Accueil Revues Revue Numéro Article

Sécurité et stratégie

2012/4 (11)


ALERTES EMAIL - REVUE Sécurité et stratégie

Votre alerte a bien été prise en compte.

Vous recevrez un email à chaque nouvelle parution d'un numéro de cette revue.

Fermer

Article précédent Pages 74 - 83 Article suivant

Des priorités entrepreneuriales et stratégiques

1

La sécurité [1][1] à comprendre dans cet article selon son acception la... est une matière évolutive qui s’inscrit dans les changements de notre monde global et hyperconnecté. Piloter une entreprise nécessite des compétences complexes alliant capacité de management, vision proactive, sens des opportunités. Les chefs d’entreprise sont unanimes pour dire que la première qualité est d’être bien entouré. Ce qui entend être entouré de compétences permettant à l’entreprise de maintenir son rang, de se projeter dans l’avenir, d’assurer sa place dans un environnement compétitif dont les facteurs sont sans cesse revus et corrigés et liés à des évènements difficilement prévisibles.

2

La sûreté est devenue un enjeu de premier plan pour les entreprises conscientes de la nécessaire approche globale des menaces. Même les instances et organisations internationales au service des entreprises les plus florissantes abordent le sujet, ne s’attardant plus seulement sur la cyber-sécurité, sujet par essence technique mais travaillant sur la cyber-résilience, plus au cœur des priorités entrepreneuriales et stratégiques.

3

Après en avoir compris les contours et définitions sans exclure la délicate maîtrise des risques cachés, la gouvernance de l’entreprise pourra utilement aborder la nécessaire approche pluridisciplinaire de la sécurité ancrée dans un environnement juridique maîtrisé.

D’une définition de la cyber-résilience aux exigences de sécurité : quelle gestion de risques ?

Cyber-sécurité ou cyber-résilience ?

4

Selon Boris Cyrulnik, « la résilience, c’est l’art de naviguer dans les torrents » [2][2] Extrait d’une interview avec Antoine Spire - Le Monde.... Une définition plus académique fut introduite dans la langue française en 1932. « Résilient » est dérivé du nom féminin, défini en 1911, exprimant le rapport de l’énergie cinétique absorbée nécessaire pour provoquer la rupture d’un métal, à la surface de la section brisée. Il qualifie ainsi une certaine résistance au choc. Depuis lors, que ce soit dans le domaine de l’écologie, de la psychologie, du management, de l’informatique ou encore de l’économie, la résilience est relative à la capacité d’un « système » à pouvoir continuer à opérer, si possible normalement, après un incident, un choc, une perturbation ou une panne.

5

Parler de cyber-résilience aujourd’hui revient à admettre qu’il est impossible d’empêcher l’avènement de cyber-incidents, que le cyber-espace est un monde fragile, instable et potentiellement hostile. Faire de la cyber-résilience ne signifie pas se résoudre à l’incapacité de protéger correctement les infrastructures informationnelles, mais plutôt à reconnaître objectivement l’insuffisante efficacité des mesures de sécurité préventives, qu’elles soient d’ordre politique, organisationnelle, managériale, juridique ou technique.

6

Le World Economic Forum s’est saisi de cette question et traite des risques globaux liés à l’hyper connectivité, à la cybercriminalité, en d’autres termes de la cyber-résilience prise au sens large. Ces problématiques sous-tendent de multiples enjeux liés entre autres, à la protection des données personnelles, au rôle de la confiance, à la nécessité des partenariats ou encore de la répartition des responsabilités en la matière [3][3] Cf. rapport « Risk and Responsibility in a Hyperconnected.... Ce type d’initiative reflète l’importance des risques générés par l’usage extensif des technologies de l’information et de la communication et leurs reconnaissances au niveau mondial, au plus haut degré des instances politiques et économiques gouvernantes.

7

La cyber-sécurité ne doit pas s’inscrire uniquement dans une logique de réactivité qui permet d’être préparé à « survivre » à un cyber-incident d’origine intentionnelle ou non. Bien que cette capacité à résister soit fondamentale et absolument nécessaire, elle ne peut suppléer à l’absence tant d’une approche globale multi-acteurs aux niveaux national et international, que de l’appréhension du phénomène relevant pour l’essentiel de la cybercriminalité et de la réalité des cyber-attaques.

Un changement de paradigme de la protection

8

La cybercriminalité est avant tout une forme de criminalité qui s’inscrit dans un contexte sociétal particulier dont les « armes » peuvent également servir des stratégies économiques, politiques ou militaires. Les cyber-attaques contribuent à faire la guerre économique et tout simplement la guerre, en dehors des champs de bataille traditionnels tels que connus jusqu’à présent. Les cyber-attaques sont à la portée de tous, ou presque, comme en témoignent les attaques en déni de service ou en défiguration de sites web émanant de groupes tel Anonymous pour ne citer que cet exemple. Chacun peut se muer en acteur actif ou passif de la cybercriminalité et un équipement familier comme un smartphone ou un ordinateur peut devenir une arme. Cela change considérablement le paradigme de la protection car contrairement au passé, il n’est plus possible de sécuriser un périmètre particulier. En effet, Internet est un abolisseur de frontières géographique et temporelle, un abolisseur de frontières entre les mondes civils et militaires, entre les espaces privés et professionnels, entre les jeunes et les moins jeunes. De surcroît, la notion de coffre-fort électronique, représentée par la mise en œuvre de mécanismes cryptographiques pour mettre à l’abri des données sensibles ne permet pas de garantir leur protection absolue.

Des vulnérabilités sans cesse découvertes [4][4] Ce paragraphe, comme les cinq suivants sont adaptés...

9

Il suffit de consulter les bulletins d’information hebdomadaire du CERT [5][5] http://www.us-cert.gov/ pour prendre conscience du nombre de vulnérabilités constamment découvertes relatives à un défaut de sécurité des éléments constitutifs des systèmes d’information. Chaque semaine, les bulletins du CERT résument en les classifiant en degré de sévérité (Haut, Moyen, Bas) les nouvelles vulnérabilités enregistrées auprès du NIST (National Institute of Standards and Technology) dans la base nationale de vulnérabilités (National Vulnerability Database (NVD)) [6][6] La base NVD est supportée par le département de la.... Ainsi par exemple, le bulletin SB 12-289 de la semaine du 8 octobre 2012 relève 79 vulnérabilités de niveau Haut (concernant entre autres des produits Microsoft, Google, Mozilla, Adobe), 111 de niveau Moyen et 13 de niveau Bas.

10

Il est extrêmement difficile pour un administrateur système ou responsable sécurité de se tenir à jour et de déployer les moyens pour installer les rustines (patchs) de sécurité nécessaires. Les organisations sous-estiment souvent l’importance de cette fonction de veille stratégique et opérationnelle qui permet de connaître les vulnérabilités, puis d’en analyser l’impact éventuel sur leur sécurité afin d’en prévenir l’exploitation. Pareille fonction demande des ressources et des moyens non négligeables que peu d’entreprises sont capables d’offrir à leur équipe en charge de la sécurité. Cela explique, pour une part, la vulnérabilité persistante des systèmes d’information. Les cybercriminels le savent bien, il est plus facile de pénétrer un système d’information en exploitant une faille d’une suite bureautique que de s’attaquer directement aux barrières de sécurité le protégeant. La plupart des cyber-attaques d’envergure tirent partie de failles de sécurité anciennes non patchées relevant plus d’un défaut d’ordre managérial et procédural que de celui d’une solution de sécurité à proprement parler. A titre d’exemple, la cyber-attaque réussie de l’entreprise fournisseur de solutions de sécurité RSA Security Division de EMC Corporation [7][7] http://www.emc.com/ en mars 2011 [8][8] Source : http://www.rsa.com/node.aspx?id=3872 fut basée sur le leurre d’un employé appartenant au service des ressources humaines et sur l’exploitation d’une faille bureautique connue.

11

La sécurité informatique doit, d’une part, s’adapter aux paradigmes mouvants de l’informatique et des télécommunications et, d’autre part, à celui de la criminalité, tout en s’inscrivant dans une logique de rentabilité pour l’organisation qui la met en œuvre. Or, la multiplicité des éléments matériels, logiciels, réseaux et des acteurs impliqués, comme parfois, l’inexpérience et l’inconscience de certains utilisateurs, favorisent l’expression de la criminalité informatique. L’inadéquation plus que l’insuffisance des moyens de protection face aux risques réels détermine un état d’insécurité qui profite aux criminels. Les solutions de sécurité sont des réponses statiques à un problème dynamique, mais sont surtout des réponses d’ordre technologique à des problèmes humains, managériaux, économiques et légaux, induisant un faux sentiment de sécurité. De plus, les technologies de sécurité existantes peuvent être défaillantes ou incohérentes, induire de nouvelles failles et donc générer de nouveaux risques, avoir des implémentations complexes ou encore être contournées par des procédures parallèles. Toutefois, les organisations possèdent une certaine capacité à réagir aux événements majeurs ainsi qu’une relative maîtrise de la complexité induite par les technologies du numérique.

Les facteurs de sécurité sont multiples et exigent une approche multidisciplinaire concertée

Pour une approche cohérente et intégrative de la sécurité

12

Force est de constater que les infrastructures informatiques et de télécommunication possèdent des failles de sécurité, que des produits vulnérables continuent à être commercialisés et que l’expertise des attaquants comme le nombre de cyber-attaques ne cessent de croître. Sans une volonté et une responsabilité de tous les acteurs (du producteur au consommateur) ainsi qu’un partenariat efficace des secteurs privés et publics, toute mesure de sécurité qu’elle soit d’ordre technologique ou législative, ne constituera qu’une approche partielle, donc insuffisante et de peu d’efficacité, à la maîtrise de la criminalité informatique. Il est illusoire de penser que des solutions d’ordre technologique ou juridique viendront suppléer les erreurs de conception et de gestion de l’informatique et des télécoms, ou pallier des usages abusifs des technologies, que cela soit au niveau stratégique, tactique ou opérationnel.

Être proactif pour réagir efficacement

13

S’il est nécessaire de prévenir et de dissuader les cyber-abus en développant des mécanismes de justice et d’investigation, il reste primordial d’identifier dans les politiques de sécurité, les mesures qui permettront de réagir aux attaques et d’en poursuivre leurs auteurs. La lutte contre la criminalité informatique s’inscrit le plus souvent dans une démarche de réaction et de poursuite. Celle-ci s’effectue a posteriori, c’est-à-dire après la survenue d’un sinistre qui reflète la défaillance des mesures de protection. En pratique, cela se traduit le plus souvent par l’appréhension d’une problématique de ratios notamment entre les coûts des mesures et les impacts des délits potentiels, et entre les délais d’intervention des investigateurs et les délais de restauration des contextes de travail par les responsables de sécurité. Investigateurs et responsables de sécurité répondent à des logiques de travail et à des objectifs différents, dans des échelles de temps distinctes. Il est alors important de concevoir et de réaliser des plans de continuité et des plans de secours qui intègrent les contraintes liées à l’investigation et à la poursuite de la criminalité informatique. Ainsi, les responsables sécurité des organisations devraient être sensibilisés aux contraintes d’une enquête policière (documentation minimale relative à l’incident, conservation des traces, etc.). Cette mesure n’a de sens que lorsque les incidents sont effectivement rapportés à la justice, ce qu’il convient de systématiser. L’État doit alors favoriser le signalement des agressions liées au cyber-crime et instaurer la confiance entre les différents acteurs du monde économique et les services de justice et de police.

Ingénierie et management : un couple indissociable

14

Au-delà de la nécessaire dimension d’ingénierie de la sécurité, cette dernière relève avant tout d’un acte de management. L’efficacité de la sécurité dépend le plus souvent de la qualité de sa gestion et des personnes qui en sont responsables. Réduire la sécurité à sa dimension technologique, c’est assurer son échec. Par ailleurs, se retrancher derrière des règles de sécurité prédéterminées, des réglementations ou des produits « leaders » du marché, sans valider leur adéquation aux besoins de l’organisation, peut mettre en péril la mission de sécurité.

15

Les mesures de sécurité mises en place tendent à protéger un environnement donné dans un contexte particulier, mais ne peuvent aucunement empêcher la conduite d’activités criminelles au travers d’Internet. Celles-ci sont favorisées par différents facteurs :

  • Les caractéristiques du cybercrime (capacité à être automatisé, savoir-faire embarqué dans le logiciel, réalisation à distance) ;

  • La possibilité offerte au cybercriminel d’usurper facilement et sans risque excessif, l’identité d’utilisateurs légitimes, ruinant par là même la capacité de la justice à identifier les auteurs réels d’une infraction ;

  • La détermination des compétences pour réaliser une enquête ;

  • La pénurie de ressources humaines et matérielles au sein des services chargés de la répression des délits informatiques ;

  • Le caractère transnational de la cybercriminalité qui nécessite des recours fréquents à la coopération et à l’entraide judiciaire internationale. Cette dernière implique des contraintes de temps non compatibles avec la rapidité d’exécution des agressions et les besoins de reprise immédiate des systèmes informatiques concernés par les cyber-attaques ;

  • La difficulté à qualifier les faits au regard de certaines législations pénales ;

  • L’existence de paradis digitaux (pays où il n’existe pas de lois incriminant le cybercrime) ;

  • La nature mal définie et la volatilité de la plupart des preuves informatiques.

Une vigilance accrue

16

Outre la dimension juridique directement associée à une menace criminelle (qu’elle soit d’origine interne ou externe), l’organisation doit être vigilante au respect de la protection des données à caractère personnel de ses employés comme de celles de ses clients, fournisseurs ou partenaires. La législation en matière de traitement des données à caractère personnel et de protection de la sphère privée est également un facteur qui pousse les entreprises à gérer correctement leur sécurité, notamment en ce qui concerne la gestion des données utilisateurs, la surveillance des communications et des employés, la gestion des sauvegardes et le traitement automatisé de données à caractère personnel. Plusieurs directives du Parlement européen, du Conseil de l’Europe depuis 1981 abordent ces questions et mettent en avant le respect des droits fondamentaux.

17

L’usage abusif d’Internet hors du cadre strictement professionnel par des employés (cyberslacking) est à l’origine de nouvelles menaces pour l’organisation (risques de fuite de données, divulgation d’informations sur des réseaux sociaux, introduction de programmes malveillants, détournement des ressources de l’organisation, etc.). Sans même évoquer les pertes de productivité, cela peut induire des problèmes de sécurité et potentiellement mettre en cause la responsabilité civile ou pénale de l’entreprise et de l’employé.

18

Pour tenter de maîtriser l’usage non professionnel et adéquat des outils de communication mis à disposition par les organisations ou les entreprises pour leurs employés, ces dernières peuvent être tentées d’utiliser des outils de surveillance pour contrôler l’usage fait des ressources informatiques et télécoms (notion de cyber-surveillance des employés), de mettre en place des mesures d’enregistrement de toutes les transactions et communications de leurs employés et de détection de comportements en ligne potentiellement dangereux pour l’institution.

19

Lors de la mise en place de procédures de cyber-surveillance, les organisations doivent être attentives à respecter le droit à la vie privée de leurs employés, éviter l’abus de contrôle excessif et se conformer aux lois en vigueur dans ce domaine. Les Etats occidentaux dans leur grande majorité encadrent cette dérive. La CNIL (Commission Nationale Informatique et Libertés [9][9] http://www.cnil.fr/) veille au grain en France, comme le Préposé fédéral à la protection des données et à la transparence en Suisse [10][10] http://www.edoeb.admin.ch/index.html?lang=fr. Dans la plupart des pays, la législation, la doctrine et la jurisprudence recommandent que la mise en œuvre de la cybersurveillance soit préalablement accompagnée d’une charte d’utilisation de l’informatique et des télécommunications. Toutefois, il existe des contradictions majeures entre le fait que les organisations soient responsables des actes illégaux de leurs employés (ce qui les conduits à mettre en place des outils de surveillance) et l’obligation faite aux organisations de respecter l’intimité numérique de ces derniers.

20

Il est constaté que la démarche sécuritaire est souvent limitée à la mise en place des mesures de réduction des risques pour les valeurs informationnelles des organisations. Or, l’approche sécuritaire doit également répondre aux besoins de sécurité des individus, notamment en ce qui concerne la protection de leur vie privée et le respect de leurs droits fondamentaux dans le cadre de leur activité professionnelle.

La conformité règlementaire et l’intelligence juridique comme leviers de la sécurité

21

Depuis le scandale financier Enron au début des années 2000, la conformité à des réglementations est en passe de devenir une préoccupation majeure des dirigeants des grandes organisations. La preuve en est l’apparition d’un nouveau métier celui de Chief Compliance Officer : personne possédant une grande compréhension des technologies de l’information tout en étant compétente en droit et dans le domaine d’activité de l’entreprise. Déplaçant ainsi les frontières traditionnelles d’une approche verticale des problématiques business, l’organisation recourt aux réglementations comme celles de Sarbannes-Oxley (SOX) par exemple, pour démontrer que des pratiques frauduleuses n’ont pas cours. Ainsi, le respect des contraintes réglementaires permet d’établir la confiance au travers de la mise en place d’un certain nombre de contrôles internes, répondant aux exigences spécifiées par le Sarbannes-Oxley Act, 2002[11][11] http://www.soxlaw.com/, qui concernent notamment le type d’information à conserver et leur durée de conservation.

22

Cette fonction de Chief Compliance Officer peut tout aussi bien être occupée, selon la taille et le modèle d’organisation de l’entreprise, par le responsable de la sécurité des systèmes d’information, le directeur juridique, le risk manager ou même le directeur de la sécurité. Ce dernier exerce alors un rôle global incluant tant la sûreté que la sécurité des systèmes d’informations voire tout ou partie du risk management. Cette vision d’ensemble le positionne dans un rôle de conseiller particulièrement averti.

23

L’enjeu pour les organisations est alors de pouvoir s’appuyer sur des technologies de l’information afin de conserver, traiter et restituer, en toute sécurité et à un coût optimal, les données permettant de vérifier la conformité à une loi. Au regard de la responsabilité civile et pénale engagée par les dirigeants, ces derniers ont tout intérêt à se doter des compétences nécessaires à la maîtrise de ce nouveau type de risque réglementaire et mettre en œuvre des solutions de sécurité informatique fiables, pour avoir confiance dans les informations à partir desquelles les décisions sont prises. Ainsi, bien que SOX n’ait rien à voir à proprement parler avec la sécurité des technologies, cela n’empêche pas le marché des services et produits de la sécurité d’en tirer partie, le plus souvent à grand renfort d’actions marketing. La réglementation peut pour certains être considérée comme un levier commercial ou comme un levier pour développer la sécurité des systèmes d’information. Des lois peuvent contribuer à favoriser l’adoption de comportements sécuritaires.

24

La problématique de la conformité règlementaire des systèmes d’information se traduit notamment par une problématique de confiance dans les informations analysées. Cette confiance peut se construire par l’implémentation de mesures de la sécurité des technologies manipulant ces informations et sur ces dernières (notion de sécurité informatique et de sécurité informationnelle).

25

Cela déplace la problématique de la confiance dans les informations vers la confiance dans la sécurité.

26

Or la sécurité est avant tout une question de gestion des risques et non pas une question de conformité à des normes ou règlementations. Ce n’est pas parce qu’un système est en conformité réglementaire qu’il est forcément bien sécurisé. Ce ne sont pas des normes, ni des lois qui produisent de la sécurité. Par ailleurs, peu d’études ont été conduites pour connaître l’impact des réglementations sur le niveau de sécurité des organisations. Est-ce que le fait d’être en conformité à des lois permet d’augmenter de manière significative la qualité, l’efficacité et la sécurité des technologies de l’information ?

27

Pour les organisations, l’intelligence juridique peut devenir une clé du succès de la sécurité informatique. La responsabilité pénale des acteurs, — du directeur de la sécurité ou de celui des systèmes d’information par exemple — est de plus en plus invoquée lorsque les ressources informatiques qu’ils gèrent sont l’objet ou le moyen d’une fraude. Dans ce contexte, les responsables peuvent se protéger contre un délit de manquement à la sécurité en démontrant que des mesures suffisantes de protection du système d’information et des données ont été adoptées. Les responsables d’entreprises doivent être extrêmement attentifs à l’égard du droit des nouvelles technologies et des exigences légales qui peuvent s’appuyer sur la notion d’obligation de moyens.

28

Les enjeux juridiques liés à la sécurité informatique portent sur de nombreux aspects : la conservation des données, la responsabilité des prestataires techniques ou des hébergeurs, la gestion des données personnelles des clients, la cybersurveillance des employés, la propriété intellectuelle, les contrats informatiques, ou encore la signature électronique par exemple.

29

Une appréhension globale et systémique des risques et une approche transversale et intégrative de toutes les dimensions de la sécurité informatique, à savoir politique, économique, organisationnelle, juridique, technologique et humaine, ainsi qu’une prise de responsabilité de l’ensemble des acteurs, peuvent contribuer à renforcer la protection du patrimoine numérique de la société.

30

Le véritable défi est de pouvoir assurer la cohérence d’ensemble des mesures de sécurité alors qu’il existe une réelle pluralité des acteurs impliqués (ingénieurs, développeurs, auditeurs, intégrateurs, juristes, investigateurs, clients, fournisseurs, utilisateurs, etc.) qui ne parlent pas le même langage. Il en résulte souvent une confrontation de visions et d’intérêts différents qui est souvent contreproductive.

Cyber-risques et dépendances

Peut-on réellement maîtriser tous les cyber-risques face à l’existence de risques cachés ?

31

Les impératifs opérationnels de la cyber-sécurité ne devraient pas occulter la problématique plus large de la dépendance des infrastructures numériques à des fournisseurs de services, de cloud computing, ou de capacités de télécommunication, géants incontournables de l’Internet ou de la téléphonie mobile, devenus de véritables empires à la volonté hégémonique affichée. Le doute relatif à leur « neutralité » est d’autant plus pertinent que certains de ces acteurs sont actifs dans le domaine de l’intelligence économique et connus pour leur savoir-faire en matière d’extraction des données, pour leur exploitation stratégique, tactique et opérationnelle. Si oser les comparer à la lamproie, vertébré marin primitif qui se fond dans le paysage et qui pour survivre parasite une proie à laquelle elle se fixe pour en siphonner son sang, est peut être exagéré, il n’est pas moins actuel de s’interroger si leur stratégie d’expansion ne s’inspire pas du « stratège de la lamproie ».

32

La montée en puissance de certains groupes mondialisés, y compris issus du BRICS [12][12] BRICS : Brésil, Russie, Inde, Chine, Afrique du Su... de plus en plus actifs dans le domaine des technologies de l’information, induit de nouveaux risques notamment liés à l’espionnage industriel et à leur capacité à réaliser un fichage des utilisateurs, voire un « flicage » des échanges et cela à l’échelle mondiale.

33

Dans ce nouveau contexte, comment satisfaire le besoin de développement durable de l’économie et de la souveraineté nationale surtout lorsque l’on devient dépendant d’un acteur économique tiers qui possède des liens avérés avec un autre pays ? Seule une approche globale de la sécurité fondée sur une maîtrise juridique permet de positionner durablement, aussi, l’entreprise.

34

Avant même de devenir dépendant d’un fournisseur étranger pour une infrastructure vitale, telles que sont devenues l’informatique et les télécommunications pour la société, il serait nécessaire de se poser la question de savoir si les économies à court terme, induites par une telle sous-traitance, sont justifiées au regard de la perte de la maîtrise des technologies, des savoir-faire et du risque de détournement d’information ou d’exploitation abusives des données. Il s’agit de choix qui impactent durablement les développements futurs des entités qui s’allient à des fournisseurs tiers, et qui s’accompagnent généralement de la perte de maîtrise des données et infrastructures, de celle des capacités de R&D, mais aussi de délocalisation ou de chômage pour les employés de la structure cliente. De plus, le retour en arrière est souvent impossible et les préjudices subis irrémédiables. Est-ce que le droit des contrats ou la bonne foi affichée d’un prestataire suffisent à garantir le respect de clauses contractuelles et la protection des données ?

35

Faire preuve de naïveté revient à méconnaitre les règles actuelles d’une économie en réseau mondialisée et revient également à :

  • Ignorer la volonté non cachée des puissances alternatives (BRICS entre autres) de devenir des superpuissances capables de supplanter les Etats-Unis, y compris dans le domaine des technologies de l’information ;

  • Faire fi de l’histoire, de la culture du renseignement, de la surveillance, du contrôle d’Internet, de la contrefaçon, de la culture des Droits de l’Homme de la plupart des pays émergents, voire totalement émergés.

36

Cet état d’esprit s’accompagne le plus souvent d’une incompréhension de l’environnement géostratégique dans lequel la société de l’information évolue et du refus de considérer la guerre commerciale comme une façon de faire la guerre par des moyens non militaires. Les télécommunications sont des armes stratégiques, qui peuvent être destructrices à long terme et qui, à l’instar de la lamproie, ont le temps de leur côté … Désormais, l’un des meilleurs moyens de remporter la victoire est de contrôler et non de tuer, notamment par le biais de la maîtrise de l’informatique et des télécoms, de la cyber-sécurité et par celle du renseignement stratégique et économique.

37

Dans le jeu des alliances il n’y a pas d’amis mais seulement des intérêts. Il est fort probable que certains acteurs sauront optimiser les opportunités offertes par de nouveaux partenariats dont les objectifs affichés dissimulent des ambitions cachées afin de gagner de nouvelles sphères d’influence et étendre leurs parts de marché, leur pouvoir et leur suprématie. C’est au travers de ces enjeux multiples et complexes que le directeur de la sécurité puise dorénavant sa légitimité et sa compétence.

De la responsabilité des directeurs de sécurité

38

Les directeurs de la sécurité des entreprises sont des acteurs essentiels et indispensables de la chaîne de la sécurité numérique. La réussite de leur mission passe impérativement par la compréhension par leur hiérarchie (executive management et conseil d’administration) des enjeux et de l’environnement géostratégique, politico-économique et technico-juridique dans lesquels elle s’inscrit. Ce n’est pas parce que les environnements technologiques sont résilients et que les équipes savent gérer au mieux les incidents que tout va bien et qu’il n’est pas nécessaire de continuer à investir en matière de cyber-sécurité. C’est à partir de cette compréhension que la notion de responsabilité individuelle et collective peut prendre tout son sens et que des moyens peuvent être dégagés et des mesures ad hoc mises en place, non pas dans une logique de retour sur investissement immédiat mais dans celle de développement durable.

Conclusion : l’urgence du maintenant au service d’une vision à long terme

39

Identifier correctement les risques et pouvoir les exprimer contribuent à leur maîtrise. Mais qu’en est-il en matière de cyber-risques ? L’exercice est-il seulement réalisable du fait de l’interdépendance des infrastructures, des multiples acteurs impliqués, de la complexité des environnements ou encore de la non transparence des solutions de sécurité ? Peut-on vraiment par exemple, en tant qu’utilisateur dépendant d’infrastructures de télécommunication fournit par des tiers, être en mesure de disposer d’une vue globale et intégrée de tous les risques relatifs ?

40

Seule une approche globale du métier embrassant un spectre large de compétences et de domaines d’actions, allant de l’analyse de risques à la cyber-sécurité, en passant par la protection des sites et celle des expatriés, combinée à une analyse fine des enjeux géopolitiques et de la stratégie de l’entreprise, permet à l’entreprise moderne, par essence globalisée ou confrontée à la mondialisation, de conserver une place ancrée par sa compétitivité et son savoir-faire.


Bibliographie

  • C. Aghroum, « Les mots pour comprendre la cyber-sécurité et profiter sereinement d’Internet », Lignes de Repère, 2010.
  • CDSE, « Livre Blanc : la fonction sûreté dans l’entreprise », Ouvrage collectif, 2012.
  • S. Ghernaouti-Hélie, « Sécurité informatique et réseaux », Dunod, 3ème édition, 2011.
  • S. Ghernaouti-Hélie, A. Dufour, « Internet », Que-sais je ? PUF 11ème édition, 2012.
  • S. Ghernaouti-Hélie, « La cybercriminalité, le visible et l’invisible », PPUR, 2009.
  • M. Quemener, Y. Charpenel, « Cybercriminalité, Droit pénal appliqué », Economica, 2010.
  • World Economic Forum, « Partnering for cyber-resilience », Newsletter, September 2012.

Notes

[1]

à comprendre dans cet article selon son acception la plus large…

[2]

Extrait d’une interview avec Antoine Spire - Le Monde de l’éducation - Mai 2001

[3]

Cf. rapport « Risk and Responsibility in a Hyperconnected World : Pathways to Global Cyber-Resilience »

http://www.weforum.org/reports/risk-and-responsibility-hyperconnected-world-pathways-global-cyber-resilience.

Par ailleurs, toute une partie du rapport « Organised Crime Enablers » de juillet 2012 est consacré à la cybercriminalité.

http://reports.weforum.org/organized-crime-enablers-2012/

[4]

Ce paragraphe, comme les cinq suivants sont adaptés du livre « Sécurité informatique et réseaux », S. Ghernaouti-Hélie, Dunod 3ème édition 2011.

[6]

La base NVD est supportée par le département de la sécurité nationale (Department of Homeland Security (DHS) - National Cyber-Security Division (NCSD) / United States Computer Emergency Readiness Team (US-CERT)

Source : http://www.us-cert.gov/cas/bulletins/SB12-289.html

[12]

BRICS : Brésil, Russie, Inde, Chine, Afrique du Sud.

Résumé

Français

Le risque zéro n’existe pas et le cyber-risque zéro encore moins. Parce qu’il est impossible d’empêcher l’apparition de l’ensemble des cyber-incidents, il convient d’appréhender la question de la cyber-sécurité également sous l’angle de la résilience des infrastructures. C’est l’approche développée ici par Solange Ghernaouti, Professeur à l’université de Lausanne, directrice du Swiss Cybersecurity Advisory & Research Center, et Christian Aghroum, Administrateur et président du groupe « sécurité numérique » du C.D.S.E. Les auteurs reconnaissent les difficultés éprouvées par les organisations à prévenir des actes de cyber-malveillance et à maîtriser des cyber-risques.
Ils en déduisent le besoin impérieux pour les responsables sécurité d’effectuer une veille stratégique concernant la découverte de nouvelles vulnérabilités et de développer les mesures pragmatiques pour renforcer la robustesse des infrastructures qu’ils doivent protéger. Les auteurs notent que la cyber-sécurité est par essence multidisciplinaire et que son efficacité repose sur la complémentarité des approches politique, économique, managériale, juridique et technologique. La conformité règlementaire et l’intelligence juridique apparaissent notamment comme de véritables leviers de sécurité.

Plan de l'article

  1. Des priorités entrepreneuriales et stratégiques
  2. D’une définition de la cyber-résilience aux exigences de sécurité : quelle gestion de risques ?
    1. Cyber-sécurité ou cyber-résilience ?
    2. Un changement de paradigme de la protection
    3. Des vulnérabilités sans cesse découvertes
  3. Les facteurs de sécurité sont multiples et exigent une approche multidisciplinaire concertée
    1. Pour une approche cohérente et intégrative de la sécurité
    2. Être proactif pour réagir efficacement
    3. Ingénierie et management : un couple indissociable
    4. Une vigilance accrue
    5. La conformité règlementaire et l’intelligence juridique comme leviers de la sécurité
  4. Cyber-risques et dépendances
    1. Peut-on réellement maîtriser tous les cyber-risques face à l’existence de risques cachés ?
    2. De la responsabilité des directeurs de sécurité
  5. Conclusion : l’urgence du maintenant au service d’une vision à long terme

Pour citer cet article

Ghernaouti Solange, Aghroum Christian, « Cyber-résilience, risques et dépendances : pour une nouvelle approche de la cyber-sécurité », Sécurité et stratégie, 4/2012 (11), p. 74-83.

URL : http://www.cairn.info/revue-securite-et-strategie-2012-4-page-74.htm


Article précédent Pages 74 - 83 Article suivant
© 2010-2014 Cairn.info
back to top
Feedback