La cyber sécurité est morte : vive la cyber résilience !
Juin 2017. Le ver NotPetya exploite une faille de sécurité Windows, pourtant réparée depuis le printemps par Microsoft via une mise à jour que de nombreux utilisateurs n’ont pas installée. Cette attaque informatique – l’une des plus importantes de l’histoire – coûte 300 millions de dollars au transporteur danois Maersk. En France, Auchan et la SNCF sont touchés, Saint-Gobain perd plusieurs millions d’euros. Le système informatique de gestion de ses entrepôts est tombé, l’empêchant d’honorer commandes et livraisons.
Cyber risque : pour en finir avec la fiction rassurante de la Muraille de Chine
Si les enjeux du cyber risque sont aujourd’hui intégrés par la majorité des entreprises et de leurs dirigeants, cette acculturation s’est construite à marche forcée et dans la peur, autour d’un discours prêtant à la cybersécurité une infaillibilité presque magique. Contre les attaques, les vols de données, la paralysie des systèmes d’information, des murailles de Chine toujours plus hautes, toujours plus nombreuses, toujours plus coûteuses ont été dressées autour des assets digitaux des entreprises. Cette doctrine « périmétrique » relève évidemment du bon sens, mais elle exerce un effet pervers sur les décideurs : elle crée un faux sentiment de sécurité, une fiction de confort dangereuse renforcée par l’importance des investissements réalisés. C’est ce qu’a révélé la crise NotPetya.
Car l’essor du BYOD (Bring Your Own Device), la pénétration croissante de l’Internet des objets dans les bureaux et les sites de production – qu’accélérera encore demain l’essor de la 5G – créent en permanence des milliers de brèches potentielles dans la muraille. Si le hacker cherche bien, il trouvera toujours une porte d’entrée. C’est le principe fondamental dont doit partir aujourd’hui toute gestion du cyber risque : fermer certes toutes les portes, mais surtout anticiper ce qui se passera si malgré tout quelqu’un arrivait à entrer. Conséquence : les entreprises doivent apprendre à croiser les problématiques process et métiers avec les fondamentaux de la sécurité, pour identifier les points critiques de leur organisation, et définir les scénarios qui les rendront résilientes, capables de maintenir leur activité ou de la reprendre en minimisant les impacts d’une attaque. Et toujours d’imaginer le jour d’après : une intrusion malveillante peut-elle bloquer de façon critique leur organisation et leur business ?
Cyber résilience : les grandes entreprises portent la responsabilité de l’évangélisation de leur écosystème
Il ne suffit plus seulement de mettre en œuvre les bonnes pratiques de cyber résilience au sein de son organisation et d’assurer une pédagogie efficiente, responsable auprès de l’ensemble de ses propres collaborateurs via des programmes de communication interne, de knowledge management, de microlearning ou de formation. Il s’agit pour les plus grandes entreprises mondiales d’entraîner l’ensemble de leur écosystème de partenaires, de prestataires, de clients, de prospects dans cette nouvelle approche de gestion du cyber risque. Être exemplaires « en interne » certes, mais aussi expliquer autour d’elles que les règles du jeu ont changé. Tout simplement parce qu’elles se trouvent de fait – de par leur taille et leur position – au cœur d’une économie mondiale, globalisée, interdépendante : si leur SI est sécurisé, si leur organisation est cyber résiliente, les attaques se porteront ailleurs sur les systèmes de leurs partenaires, plus petits, moins matures, protégés et résilients. Et si un nouveau NotPetya paralyse ceux-ci, casse leur filière d’approvisionnement en matières premières et prive leurs clients de trésorerie pour les payer, qu’arrivera-t-il donc aux grands groupes dans leur donjon sécurisé ?
Dans tous les secteurs (IT, conseil, assurance, énergie, software, finance…), les principaux acteurs exercent un thought leadership sur leur catégorie et l’ensemble d’une industrie. Il en va leur intérêt et de leur crédibilité de mettre celui-ci au service des enjeux nouveaux de la cyber résilience.