuis quelques années semblent donner raison à ceux qui ont agité le chiffon rouge. Il reste que l’image de marchand de peur leur colle à la peau, comme l’a souligné lors de l’ouverture des Assises de la sécurité à Monaco, le directeur de l’ANSSI, Guillaume Poupard.
Difficile de faire de la sensibilisation quand l’un des messages que l’on porte est que personne ne doit se croire protégé et qu’il va falloir réaliser des investissements pour assurer une partie, mais pas 100%, de sa sécurité. Pour autant, la solution est-elle à l’inverse de faire rêver sur les usages optimum du numérique ?
Le cloud comme solution ?
La question s’est évidemment posée pendant trois jours à Monaco, où ateliers et keynotes se sont enchaînés. Les RSSI présents ont pu jauger cet équilibre délicat. Fabien Tanguy, Chief Technical Security Officer Europe du sud, de Qualys, le spécialiste du cloud présidé par Philippe Courtot, a ainsi déroulé une vision projetant l’assistance en 2035, dans une ère où les clouds, omniprésents, ont complètement changé la façon de penser l’informatique d’entreprise et la sécurité de l’information. Sur un modèle où, finalement, tout est géré pour le compte de l’entreprise, lui permettant de se concentrer sur son business, l’ancien RSSI, qui a passé 10 ans chez Rothschild, a présenté le cloud non plus comme un facteur de risque, mais comme la solution. Ce message, « se concentrer sur son cœur de métier » est l’un des arguments forts des prestataires de la transformation numérique. Il est ici repris largement pour dresser un futur où la gestion de la complexité, très présente en matière de sécurité – au croisement des usages, des infrastructures et des technologies – est finalement déléguée à un tiers, grâce au cloud. Le message avait d’ailleurs été en partie porté par l’ANSSI : le cloud contre lequel l’agence a pu mettre en garde, a aussi des qualités lui permettant d’être mis au service de politiques de sécurité, notamment des PME aux moyens humains et techniques limités.
En conclusion de son intervention, Fabien Tanguy est revenu en 2015, croisée des chemins pour s’engager dans cette version positive de l’histoire, avec un message : seuls les responsables de la sécurité peuvent aujourd’hui convaincre leur dirigeant de mettre le cap sur un tel avenir radieux. De quoi encourager les responsables qui avaient fait le déplacement à Monaco, souvent à la recherche de légitimité et d’écoute de la part de leurs dirigeants.
Internet of Threats, le nouvel IoT
Eugene Kaspersky, le fondateur et dirigeant de la firme de sécurité éponyme, a peut-être provoqué un réveil brutal, le lendemain matin. Pour lui, c’est l’Internet des Menaces (Internet of Threats) qui prévaut aujourd’hui et risque de s’imposer demain. A partir de quelques chiffres clés, le PDG de Kaspersky Lab a cherché à montrer que la menace avait changé d’échelle sur la dernière décennie. Ainsi, si l’année 2004 avait permis d’identifier près de 500 000 infections informatiques, 2014 en a connu 325 000… par jour. N’hésitant pas à recourir au ressort comique pour mieux faire passer la pilule, Eugene Kaspersky s’est par ailleurs réjoui de la prise de conscience chez les chefs d’entreprise. A ce titre, il a pris soin de citer le président de Saudi Aramco, l’une des plus grandes entreprises d’hydrocarbures au monde, victime en 2012 d’une cyberattaque restée tristement célèbre. Khalid Al-Falih a ainsi amené le sujet de la cybersécurité au cœur du Forum économique de Davos en déclarant, en référence à cette attaque : « Nous avons été paralysé pendant 2 semaines. Une entreprise ne se rend pas compte de sa dépendance [au numérique] tant qu’elle n’a pas connue une telle crise » avant de comparer l’expérience au fait de ne plus avoir « d’oxygène dans le sang ».
Eviter le dialogue de sourds
La prise de conscience des dirigeants suffira-t-elle à faire pencher la balance vers un avenir moins sombre ? « Nous en sommes à la préhistoire de la cybersécurité » a rappelé Franck Greverie, vice-président corporate cybersécurité chez Cap Gemini/Sogeti. « Depuis 2014, nous sommes entrés dans la période des « mega-breach »… que va-t-il se passer d’ici 2020 ? ». En essayant de décrire à Monaco ce que font « les meilleurs RSSI au monde », il en a appelé à mettre fin au dialogue de sourds entre les directeurs de système d’information (DSI) et leur responsable sécurité. « Le DSI est en train de transformer tout l’IT de l’entreprise pour accompagner la transformation numérique, en allant notamment vers de plus en plus de cloud hybride. La sécurité doit évoluer en même temps ».
Jean-Paul Mazoyer, directeur informatique et industriel du groupe Crédit Agricole et président du cercle cybersécurité du CIGREF, a d’ailleurs pu témoigner de son engagement sur le sujet. « C’est totalement le travail d’un DSI de s’impliquer sur ces questions. Il faut faire de la sécurité une ligne « régalienne » de la stratégie d’entreprise, au même titre que l’audit ». En septembre, le CIGREF a d’ailleurs lancé une campagne de vidéos de sensibilisation pour le grand public, intitulée « Hack-Academy » et s’inspirant des codes de la télé-réalité. Cette initiative originale fait suite à un premier serious game sur le même sujet. Le grand public ? C’est aussi les collaborateurs, prestataires et clients des entreprises, qui ne peuvent donc pas espérer faire évoluer la situation, sans convaincre les individus que leur comportement orientera leur organisation, soit vers l’orage, soit vers une éclaircie, sur le terrain du cybercrime.