L'industrie de la cybersécurité est traversée par une menace croissante à laquelle sont confrontées les PME. Ce secteur est de plus en plus ciblé par les pirates informatiques précisément parce qu'il ne dispose pas de gros budgets ou de légions d'analystes de sécurité pour le défendre, contrairement aux grandes entreprises, plus conscientes du danger, mieux loties financièrement, et donc beaucoup mieux protégées.

Deux TPE-PME sur cinq ont déjà été victimes de tentatives ou d'attaques informatiques. Phishing, spywares, ransomwares, malwares ou fraudes au président pour subtiliser des données confidentielles ou extorquer des fonds, etc., toutes les techniques de cyberattaque sont bonnes pour cette activité dont le rapport avantageux gain/effort suscite de nombreuses vocations.

Pourtant, bien que bombardés de messages par les médias ou par des pairs entrepreneurs victimes de cyberattaques, de nombreux responsables de PME ne parviennent malheureusement pas à assurer leur cybersécurité. L'attitude qui prévaut est qu'une cyberattaque "ne m'arrivera probablement pas".

Beaucoup de PME croient à tort que les pirates ne s'en prennent qu'aux systèmes appartenant aux "grands". En fait, bon nombre des attaques qui ont fait la une des journaux contre des poids-lourds de l'industrie ont été réalisées par des pirates utilisant les installations informatiques de PME comme points d'entrée.

La fragilité de celles-ci les désigne comme cibles privilégiées pour un grand nombre de hackers, car même les moins doués d'entre eux peuvent nuire. La grande majorité des cyberattaques est imprévisible et repose souvent sur des circonstances aléatoires - comme le modèle d'ordinateur ou la version de logiciel que nous utilisons. Des outils d'analyse sophistiqués sont facilement disponibles sur le dark web et dans les forums de pirates informatiques. Ils permettent à quiconque de parcourir rapidement l'Internet à la recherche de signes de vulnérabilité, puis de les cibler avec la précision d'un laser.

C'est précisément ce qui fait l'attractivité d'une PME pour un hacker : facile à pénétrer, souvent peu ou pas défendue, elle est une porte grande ouverte pour court-circuiter les dispositifs sécurisés des grandes entreprises avec qui elle est en relation. Les PME sont aussi des cibles en tant que telles : simples à attaquer, elles acceptent facilement de payer tant elles se pensent désarmées devant le cybercrime.

Un fruit mûr qu'il n'y aurait qu'à cueillir, en quelque sorte !

Un nouveau paradigme : agir plutôt que réagir, agir avant de subir

L'équilibre des forces dans le cyberespace évolue constamment dans un jeu virtuel du chat et de la souris. Les pirates exploitent le matériel et les logiciels, tandis que les chercheurs s'efforcent constamment de découvrir des moyens de "corriger" ou de combler ces mêmes vulnérabilités. Quelle que soit la hauteur des murs de protection, les pirates trouvent constamment de nouveaux moyens de les contourner.

Cette nouvelle réalité tient en partie au fait que les pirates (« black-hat hackers »), qui travaillent généralement seuls ou dans le cadre de collaborations informelles, sont agiles et capables d'agir beaucoup plus rapidement que leurs cyber-adversaires : les groupes de sécurité des entreprises, qui s'appuient généralement sur une stratégie réactive de type "surveiller, détecter, répondre". Ces derniers sont souvent paralysés par une dépendance excessive à l'égard d'une technologie complexe pour surveiller et avertir, ce qui entraîne un long délai avant la détection.

Deux logiques s'affrontent ici, où l'une a toujours par principe un temps de retard sur l'autre : les hackers cherchent et découvrent des failles, qu'ils utilisent, et les chercheurs tentent d'éliminer ces mêmes failles. Ils ont donc toujours un temps de retard dans cette course contre un adversaire agile, imprévisible, et, bien souvent, terriblement efficace.

Cette situation est désormais à considérer pour faire évoluer le cadre mental de la cybersécurité. Celle-ci doit cesser de courir après les hackers pour réparer les dégâts qu'ils causent, et se transformer en outil de surveillance et de détection en temps réel autant des fragilités des systèmes que de l'activité des hackers. Agir avant que les attaques causent d'énormes dégâts. Des solutions existent pour y parvenir : scanners de vulnérabilité en ligne capables de détecter sans rupture les faiblesses des infrastructures, estimation de la maturité cyber des entreprises, pédagogie de cybersensibilisation, système d'auto-hacking pour mesurer la résistance des systèmes, etc.

Comme pour la plupart des sujets autour de la sécurité, la meilleure défense consiste généralement à disposer de bonnes capacités offensives et d'une bonne planification. C'est la seule issue pour ne plus subir et reprendre la main sur sa cybersécurité, et, finalement, dissuader les hackers qui se rabattront sur une cible plus facile à pénétrer.

En résumé, il faut cesser d'être réactif pour devenir proactif. Il est urgent d'adopter ce nouveau paradigme qui permet de sortir de la logique victimaire qui a trop longtemps prévalu dans ce domaine : agir avant de subir.

Une fois que nous acceptons l'idée que nos systèmes ont probablement déjà été ou seront ciblés, nous pouvons alors prendre des mesures proactives qui sortent du cadre de la pensée conventionnelle pour adopter le nouveau paradigme. Cette façon d'accepter la réalité du risque est une étape cruciale pour que chacun d'entre nous comprenne les conditions de la "nouvelle normalité" représentée par ces menaces avancées. Arriver à cette conclusion n'est pas un aveu d'échec, plutôt une reconnaissance de l'ampleur des changements survenus dans le monde qui nous entoure.

Penser comme un hacker

Il est évident que les solutions périmétriques traditionnelles sur lesquelles repose la cybersécurité depuis des années ont progressivement perdu de leur efficacité, car les pirates savent exploiter avec méthode chaque opportunité qui se présente à eux. Lorsqu'une attaque a eu lieu (et nous savons qu'elle a toujours déjà eu lieu), il est beaucoup trop tard pour commencer à prendre au sérieux la sécurité de nos entreprises et de nos institutions, quelle que soit leur taille. Cette vérité organise désormais le champ de la cybersécurité et distribue les cyberrisques.

Dans cette requalification globale de ce qu'est la cybersécurité, il est important de comprendre les modes opératoires des pirates eux-mêmes, de s'en inspirer pour devenir capable d'assurer la sécurité des infrastructures informatiques et la résilience des entreprises.

Plus encore, il est nécessaire de comprendre l'état d'esprit des pirates. Dans toute stratégie, il est bon de saisir la façon dont fonctionne l'esprit de l'adversaire. Et puisque la logique des hackers fonctionne si bien, il faut s'en servir. Comme en Aïkido, où on a recours à la force de l'adversaire pour le vaincre, il faut utiliser ce qui fait la force et l'agilité des hackers pour la retourner contre eux. Il faut désormais penser et agir comme un hacker (et ses méthodes), mais avec un état d'esprit différent, bienveillant. C'est ce qu'enseignent les « white hat hackers », ces hackers éthiques qui mettent leur savoir disruptif au service de la cybersécurité.

Ainsi, une fois les hackers hackés, la cybersécurité aura fait un grand pas.