[Chronique] La cybersécurité, variable d’ajustement pour les décideurs ?

Notre chroniqueur Mounir Chaabane revient sur les récentes déclarations d’Olivier Veran, ministre de la Santé en matière de cybersécurité. L’amorce d’un changement de ton pour faire du sujet un traitement non-négociable?

Alors que les cybers attaques sur les services publics s’enchainent, visant les hôpitaux comme cibles de choix pendant la pandémie, Olivier Veran, ministre des Solidarités et de la Santé, par un communiqué de presse du 22 février plante le décor d’une cybersécurité peu considérée et démunie : «Face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé. ». Un constat des plus éloquents qui sonne comme une prise de conscience d’une sécurité informatique non prise au sérieux.

La cybersécurité ne va pas de soi, elle se négocie !

Le même jour, l’ANSSI publie un rapport sur l’état de la menace cyber des établissements de santé et décrit une situation où les hôpitaux font face à des environnements trop vastes à sécuriser, en rapport à leurs moyens. Inutile de tirer sur l’ambulance, ce constat concerne de nombreuses organisations de toutes tailles, publiques et privées. Alors que les investissements dans les outils numériques sont toutes sirènes dehors, la cybersécurité a du mal à suivre le rythme et reste un sujet variable selon l’importance qu’on lui donne. Mais qui est le on ?

Etre une variable d’ajustement signifie que la cybersécurité n’est pas considérée comme un sujet assez important pour lui garantir un traitement non négociable. Souvent laissée à la charge de la direction informatique, la cybersécurité reste sous-estimée et secondaire face au timing des projets digitaux et des sous-traitants avides de remplir leurs carnets de commande. Selon les organisations la cybersécurité peut être un enjeu à part entière ou tout simplement une option, voir même un non-sujet. Tout va dépendre de l’intérêt porté par les directions dans les organisations. Une cybersécurité trop éloignée des décideurs se résume à un bruit de fond et le sujet dépendra de la capacité des responsables à négocier sa prise en compte et à faire preuve d’influence pour l’intégrer dans un environnement technico-juridique complexe et en expansion. Si la cybersécurité reste une variable d’ajustement, autant dire que les dirigeants sont assis sur un baril de poudre et qu’ils n’ont plus qu’à croiser les doigts.

Des moyens financiers suffisent ils à réajuster la cybersécurité ?

Face à l’ampleur des attaques sur les hôpitaux et à l’émotion médiatique, la réponse politique se traduit particulièrement par un effort budgétaire. Dans le communiqué de presse, les montants alloués à la stratégie Cybersécurité des établissements de santé sont clairement annoncés. Un investissement décliné sur plusieurs actions parmi lesquelles « aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’Etat si une part de à 5 à 10% de son budget informatique n’est pas dédiée à la cybersécurité. » Une annonce qui fait pâlir d’envie tous les professionnels des entreprises privées et qui fait le bonheur des vendeurs de solution de sécurité informatique.

Mais inutile de faire des chèques aux équipes techniques et aux projets, la cybersécurité est aussi un sujet de gouvernance. Mettre de l’argent dans des solutions techniques n’est pas la garantie de résoudre les problèmes. Il est important de ne pas dissocier la cybersécurité de la stratégie digitale des organisations. Une approche par projet peut être réductrice, la cybersécurité requiert la gouvernance d’un écosystème qui englobe l’innovation et la capacité à maintenir une cohésion et un contrôle des systèmes d’informations, notamment avec les prestataires de solution Cloud. En complément des « 5 à 10% du budget », il est surtout utile d’avoir la coordination des experts et d’assurer le respect des besoins sécuritaires. La ressource humaine reste le fer de lance de la cybersécurité. Les annonces budgétaires doivent supporter la capacité de gestion et de gouvernance en disposant des profils adéquats tout en les dotant des moyens managériaux. Mais la ressource est rare, la cybersécurité française fait face à une pénurie importante de profils et l’effort devra être dirigé vers l’enseignement.

Le chemin sera long et les budgets ne suffiront pas à couvrir les besoins. L’écart entre la digitalisation et le contrôle des écosystèmes informatiques est déjà énorme et va nécessiter du temps aux organisations pour reprendre la gouvernance. Un écart de temps rythmé par les annonces de cybers attaques et de vols de données. Autant de baril de poudre qui exploseront.