La sécurité numérique des entreprises, bien souvent en pleine transformation, est un sujet complexe. Pour aider à son développement, et arrêter de courir derrière des « cyber-attaquants » toujours plus imaginatifs, des voix s’élèvent pour appeler à plus de coopération et plus d’intelligence collective. Mais qu’attendre de ce concept à l’heure de la course à l’innovation et du marketing triomphant des intelligences artificielles ?
« On ne peut pas être un seul cerveau contre potentiellement des dizaines de milliers ». C’est ainsi que Michel Juvin, chief information security officer (CISO), membre du CESIN, résume la nécessité pour les entreprises de mieux faire appel à l’intelligence collective, entre elles et en interne, pour faire face aux cyber-menaces. C’est en effet le fardeau du défenseur que de laisser le plus souvent l’initiative à des agresseurs inconnus, aux objectifs variés, qui savent très bien se coordonner. « La moitié environ des CISO pensent qu’il y a plus d’argent à se faire du côté des criminels que du côté des défenseurs des entreprises » estime d’ailleurs Marcin Kleczynski, le jeune fondateur et directeur général du prestataire de sécurité Malwarebytes, qui dévoilait lors des Assises de la sécurité à Monaco une étude sur l’état d’esprit des « super-héros » de la sécurité numérique dans les organisations.
« Créer de la copropriété et engager sur des sujets complexes »
La coopération et le partage d’information, pour conduire à une meilleure rationalité dans les choix de l’entreprise, sont donc un levier à ne pas sous-estimer. Guillaume Poupard, le directeur de l’agence nationale de la sécurité de l’information (Anssi) ne s’y trompe pas quand il appelle l’écosystème de la sécurité et les organisations elles-mêmes à faire preuve de plus d’intelligence collective. C’est également un point clé pour Stéphane Tournadre, RSSI groupe du laboratoire de pharmaceutique, Servier, qui confie à Alliancy que « la stratégie de sécurité numérique n’est plus faite en solitaire ».
Le terme intelligence collective fait en premier lieu référence à une approche du management qui cherche à mettre en valeur les capacités cognitives d’une communauté à partir de multiples interactions. Des méthodes se sont donc développées pour permettre de dépasser les aléas naturellement liés au partage de multiples avis et opinions, comme lors d’un brainstorming, afin d’amener de la convergence dans les actions. « L’objectif est de créer de la copropriété, pour mobiliser et engager sur des sujets complexes, avec de multiples parties prenantes, et pour lesquels il n’existe pas de réponses simples » résume Audrey Saget, présidente du cabinet Imfusio, invité à présenter le concept au visiteur du parcours d’innovation dédié à la sécurité organisé par le Club des directeurs de sécurité et de sûreté des entreprises (CDSE). La définition cadre en effet parfaitement bien avec celles des enjeux de sécurité numérique des entreprises.
On distingue particulièrement deux champs à travers lesquels l’intelligence collective pourrait dès à présent représenter une force pour les entreprises qui se transforment. Le premier est culturel, pour fluidifier et rendre plus efficace la gouvernance de la sécurité dans leur organisation. « Plus une entreprise comme la nôtre s’ouvre, plus nous devons changer notre philosophie » résume Ludovic Layeillon, RSSI du Crédit Foncier lors d’une table-ronde sur les nouveaux enjeux de sécurité organisé en octobre par Advens. « Nous devons amener la sécurité au-delà de son périmètre classique, au niveau des infrastructures, chez les développeurs, mais aussi l’exporter jusqu’à nos clients, car nous poussons de plus en plus des opérations en self-service. Or, parfois, on a l’impression que cette sécurité se construit « malgré eux » plutôt que « avec eux ». Il nous faut trouver des moyens élégants pour faire fonctionner tout le monde ensemble ».
Un parallèle clair avec les pratiques d’innovation des entreprises
« Cette dépendance aux autres, dans son organisation mais également en dehors d’elle, explique pourquoi un CISO qui reste seul dans son coin sera mauvais. C’est une véritable erreur stratégique de ne pas accepter ce changement culturel en se rapprochant des autres » martèle Michel Juvin. « Il faut donc s’avoir s’appuyer sur ses pairs, déjà, de manière formelle et informelle. Ensuite, il faut apprendre à connaître son écosystème, lire, écouter, poser des questions… il y a là un rôle très important des médias pour favoriser cela. Enfin, tout ce qui relève de la threat intelligence (le partage d’information sur les menaces informatiques entre entreprises, grâce à des systèmes dédiés, ndlr) et du cyber renseignement, reste malheureusement encore sous-estimé ; pourtant c’est ce qui permet de mieux « comprendre » les hackers, et donc de moins disperser ses efforts ».
Ces nombreux types de partages différents à mettre en place ne sont pas si différents de ce que l’on voit émerger du côté des directions de l’innovation. Michel Juvin assume le parallèle : « Tout cela revient à mettre en commun les capacités créatives. Cela parait évident et simple, mais tous ceux qui travaillent sur l’innovation vous diront à quel point c’est un travail permanent et un vrai changement d’état d’esprit. Quand on n’a pas d’objectifs précis et que l’on se lance, on mouline dans le vide. C’est du collectif, mais sans intelligence. Il suffit de voir la réputation sulfureuse qu’ont acquis les brainstormings dans de nombreuses entreprises pour s’en convaincre ».
Pour Cédric Chevrel, RSSI de la société d’assurance mutuelle Matmut, il y a depuis quelques mois une vraie opportunité à saisir pour fédérer une intelligence commune. « On se rend compte que la sécurité intéresse beaucoup de monde. Contrairement à ce que l’on entend, dès que l’on évoque le sujet, on n’est pas confronté à du dédain, mais seulement à un manque de bons réflexes. S’appuyer sur l’intelligence de ces collaborateurs, ce n’est pas vouloir en faire des experts, mais faire en sorte qu’ils s’interrogent. C’est la base de l’engagement, et avec des effets comme le RGPD, on a enfin l’occasion d’entendre le mot sécurité sortir dans toutes les réunions ! Les ambassadeurs peuvent alors émerger facilement pour aider, car de toute façon on ne peut pas assurer tout, tout seul, opérationnellement ».
L’intelligence artificielle au cœur du jeu collectif
Cependant l’intelligence collective ne se limite pas une amélioration entre les rapports humains. Ainsi, en observant les nombreuses innovations présentées sur le parcours de découverte organisé par le CDSE, on ne peut qu’être convaincu que c’est l’omniprésence de l’Intelligence Artificielle qui marque aujourd’hui le plus les usages de sécurité numérique et de sûreté physique des organisations. Détection des visages et analyse des comportements, anticipation de la menace numérique à partir de signaux faibles, ou encore détection de conflits d’intérêts chez des collaborateurs ou des prestataires… l’IA s’impose partout et les start-up de la sécurité comme les acteurs traditionnels en quête de renouveau, n’ont plus que ce terme à la bouche. Ce qui ne manque pas de mettre mal à l’aise les responsables sécurité, entre espoirs et méfiances. « Je suis noyé sous l’information, alors je suis forcément très curieux de voir ce que l’IA peut apporter en sécurité. Mais malgré ces espoirs, le problème actuel est que je ne vois pas de vrais cas d’usages convaincants qui pourraient nourrir immédiatement mon organisation » estime François Bidondo, information security director d’Alstom.
L’un de ces cas les plus accessibles est lié aujourd’hui au SIEM et au log management, comme l’évoque Cédric Chevrel pour la Matmut : « Notre SI est complet et complexe. Avec notre transformation, les besoins se multiplient et créent des manques criants de visibilité. La promesse d’un outils de log management est de fédérer toutes les informations pour mieux faire de la recherche sur incidents. Par exemple, en utilisant la solution de l’éditeur LogPoint, nous pouvons aller 10 à 20 fois plus rapidement pour trouver des incidents. ». Il reconnait toutefois qu’il faut dorénavant aller plus loin et s’ouvrir à de nouvelles possibilités. « L’autre aspect, c’est que ces pratiques sont génératrices de sérendipité : l’intelligence humaine permet de voir apparaitre grâce à elles ce qui était auparavant invisible. A partir de là, la question de l’IA est celle du lien que l’on arrive à créer avec cette intelligence humaine. L’analyse de l’intelligence artificielle doit être factuelle, le rôle de l’humain est lui contextuel ». Une vision partagée par Astrid Lang, RSSI pour le système d’information patient de l’AP-HP (Assistance publique – Hôpitaux de Paris), malgré les différences fondamentales d’activité avec une entreprise comme la Matmut. « Si on veut amener de la sécurité vers plus de temps réel, alors il va falloir trouver comment mieux fonctionner avec l’IA. Elle doit s’imposer dans l’analyse de logs et de traces, car je pense qu’elle seule peut nous débloquer sur ces sujets, gérer la masse et ouvrir la possibilité de regards nouveaux ».
En plus d’apprendre à collaborer avec tous les autres collaborateurs de l’entreprise, les responsables de la sécurité des organisations apprennent ainsi à mieux collaborer avec des programmes de plus en plus intelligents. Un assistant virtuel pour affûter les stratèges de la sécurité, c’est un rêve ancien pour Michel Juvin : « En la matière, on se dirige très clairement vers un CISO augmenté, grâce au décollage de l’IA dans les domaines où traiter de l’information fait une vraie différence. Il faut en quelque sorte ce cerveau électronique supplémentaire pour tirer la quintessence du cerveau humain. Et de la même façon que sur les aspects culturels, l’objectif est clair : débloquer notre capacité de création et d’invention face aux menaces ». Les entreprises n’ont de toute façon guère le choix : leurs agresseurs ne se privent pas de faire déjà appel à ces capacités d’automatisation pour doper leur propre inventivité et toujours mieux surprendre leurs cibles.