La cybersécurité est une course de fond

Quand nous étions enfants, certains d’entre nous aimaient jouer aux gendarmes et aux voleurs. Les premiers devaient capturer les seconds, qui faisaient évidemment tout pour leur échapper. La cybersécurité nous fait rejouer à ce jeu ; sauf que la cour de récréation s’est agrandie aux limites infinies du cyberespace, et que le jeu, même s’il est captivant, n’est plus aussi drôle.

Cette logique des gendarmes et des voleurs est celle de la spirale où s’inscrit tout mouvement, dès lors qu’il est le résultat de la confrontation entre les tenants de l’ordre et les délinquants : les progrès technologiques et méthodologiques des uns font avancer les autres, et réciproquement. Plus les systèmes de protection sont élaborés et efficaces, plus les moyens de les contourner ou de les faire céder se sophistiquent.

Parce qu’ils font preuve d’une créativité malfaisante, les voleurs ont toujours un temps (ou un coup) d’avance. Pourtant, la position de force est occupée tantôt par les gendarmes, tantôt par les voleurs, dans une alternance rythmée par l’innovation des technologies et des méthodes. Par la force qu’ils mettent à se combattre, les adversaires se renforcent ainsi mutuellement, là où leur espoir est de triompher en terrassant l’ennemi. Plus on renforce la cybersécurité, plus on intéresse des hackers pointus attirés par le défi de pénétrer une citadelle réputée imprenable, par exemple.

Ce jeu avec les règles et les limites n’est pas sans évoquer le phénomène du dopage en milieu sportif de haute compétition : les produits dopants ont toujours un temps d’avance sur les protocoles supposés les identifier et les règlements chargés de les proscrire.

Le temps long

Ainsi, le hacking est fait de cycles. Il trouve de nouvelles failles qui demandent un temps pour trouver des solutions qui comblent les failles. Certaines techniques deviennent ainsi obsolètes dès lors que les niveaux de protection sont suffisants.

Mais, au-delà de l’obsolescence, la ringardise guette aussi les moyens employés par les hackers. Le hacking est également soumis à des effets de mode. Comme si la délinquance avait son esthétique, certaines technologies sont utilisées pour les attaques plutôt que d’autres : virus, DDOS, ransomwares… puis temporairement délaissées au profit d’autres.

La cybersécurité s’inscrit donc dans un temps relativement long pour les entreprises. Ce n’est plus une menace ponctuelle qui pèse sur elles ou un risque au travers duquel on pourrait passer avec un peu de chance, mais une pression permanente avec laquelle il faut désormais compter au quotidien.

Une course de fond

On ne peut plus envisager la lutte contre les cyberattaques comme des opérations “coup de poing” où l’on opposerait une réponse ponctuelle à une attaque unique. Cette conception ne suffit pas. Ou plutôt, elle ne suffit plus. En réalité, tous les services d’une entreprise, sans aucune exception, doivent être mis à contribution pour lutter contre la cybercriminalité. La cybersensibilisation de toute l’entreprise est la condition première de la réussite de toute politique de cybersécurité. Un Directeur Général ayant investi des sommes importantes et pensant avoir fait le nécessaire en matière de cybersécurité, mais qui a négligé l’étape clé de la cybersensibilisation, est assis sur du sable et ses efforts ont été vains.

Exactement comme avec un bon pilotage de la santé, les contrôles doivent être réguliers, l’estimation des risques permanente, et les traitements à appliquer décidés avec un praticien compétent. De la même façon qu’il faut répéter les analyses pour voir les évolutions (diabète, cholestérol…), il convient de procéder en permanence et en temps réel à l’estimation du risque cyber. Les technologies de cyber-rating permettent cette gouvernance de la santé des entreprises.

Et, parce que ces dernières évoluent, qu’elles se développent, ces technologies doivent être capables de suivre ces changements, de l’accompagner en évoluant elles aussi. Les besoins d’hier ne sont en effet pas nécessairement ceux de demain. Sans parler du risque cyber qui, tel un virus, mute, propose régulièrement de nouveaux variants, découvre de nouvelles failles à exploiter, et pousse ainsi les acteurs de la cybersécurité à évoluer en permanence.

Même s’il faut toujours réagir rapidement aux attaques, la cybersécurité s’apparente aujourd’hui davantage à une course de fond où il faut savoir bien gérer les priorités, placer l’énergie là où il faut au bon moment, garder son souffle, et ne pas s’épuiser dans des sprints inutiles.

Les entreprises doivent donc reconfigurer ou adapter leur vision de la cybersécurité pour être en phase avec cette permanence du risque et le temps long de la menace cyber. Sans cette adaptation, les cyberattaques pourraient être fatales.

Alors, prêt pour un petit check-up ?