Dans le cyber-espace, on ne peut se contenter de protéger les données. La cyber-sécurité ne suffit plus. Place à la cyber-résilience, qui doit assurer notre cyber-immunité, soutient Yves Reding, CEO, EBRC.

° Un livre blanc se veut être un recueil de bonnes pratiques. «Cyber-Résilience : vers la Cyber-Reliance» ressemble davantage à un appel aux entreprises, aux communautés, aux Etats et même aux citoyens, dont le message peut se résumer par ‘dotez-vous rapidement d’une cyber-immunité !’. Faut-il comprendre par là que nous sommes tous concernés ?

Absolument ! Dans sa quête constante de progrès, l’Homme du XXIème siècle devra affronter deux défis majeurs qu’il aura lui-même engendrés : l’un porte sur le monde réel, celui de la nature, l’autre sur le monde virtuel, celui du digital. Deux challenges distincts certes, mais qui portent en eux le même impératif : la résilience.

Par résilience, il faut entendre la capacité d’une espèce, mais aussi un Etat, une organisation, une entreprise ou un individu, d’affronter et de relever les inévitables défis ou obstacles rencontrés au cours de son existence et d’en sortir grandi et mieux armé pour s’engager dans l’avenir.

° Pourquoi ce parallèle avec la nature ? Peut-on comparer l’essor de la technologie au climat ?

Le défi principal de notre époque est sans conteste celui du réchauffement climatique. Il est palpable, observable et mesurable. Il est issu des première et seconde révolutions industrielles et de l’exploitation de ses ressources clés, le charbon et le pétrole. Plus qu’une prise de conscience, il s’agit d’une véritable démarche planétaire de résilience concernant l’ensemble de l’écosystème terrestre.

L’or noir -le pétrole- a soutenu l’économie mondiale jusqu’à nos jours. Mais un autre or noir propulse l’Humanité dans une nouvelle dimension issue de la troisième révolution industrielle en cours : la donnée. Elle sera la nouvelle matière première. Déjà, elle déferle tel un tsunami constitué d’une combinaison de technologies comme l’intelligence artificielle, la robotique poussée à l’extrême, le calculateur quantique, les nanotechnologies et le génie génétique. Demain, l’écosystème planétaire sera totalement dépendant du digital. Les technologies digitales pourraient considérablement améliorer la condition humaine, comme avant elles la force motrice et l’électricité l’ont fait. Mais elles sous-tendent inexorablement de nouveaux risques et de nouvelles menaces qu’il s’agit d’identifier, de reconnaître et de maîtriser.

° De nouveaux risques, donc, mais incomparables. Dans le monde physique et réel, Homo Sapiens reconnait naturellement les menaces et s’en protège. Pas dans le cyber-espace, ce monde nouveau, dont on ignore encore les pourtours…

En effet. Dans le cyber-espace, Homo Sapiens est immature, il n’a pas encore pu développer l’équivalent de son système immunitaire hérité de générations d’exploits et d’adaptations face à l’adversité. Il ne reconnait pas naturellement les menaces digitales de base et doit même encore apprendre les gestes élémentaires d’hygiène numérique.

° N’est-ce pas le propre de toutes les nouvelles technologies ?

Voyons plus loin, voyons par-delà les technologies. Ce nouveau monde que l’on nomme le cyber-espace, s’impose tellement rapidement qu’il constituera, à terme, l’univers central de l’Humanité : parallèle au monde physique, mais impalpable et virtuel. L’Homme devra s’y adapter rapidement. Or, dans cet univers, les menaces sont d’autant plus difficiles à appréhender qu’elles sont imperceptibles pour les cinq sens humains. Même protégé, le cyber-espace demeure un environnement risqué faute de disposer d’un système de défense de type immunitaire… Prenons l’exemple des réseaux sociaux : dans cet environnement, Homo Sapiens, dépourvu de capacité de détection des menaces numériques, est une proie fragile et facile, incapable de détecter le danger. Ce champion de la maîtrise des menaces du monde réel, à la conquête du cyber-espace, doit faire face à des menaces invisibles et inodores : virus, malwares divers, attaques, avec comme conséquences destruction, modification et vol de données, atteintes à la confidentialité des secrets de fabrication, des données clients, à la vie privée, etc.

L’augmentation fulgurante des menaces digitales en 2017 et en 2018 ainsi que de leur complexité en est la preuve et a pour conséquence d’élever considérablement les niveaux de risques. Tous, aujourd’hui, nous sommes devenus vulnérables. Dans le cyber-espace, le risque n’est plus possible, mais certain : 100% connaîtront un grave incident de cyber-sécurité. Tôt ou tard…

N’est-ce pas une vision… alarmiste ?

… Réaliste ! Les années 2017 et 2018 ont mis à rude épreuve les systèmes informatiques et les professionnels de la cyber-sécurité. Des attaques DDoS massives et plusieurs épidémies de ransomwares ont perturbé les activités de nombreuses organisations internationales. Des entreprises et des particuliers se sont vus pris en otage, paralysés par des attaques malveillantes. Des processus électoraux au sein de pays démocratiques ont même été perturbés par des cyber-activistes aux intentions douteuses. 2017 et 2018 ont été des années charnières dans le mouvement de nos sociétés vers une ère numérique. La révélation du détournement de l’utilisation des données Facebook par Cambridge Analytica, la production industrielle et malveillante de ‘fakenews’ à des fins de manipulation, tout ceci met en évidence les fragilités de nos organisations et les failles de nos sociétés de plus en plus digitales.

Ces nouvelles menaces peuvent être dévastatrices pour les Etats, les organisations, les entreprises et les citoyens. Elles portent sur des risques liés à la disponibilité, à la confidentialité ainsi qu’à l’intégrité des données. Elles revêtent différentes formes. Malveillance, défaillance, négligence, délinquance, déviance… sont autant de comportements ou de dysfonctionnements déjà présents dans le monde cyber.

° Que faire ? Ne sommes-nous pas face à une situation inéluctable ?Non, je ne le pense pas. Nous ne faisons que pénétrer un nouvel environnement, inconnu. Nous n’avons, en tant qu’utilisateurs de services digitaux, pas encore acquis les réflexes de protection élémentaires qui sont pourtant innés dans le monde physique. Par analogie, l’enjeu consiste à développer pour le cyber-espace un système immunitaire qui assure par nature et ‘by design’ la protection de l’ensemble des activités et des opérations qu’il traite quotidiennement en mode ‘business as usual’.

Il est vital et urgent d’intégrer ce changement de paradigme. L’approche traditionnelle de la cyber-sécurité est dépassée. Dans le monde digital en cours de construction, il faut une approche plus globale et intégrée : la cyber-résilience. L’objectif est de devenir capable en permanence, face aux menaces, de les prévenir, de les identifier, de se préparer, de se protéger, de les détecter, de les analyser, d’y répondre et, surtout, de récupérer, afin d’en sortir plus fort. Tel est notre challenge. En synthèse, il s’agit de se doter d’une cyber-immunité qui, confrontée à des menaces permanentes et changeantes, s’adapte et se renforce naturellement.

° Déjà, nous nous protégeons. Des outils existent, des services sont en place. Le marché de la cyber-sécurité est en plein essor. N’est-ce pas suffisant ?

Centrée sur la protection des données, la cyber-sécurité montre clairement ses limites, même si elle reste importante et représente un ‘minimum vital’. Trop restrictive, la cyber-sécurité doit être renforcée par une approche globale et totalement intégrée : la cyber-résilience. La cyber-résilience se veut holistique et systémique, proactive et en auto-apprentissage, dans un monde digital qui devient de plus en plus complexe. Personnalisable, elle doit être intégrée aux enjeux organisationnels et business. Encore une fois, il s’agit d’aller au-delà d’une stratégie de pure défense et de gérer les risques naturellement, ‘by design’, dans un mode ‘business as usual’.

La cyber-résilience est une méthodologie qui doit devenir une culture ayant pour objectif de constamment pouvoir préparer, identifier, protéger, détecter, analyser, répondre et récupérer suite aux incidents et menaces, restaurer les systèmes et les processus pour garantir la continuité de l’activité, donc de récupérer même après un impact. Il s’agit de développer, pour chaque activité dépendant du numérique, un système immunitaire performant. Pour ce dernier soit efficient, il faut que les différentes composantes de l’organisation interagissent de manière coordonnée, selon une approche systémique.

Il s’agit de s’inspirer de la nature et d’utiliser le biomimétisme pour concevoir un système de défense digital disposant des mêmes vertus. Ce système de défense cyber-immunitaire protégera le cyber-espace, communiquera et se mobilisera face aux menaces. Il devra apprendre de son environnement et donc évoluera et s’améliorera en permanence.

Le Livre Blanc EBRC 2018 «Cyber-Résilience vers la Cyber-Reliance» est téléchargeable gratuitement sur le site web EBRC : https://ebrc.com/fr/livres-blanc