Notre chroniqueuse Anne Doré analyse la relation conflictuelle entre pratiques de cybersécurité et enjeux de confiance en 2022.
La confiance est fragile, et une fois perdue, il est difficile de la reconstruire. Il en est ainsi dans les relations humaines, les partenariats commerciaux et maintenant dans les relations entre organisations et entreprises quand il s’agit de partager des données et de l’information.
A lire aussi : Data et IA : les entreprises peuvent-elles générer plus de confiance pour les clients et utilisateurs ?
La numérisation de l’économie, le développement de l’IA et des applications s’appuyant sur des algorithmes, l’exploitation de données confiées à des tiers interrogent et posent la question de la confiance.
Les annonces quotidiennes de cyber attaques démontrent qu’à tout moment une organisation peut se faire voler son savoir-faire, que les données personnelles d’utilisateurs peuvent être volées et immédiatement revendues ou que toutes les entreprises peuvent être mises à l’arrêt et soumises au chantage d’une rançon. Par ailleurs, la défaillance de certains logiciels comme illustrée par celle du Log4j ou la falsification de QR Code pour des « pass » sanitaires démontrent qu’à tout moment la confiance peut être rompue et génère donc la question du ‘comment faire confiance’ et à ‘qui faire confiance’.
Il est donc difficile de déterminer à qui, quel partenaire, client, prestataire nous pouvons faire confiance.
En cybersécurité, le terme ‘confiance’ est souvent utilisé et correspond généralement à un état qui doit être établie et démontré. Or pour ce faire les organisations doivent avoir confiance dans leur capacité à identifier l’exhaustivité de son patrimoine informatiques et la capacité à faire confiance à tous les appareils connectés au réseau, à tous les utilisateurs qui se connectent au réseau et avoir confiance qu’ils ont couverts tous les risques et ne sont pas exposés à des risques inutiles.
Tous les acteurs, à même de poser et répondre à ses questions, sont des acteurs de confiance car ils démontrent la volonté de faire et d’atteindre ‘l’état de confiance’. Pour autant peut-on imaginer de leur donner sa confiance, non ! la confiance n’exclut pas le contrôle et l’inter dépendance est telle que la confiance absolue à un tiers nous met à risque vis-à-vis de notre propre écosystème.
Dans ce contexte ou l’espionnage cyber ou la cyber criminalité ne cesse de croitre 2 notions paradoxales mais complémentaires apparaissent : celle de faire confiance à l’humain en le remettant au cœur du dispositif pour réduire le risque cyber et celle du ‘zero trust’ visant à ne faire confiance à personne.
La cyber sécurité et le ‘zéro trust’
Le ‘zero trust’ est un modèle de sécurité fondé sur le fait que personne n’est totalement digne de confiance, que tous les accès au réseau de l’organisation doivent être contrôlés et que seuls les actifs légitimes et autorisés sont validés et peuvent accéder aux actifs et donner de l’entreprise.
Cela revient à accorder de façon sélective l’accès uniquement aux ressources dont les utilisateurs ou les groupes d’utilisateurs ont besoin, rien de plus.
Au-delà de ces enjeux technologiques, les organisations les plus matures étendent progressivement cette zone de ‘non-confiance’ en exigeant et exprimant auprès de leurs sous-traitants, de leurs fournisseur ou tous tiers se connectant à leur réseau un niveau d’exigence cyber de plus en plus élevé. Progressivement, cette zone de ‘zero trust’ est étendue à l’ensemble de l’écosystème.
La marche de progression est certes encore importante et la maturité des contrôles et des organisations pas encore à la hauteur des attentes, pour autant la tendance est là. A titre d’exemple la notation des sites internet sur leur capacité à protéger nos données personnelles mettra de fait en opposition les sites auxquels nous pouvons faire confiance et ceux auxquels nous en devons pas faire confiance ou sommes prêts à en payer les conséquences. Il est de même pour la notation des fournisseurs de grands groupes ou d’OIV.
La cyber sécurité et la confiance dans l’humain
Et pourtant malgré toute cette défiance et la mise en place de solution pour gérer, contrôler les accès, force est de constater que la confiance dans l’humain doit être renforcée de manière significative.
La confiance est la croyance en la capacité, la fiabilité, la vérité et l’intégrité de quelqu’un ou quelque chose. Or il serait naïf de penser qu’on peut faire confiance à tout le monde. C’est pourquoi dans le cyber espace, cette confiance se construit par la vérification continue de l’intégrité des personnes, des points d’accès et des systèmes connectés.
Pour autant, la confiance est critique quand il s’agit de demander à ses collaborateurs de faire front face aux risques. Ils doivent en effet veiller à détruire les mails de phishing et être capable de détecter et remonter les signaux faibles d’une attaque. Il est donc impératif de les former et les mettre en position de ‘défendant’ eux qui si souvent sont à leur insu mis en position de victime face à des attaquants.
Enfin cette confiance dans l’humain passe par la confiance faite à des dirigeants de limiter l’usage des donnée confiées à un cadre restreint de cas d’usage et d’informer en bonne et due forme, dans le cadre d’une attaque, indépendamment de toutes contraintes règlementaires quand des données sont volées ou exploitées par des tiers.
La cyber confiance ou comment atteindre le nouveau graal
En conclusion, la confiance en termes de cyber sécurité réside dans un équilibre éphémère et fragile exigeant contrôle et vigilance de tous. Cet état de confiance ressemble de fait plus à une quête permanente qu’à un état figé. Il résulte d’une quête perpétuelle pouvant à tout moment est remis en cause.
Pour autant la confiance est d’or car pour reprendre les mots de Warren Buffett : « Il faut vingt ans pour se bâtir une réputation et cinq minutes pour la ruiner. Si vous y réfléchissez, vous ferez les choses différemment. ».
Il appartient donc à chaque organisation de tendre vers cette confiance et pouvoir démontrer qu’elle a mis en œuvre tous les moyens requis pour tendre vers cette confiance, nouveau graal des organisations.