Le manque de références et de recul affectera encore longtemps la maturité avec laquelle les entreprises abordent la cybersécurité. De tous les risques qu'une organisation doit gérer, la cybermenace est la plus neuve et la plus changeante. Pour sensibiliser le management  à cette nouvelle forme de risque, il y a peu d'autres moyens pour défendre un budget de cybersécurité que de faire peur, de montrer les titres de journaux qui relatent la dernière cyberattaque qui a affecté un concurrent. L'incertitude, le doute et l'émotion ne sont jamais de bons conseillers en gestion du risque. C'est pourtant ainsi qu'on fait aujourd'hui. Résultat : les budgets de cybersécurité sont vus comme une obligation, une taxe pour sa tranquillité qu'on aurait (pense-t-on) bien mieux dépensé ailleurs.

Equation aux multiples variables

Le cyber-risque est une équation aux multiples variables dont la plupart sont imprévisibles, ce qui complique la tâche de mettre en place une vraie cybersécurité. Sans entrainement, les risk managers ne performent pas mieux que des étudiants à peine formés. C'est en tout cas le résultat d'une expérience avec deux groupes témoins, l'un formé de managers expérimentés, l'autre d'étudiants peu au fait de l'IT. Dans cette expérience, on confrontait les deux groupes à toute une série d'attaques aléatoires. Les étudiants avaient tendance à s'adapter plus facilement à la nouvelle donne tandis que les managers, avec de la bouteille, semblaient essayer de se raccrocher à une situation qu'ils auraient déjà connue. C'est un biais managérial bien connu. On n'aime pas non plus investir de l'argent et des ressources pour prévenir ou résoudre quelque chose qui ne semble pas être vraiment possible. Avant qu'une société n'expérimente sa première vraie attaque, c'est difficile d'estimer la probabilité qu'elle arrive, ce qui change notre perception de sa vraisemblance. Nos cerveaux n'ont pas une bonne intuition lorsqu'il s'agit d'envisager des scénarios ayant une faible probabilité d'arriver mais menant à de graves conséquences. Et puis, un « bon » manager n'investira dans la sécurité de l'information que s'il est assuré d'un retour positif ou, qu'au moins, le coût de l'investissement ne dépasse pas le coût du risque qu'il est censé prévenir.

Mais comment mesurer tout cela ? C'est là que les métriques, les données historiques, la connaissance, le type et l'étendue des incertitudes manquent. On ne sait en fait pas mesurer l'efficacité de la cybersécurité qu'on a mise en place. Ce n'est pas en compulsant des rapports techniques qui relatent à longueur de pages le nombre d'intrusions détectées, les signatures de virus identifiées et l'efficacité des mises à jour sur les appareils des employés qu'un membre du comité de direction peut répondre à la seule question qui compte : suis-je bien protégé. Etre bien protégé n'est d'ailleurs pas tout. Il faut être résilient (être capable de se relever d'une attaque) car il faut partir de l'hypothèse qu'on sera tôt ou tard victime d'une intrusion qui aura réussi. Quand les réseaux IT des entreprises avaient des frontières claires et définies, cela avait du sens de tout mettre sur la prévention. Il y avait ceux dedans et ceux du dehors. Mais aujourd'hui le réseau d'une entreprise est devenu un système aux limites floues sur lequel intervient toute une série d'acteurs : fournisseurs, clients, employés, capteurs, machines gérées à distance chez son client.

Rendre son entreprise résiliente

Pouvoir récupérer des conséquences d'une attaque devient une nécessité. Rendre son entreprise résiliente, ce n'est pas la même chose que de la cyberprotéger : dans ce dernier cas, il s'agit bien de sécurité au sens technique du terme. La résilience, par contre, est un défi d'ordre stratégique et des procédures. Il n'y a pas, en effet, une machine, un appareil sophistique qui tout à coup remettrait votre entreprise en ordre de marche après les dégâts d'une attaque. Organiser des BCP et des DRP impliquera tous les facteurs imaginables d'une entreprise : le côté humain, les process, la communication, la relation commerciale.

Quand on a appréhendé l'importance de rendre son organisation résiliente, on en voit tout de suite les bénéfices car on finit par relâcher le « tout à la prévention » qui a aussi un coût, celui de restreindre l'accès à l'information dans son organisation à force de protéger les accès, de ne les donner qu'à la demande pour les retirer ensuite.

L'arrivée des clouds dans les organisations ne laissera plus beaucoup le choix : il faudra revoir complètement la conception de la cybersécurité. Avant le cloud, les entreprises construisaient leur IT et leurs opérations autour de montagnes d'infrastructures customisées par les vendeurs pour eux : outils de gestion des RH, CRM, facturation..., chaque process avait son vendeur spécialisé, sa technologie propre et sa sécurité ad hoc. Le personnel IT en était d'autant plus spécialisé et siloté. Avec le cloud, il ne s'agit plus de sécuriser une technologie, une infrastructure dédicacée, de bien comprendre avec les vendeurs comment leur solution fonctionne et où sont les faiblesses et les vulnérabilités. Désormais, il s'agit de protéger les flux d'informations qui circulent entre l'entreprise, le cloud et les clients.

L'évolution technique est tellement rapide que la cybermenace risque de rester pour longtemps un risque dont la gestion, au contraire des autres risques, doit se faire en permanence, sans recul, sans références, avec peu de métrique adaptée à chaque virage technologique.

Pour en savoir plus :

The Trouble With Cybersecurity Management, Mohammad S. Jalali, MIT Sloan Management Review, October 8