Pour contenter les directions générales, certains acteurs visent la simplicité à outrance pour essayer de répondre vite et bien à leurs exigences d'efficacité. En réalité, ils le font de manière biaisée. Deux exemples récents me viennent à l'esprit pour illustrer ce propos : les agences de notation en cybersécurité et les offres des constructeurs, en particulier celles liées aux cyberassurances.
La note en trompe-l'oeil
Dans le premier cas, les acteurs de ce marché évaluent le niveau de sécurité et donnent une note, souvent en comparant au reste du secteur. Cela paraît presque magique ! Dans les faits, elles n'évaluent qu'une partie infime du système d'information, en particulier les sites Internet et la messagerie externe. Si cette note est bien réelle, elle est souvent volatile et trompeuse.
Des équipements en apparence sécurisés
Le deuxième cas a eu une déclinaison très récente. Le secteur de la sécurité est trop habitué à recevoir des messages plus ou moins « trompeurs » des éditeurs. Qui n'a pas lu le fameux « achetez ma solution, vous serez conforme au règlement européen RGPD » ou « le cloud, c'est sécurisé, il n'y a rien à faire » ? Mais une récente annonce conjointe de Cisco, Apple, AON et Allianz est allée encore plus loin ! Il a été annoncé que les clients utilisant du matériel Apple et Cisco verraient leur prime d'assurance réduite en raison du niveau de sécurité « supérieur » de ces équipements. Les amateurs d'Android ou de Juniper et autres apprécieront… Même si un équipement peut être plus sécurisé qu'un autre, c'est la manière dont il est configuré, mis à jour et utilisé au quotidien, qui détermine le vrai niveau de sécurité. Imaginez qu'un employé égare dans un lieu public un iPhone non mis à jour depuis deux ans, sans code d'accès… on comprend aisément qu'il sera moins « sécurisé » qu'un téléphone Android lui-même verrouillé et tenu à jour.
L'indispensable évaluation de la menace
Dans ces deux cas, nous sommes dans une illusion de sécurité ! Malgré l'emballement autour de la cybersécurité, il est important de ne pas tomber dans les pièges du marketing et dans une tentation de sur-simplification afin de convaincre les directions générales que tout va bien. L'enjeu est de leur expliquer que le niveau de risque s'évalue en fonction de la menace qui pèse sur l'entreprise (qui sont les hackers et pourquoi ?), des actifs clefs de l'entreprise (les métiers, les données, son image de marque, etc.) et du niveau de maturité en cybersécurité (quel budget, quelles équipes ?), et que ces éléments varient dans le temps avec l'arrivée de nouvelles attaques.
Oui, cette réponse est moins directe. Oui, cette réponse est moins facile à analyser mais c'est en la traitant en profondeur que la situation s'affranchira d'une illusion de sécurité, véritable bombe à retardement qui se déclenchera en cas de futures attaques.
Gérome Billois est partner cybersécurité chez Wavestone. Sur Twitter : @gbillois.
En savoir plus sur https://business.lesechos.fr/directions-numeriques/technologie/cybersecu...
- Connectez-vous ou inscrivez-vous pour publier un commentaire
