Tag Archives: numérique

La gestion du temps, challenge de la sécurité numérique pour 2018

Entre des disparitions marquantes et des élections un peu déjantées, 2017 a été pour les français de ces années qui donnent l’impression de tourner une page du grand livre d’Histoire. Quant à la sécurité numérique, elle a manqué de peu d’être la grande cause nationale 2017.

« manqué de peu »… Et si cela sonnait comme une mise en garde ?

La sécurité numérique, dans toutes ces constituantes, comme discipline, comme marché, comme technologie(s), ou comme processus, est de plus en plus prise en étau. A l’heure où les ransomwares et des vols de données marquants (Yahoo, Uber, etc) ont permis une médiatisation à grande heure d’écoute, à l’aube de l’entrée en vigueur de règlementations sur la protection des personnes physiques à l’égard de leurs données personnelles (RGPD) et sur le niveau de sécurité des opérateurs vitaux pour la Nation (directive NIS, LPM), la sécurité numérique est pressée de toutes parts. Elle est sommée de prendre sa place, de s’adapter, de répondre à davantage de besoins, de convaincre et surtout de prouver son efficacité alors que la menace – parfois bruyante, souvent discrète – évolue, que le doute s’installe dans les plus grandes structures, et alors que le numérique, la came 3.0 de nos sociétés, tisse sa toile dans notre quotidien.

Si la sécurité numérique donne l’impression d’avancer, la médiatisation et les réglementations ne font pas tout.

Si elle a réussi à devenir un sujet d’Etat, elle reste un non sujet d’entreprise pour la plupart des organisations françaises, grands groupes ou PME. Elle est restée un « problème d’entreprise » ce qui est une sacrée nuance. Car qui dit « sujet » dit « stratégie »… Et c’est bien ce manque de stratégie, qui a décidé ce choix de légiférer. Côté grand public, artisans, commerçants, TPE elle n’est pas encore un problème juste une curiosité à laquelle personne ne comprend rien, un coup dur pour les victimes qui souvent ne sont pas plus avancées après leur mésaventure qu’avant, car non éduquées. Un non sujet…

2018, ça passe ou ça casse ?

Si dans toutes ces constituantes, la sécurité numérique ne parvient pas à se canaliser, alors que les indicateurs économiques se mettent peu à peu au vert, que les investissements reprennent, elle pourrait avoir le même avenir douloureux que celui de l’écologie : un sujet « bonne conscience » dont on connaît l’importance, mais qui est toujours moins prioritaire qu’un autre, le sujet porté par quelques rigoristes campés sur leur position dont on sourit en coin, ou pire celui des opportunistes, le sujet qui apporte plus de questions que de solutions et qu’on règle par simple provision de risque comptable, et surtout le sujet qui ne soulève pas les foules tant ça les dépasse…

C’est peut-être ce qu’elle doit être, après tout… mais je crois fermement qu’on peut faire mieux que de déclencher des attitudes démissionnaire, en portant haut l’engagement ferme d’assainir le far west numérique.

Cela passe d’abord par l’intelligence du compromis avec son environnement, et par une gestion du temps plus fine.

Est-ce en disant à tour de bras que la question n’est pas de savoir si on va se faire attaquer mais quand, que l’on compte motiver le public et les entreprises à se blinder ? Le fatalisme n’a jamais fait vendre !

La discipline change de nom comme de chemise. De bric et de broc, elle n’a de structure que des catégories indéfinies et changeantes au gré des sujets de son actualité. Elle donne l’impression d’être en perpétuelle quête de sens et est en situation de réaction permanente, tant le rythme de la menace a clairement imposé sa patte. Elle continue de se montrer comme l’éternelle exception au ROI. Ce petit côté candide était charmant. Avant. Il est aujourd’hui ridicule et incompréhensible.

Elle peine aussi à évaluer ses besoins, à anticiper. On a longtemps cru à une pénurie de compétences par manque de formations. Aujourd’hui, les formations existent. Des mastères professionnels sont menacés, d’autres ont du mal à remplir les rangs. Pourquoi ? Parce que donner l’envie de faire ce métier ne se voit jamais. La séduction est absente.

Comment alors former au plus vite les experts d’aujourd’hui et de demain et rattraper le manque d’anticipation ? où ? En Europe, ou en Inde et en Chine où le nombre d’étudiants est largement supérieur ?

Mais manque t-on réellement de compétences ? Les entreprises ont-elle du mal à embaucher des salariés ou manque t-on de profils répondant à un certain modèle économique ? On a souvent, moi la première, penser que les donneurs d’ordre avaient recours à la régie proposée par des SSII (ESN) pour s’affranchir des coûts RH, pour sortir les consultants sécurité au plus vite en cas de coup dur économique de la même façon que n’importe quel profil support. Alors si vraiment les entreprises étaient acculées côté ressources, il y a alors bien longtemps que les indépendants comme les consultants en régie seraient débordés. Or la réalité est tout autre. Beaucoup d’indépendants souvent rincés du système des ESN qui se sont mis à leur compte (ou des profils en régie non bradés) ne sont pas sollicités. La sécurité numérique est souvent du ressort en entreprise d’un seul homme, souvent le RSSI. Souvent débordé, il a besoin de seconds, sans réelle missions définies tant il y en a de chantiers, d’où le recours à des consultants payés au jour le jour des mois voire des années durant, une preuve que le temps de l’anticipation a cédé au temps de la réaction. Pénurie de compétence ou modèle économique à repenser ? la question est à se poser mais vite avant de créer de trop grosses distorsions dans le marché.

La sécurité numérique n’a pas basculé non plus de la case « support » à la case « processus », comme l’y invite la loi. Alors que 2017 nous a prouvé que le temps des sauvegardes et des correctifs de sécurité était implacable, quels chefs d’orchestre les RSSI vont-ils devenir et pour quelle rythmique, dans ce modèle organisationnel instable et au final « temporaire » et alors que la variable « temps » avec les « mise à jour » « analyse de la menace en temps réel », « signaux faibles », « sauvegardes », « notification dans 72 heures », « gestion de crise » vont jalonner leur quotidien ? Les entreprises n’y croient-elles déjà plus et ont-elle raison ? En Mai prochain, si des défaillances graves sont à déplorer. Y’aura t-il des sanctions ? Et si elles tardent ou sont politiquement empêchées, le fatalisme ne risque t-il pas d’entamer la confiance numérique ?

Si l’économie dépend de l’innovation, la fiabilité de l’innovation dépendra elle de sa maîtrise du temps et de son agilité à intégrer les questions de sécurité et de protection des données personnelles. Comment concilier le temps de l’innovation et le frein sécuritaire pour ne plus inonder les marchés de poupées Cayla ou autres objets connectés intrusifs ? La généralisation d’équipes DevSecOps est-elle la solution ? La création de labels à la mode Label CE est-elle viable et si oui, à quelle échéance ? Comment le maintien en conditions de sécurité peut-il alors s’opérer ? et, pour combien de temps ?
Toutes ces questions sont chevillées au corps là aussi de la confiance. La sécurité numérique ne pourra décemment pas convaincre si elle ne prouve sa capacité à guider le numérique de l’intérieur.

Mais, quelle innovation réelle en cybersécurité depuis 5 ans ? Que dire des mots « Next gen » souvent accolés à tous les produits (firewall, endpoint,…) ? Que dire également de l’abus marketing à recourir à l’intelligence artificielle dans toutes les fiches produits alors qu’on parle au lieux d’IA faible ou d’automatisation ? Qu’est-ce qui justifie de ne pas respecter le temps de la recherche et de l’évolution réelle des produits ? de promettre plutôt que de démontrer ?

Faire de la sécurité numérique l’incarnation de notre époque et non un problème anormal, en faire de métiers d’avenir qui donnent envie, qui motivent à atteindre un idéal commun et non bon à remplir les tonneaux de Danaïde, latéraliser le projet de sécurité numérique pour l’intégrer dans les projets structurants de l’entreprise et de la vie sociale, travailler et communiquer enfin sur le ROI, rendre tangible la sécurité numérique pour tous, faire basculer le discours commercial des fournisseurs basés sur la peur à un discours basé sur l’engagement et la recherche, pour en faire une cause supérieure et donc un business d’avenir à soutenir, est une tâche de fond pour 2018.

Jean d’Ormesson disait de « À la recherche du temps perdu » de Proust, qu’il s’agissait d’une œuvre avec laquelle on peut passer une vie entière. Si elle était de chair et de sang, la cybersécurité espérerait la même chose…

Les PME ne sont pas protégées contre la cybercriminalité. Après ?

« Les PME françaises sont mal protégées et absentes des statistiques. En matière de criminologie, la victimologie plaide pour une meilleure prise en compte de la victime et de sa défense. Cette discipline a pourtant longtemps fait débat quand elle s’est attachée à constituer et décrire des profils-types de victimes. Jugée contraire à sa philosophie originelle car faisant peser malgré elle le poids de la survenance de l’acte criminel sur la victime et non sur l’auteur des faits, cette pratique finit par tomber en désuétude dans les années 80. »

Retrouvez la suite de l’article « Les PME ne sont pas protégées contre la cybercriminalité. Et après ? » paru dans La Tribune, en date du 10 février 2015


 

📝   Depuis 2015, la conscience de la menace et de l’existence de risques numériques a fortement augmenté dans les PME.  Ce n’est pas forcément le cas des budgets… Les solutions pour atteindre et impliquer les PME sont plus que jamais d’actualité.