Blog

Le blog de la cybersécurité expliquée à ma grand-mère !

Quel plan de bataille pour se protéger des menaces cyber modernes ? (10 min)

Si notre objectif est de protéger nos organisations contre les menaces cyber modernes, pour suivre rigoureusement la méthode, il faut :

  • Tout d'abord présenter les forces en présence en première partie,
  • puis étudier l'évolution des rapports de forces en cyber, grâce à quelques concepts de stratégie.
  • Puis identifier, parmi les causes de ce rapport de force, laquelle tourner à notre avantage.
  • enfin il faut encore prévoir un plan pour exploiter un tel avantage stratégique

En suivant cette démarche, il apparaît que la clé de la cyber sécurité dans les années qui viennent est non pas un élément technique, mais de démocratiser largement la connaissance de la cyber. Autrement dit, aller bien plus loin que la sensibilisation actuelle pour changer radicalement la manière avec laquelle nous parlons de cyber et d'informatique au quotidien. Ainsi, nous pouvons transformer la cyber d'un sujet obscur et réservé à une minorité d'ingénieurs à un sujet qui nous concerne tous. Plutot que de lutter contre les utilisateurs du numérique, ils pourront ainsi eux-même se mettre en avant (marche) pour lutter contre les menaces modernes.

1. Rapport des forces en présence

Tout d'abord, la clé d'un affrontement est aussi de bien connaitre son adversaire, ainsi que ses propres forces et faiblesses.

Du côté des attaquants

Du côté des la menace, il y a plusieurs types d'acteurs malveillants :

  • des script kiddies : hackers peu expérimentés, mûs par la curiosité ou l'appât du gain et utilisant des outils mal maitrisés, mais si nombreux que les attaques sont sans relâche ;
  • des groupes criminels : les mafias classiques aussi se sont numérisées. Ces attaquants sont prévisibles mais bien entrainés et se sont vites spécialisés dans leur mode opératoire. En particulier, les opérateurs de rançongiciels (ou ransomware) sont de plus en plus professionnels. Après le SAV pour le déchiffrement des données, le tchat pour négocier la rançon, ou la recherche dans les données compromises, la dernière nouveauté est la mise en place de leur propre programme de sécurité (Bug Bounty), comme toute entreprise parfaitement normale !
  • des attaquants étatiques : bien plus sophistiqués et discrets.

Cette menace évolue aussi. Les opérateurs de rançongiciel ont pris une place de plus en plus importante dans le panorama des menaces, et ont développé toute une industrie, où chaque intervenant a sa spécialité (négociateur, fournisseur d'accès initial, plateforme de Ransomware-as-a-Service, etc.).

Un dernier acteur n'est absolument pas à négliger : l'utilisateur malveillant, ou la menace de l'intérieur. On a déjà vu des salariés mécontents récupérer ou endommager des données sensibles, ainsi que bloquer des systèmes importants.

Du coté des défenseurs

Du côté de la défense, on a tendance à opposer les équipes de défense (blue team) et de tests offensifs (red team). En réalité les deux travaillent de concert et il n'y a pas de réelle opposition autre que l'émulation. Il existe en revanche une distinction parfois faite entre deux populations : les "cadres de la cyber" et les "geeks". Cette distinction tend à s'atténuer, mais on peut tout de même identifier :

  • d'une part les consultants, les DPO, les équipes de gestion de projet et du RSSI, qui travaillent à la cyber en venant à l'origine d'un domaine souvent différent.
  • D'autre part les passionnés parmi les testeurs, analystes forensiques et chercheurs en vulnérabilités. C'est une population plus technique, plus spécialisée, assimilée à des "geeks".

Ces deux populations doivent également travailler ensemble, mais en composant avec leurs différences. Trop souvent on a vu des frictions entre des populations techniques d'une part, réduites aux clichés du "geeks" qui ne comprend pas les résistances au changement (et faisant du "patchsplaining", cad. proposer des remédiations irréalistes ou sans se rendre compte des difficultés réelles) et des populations plus projet d'autre part, critiquées pour complexifier inutilement les processus sans compréhension profonde des aspects techniques de la cyber.

Enfin, il y a les utilisateurs, développeurs et informaticiens. Tout ce petit monde est concerné par la cyber et il y a, ici aussi, des frottements avec les équipes de sécurité. On parle souvent d'"erreur humaine". Ce terme un peu malheureux sous-entend une opposition entre les utilisateurs qui "ne savent pas" ou "font n'importe quoi" et ceux qui savent. Cette population évolue également. Là où le sens commun ne voyait que "les informaticiens" et "les autres", l'évolution des usages conduit à mêler ces deux populations.

L'environnement

En évoluant, les usages modifient aussi la surface d'attaque. Il y a 15 ans, il s'agissait de défendre son réseau contre un Internet malveillant. L'équipement le plus important était le pare-feu, garant du havre de paix promis dans le réseau de l'organisation. Aujourd'hui, la notion même de réseau a éclaté. Les appareils de l'organisation ont changé (téléphones, serveurs virtuels, objets connectés, etc.) et les échanges aussi. Les systèmes d'information sont interconnectés avec les fournisseurs et clients,insisté qu'avec les ressources externalisées, etc. Le modèle du "chateau fort", qui consistait à protéger l'accès au périmètre de l'organisation, a été remplacé par un modèle en oignon ou en "aéroport". Ce dernier modèle considère l'organisation comme constituée d'appareils non fiables et vise à protéger l'accès à certaines zones particulièrement sensibles contre une menace qui vient également de l'organisation elle-même.

Modèle du château fort Modèle de l'aéroport

Maintenant que le décor est planté, que faire de ces constats ? On peut en déduire qu'on évolue d'une confrontation entre groupes d'attaquants et groupes de défenseurs à une opposition bien plus permanente et ubiquitaire. D'un point de vue stratégique, cela a un nom, c'est l'asymétrisation du conflit.

2. Asymétrisation du conflit

Différents types de conflits

L'asymétrisation des conflits est une évolution globale qu'on constate dans ces dernières décennies. Pour résumer :

  • Traditionnellement, la guerre était une affaire de conflit symétrique. Dans un conflit symétrique, deux armées, de forces similaires se confrontent. L'exemple récent le plus parlant est celui de la première guerre mondiale : deux armées en présence sont de force similaires, ce qui a conduit à un conflit très, très long et dévastateur.
  • Il arrive qu'une armée soit plus puissante, techniquement ou stratégiquement. On parle alors de conflit dissymétrique : il y a un problème dans la symétrie. L'exemple le plus frappant est celui du début de la Seconde Guerre Mondiale en France : les forces de l'Allemagne nazie ont alors exploitée leur avantage stratégique (l'invasion de la Belgique et une organisation interne plus moderne) pour remporter toutes les batailles contre les armées françaises et anglaises, pourtant de forces comparables.
  • On peut encore accentuer le déséquilibre entre les protagonistes. Il arrive qu'une des armées soit largement supérieure à l'autre, comme ce fut le cas par exemple dans la Guerre du Vietnam. La partie en position de faiblesse a alors tout intérêt à éviter l'affrontement direct suivant les règles classiques de la guerre. Dans le cadre de ces règles, elle n'a absolument aucune chance. Au contraire, elle a intérêt à sortir du cadre classique de la guerre, pour frapper l'appareil médiatique, économique, politique etc. C'est ce qu'on appelle un conflit asymétrique.

Conflit symétrique Conflit dissymétrique Conflit asymétrique

On peut citer des exemples de conflit asymétriques : au Vietnam, en Afghanistan, les intifadas et autres guérillas. Ce concept permet aussi de comprendre les objectifs des terroristes. Ils ne cherchent pas à battre les armées régulières en face à face mais a infliger des dégâts si choquants qu'ils peuvent remettre en question les raisons même du conflit.

La cyber est par nature un conflit asymétrique

On peut voir le conflit cyber moderne comme un conflit asymétrique : il n'est pas question d'affrontement à armes égales. Dans la cyber aussi, l'objectif est de dépasser du cadre donné pour toucher l'information ou l'économie de l'ennemi.

Le meilleur exemple est le conflit récent en Ukraine. On a vu l'utilisation de la cyber pour appuyer les combattants, mais le gros des affrontements cyber s'est déroulé :

  • d'une part sur les réseaux sociaux et canaux d'information. Le meilleur moyen de gagner la guerre pour la Russie état de convaincre le monde qu'il ne s'agissait pas d'une "guerre". Mais d'une intervention contre un État nazi ayant pris l'Ukraine en otage. Inversement, l'Ukraine peut ralentir la machine de guerre russe si elle arrive à convaincre les familles russes de ne pas envoyer leurs fils mourir en Ukraine.
  • d'autre part, sur les chaînes d'approvisionnement. Les opérations cyber par définition, ne sont pas tangibles en elles mêmes, et ne suffisent pas à arrêter un tank. En revanche, l'arrêt complet des chemins de fer biélorusses ou du réseau d'électricité ukrainien, lui, est de nature à limiter l'action militaire et conférer un atout stratégique sur le terrain.
La défense asymétrique de nos organisations

Ce concept de conflit asymétrique nous aide à envisager les menaces cyber auxquelles nous faisons face :

  • La menace vient de partout. Nous devons faire face aux APTs, mais en même temps aux opérateurs de ransomware et en même temps aussi aux script kiddies et aux arnaqueurs à la petite semaine. Et quand bien même toutes ces menaces sont écartées, la moindre vulnérabilité peut être exploitée par un attaquant opportuniste ;
  • Cette immanence de la menace cyber confère aux attaquants l'avantage de l'initiative. En tant que défenseurs, nous sommes réduits à la réaction. Impossible de frapper ou de contre-attaquer un opposant que l'on ne voit pas !
  • Même la défense de nos organisations est asymétrique : comme mentionné, le SI moderne a une surface d'attaque très large et des contours peu définis. Tous les terminaux ne sont plus forcément maîtrisés. Le défi de la cyber moderne est d'arriver à défendre en profondeur de manière décentralisée.
Nouvel objectif adverse : la ruée vers les données personnelles

En plus de cette surface d'attaque importante, on voit certains cybercriminels mettre en oeuvre des attaques qui partent de la vie personnelle des collaborateurs. L'ingénierie sociale, le phishing (hameçonnage) et la réutilisation de mots de passe, pour ne citer qu'eux, peuvent permettre d'accéder à des données de l'organisation à partir de renseignements collecté sur les personnes employés. Dans ces attaques, un attaquant s'intéresse à la vie personnelle de sa cible, afin de deviner son mot de passe ou de manipuler sa victime pour l'amener à lui donner ledit mot de passe. Un attaquant qui trouve un mot de passe personnel dans une des nombreuses bases de données présentes sur le Dark Web peut aussi essayer de se connecter à un compte professionnel à l'aide du même mot de passe. Il y a donc bien un risque venant du faible niveau de sécurité de leurs collaborateurs dans leur vie personnelle... mais qui repose in fine sur leur vie professionnelle !

Ce pivot possible confirme à mon sens une tendance de fond : en termes de surface d'attaque cyber, les frontières entre la vie personnelle et la vie professionnelle se réduisent.

Une autre preuve de cette tendance est la cinématique inverse : on constate que beaucoup de piratages ont pour motif la recherche d'informations personnelles. Ce peut être afin de revendre les données personnelles sur le Dark Web, ou afin de gagner des accès permettant pirater d'autres cibles (potentiellement des organisations). On voit même émerger un nouveau type de risque en l'aspiration d'un grand volume de données personnelles. Par exemple les données personnelles de 700 millions d'utilisateurs de LinkedIn avaient fuité en 2021. La plateforme avait alors minimisé les faits en argumentant qu'il n'y avait pas eu intrusion dans ses systèmes. Il y avait pourtant bien une volonté malveillante et à la clé, un intérêt à collecter ces données.

Cette tendance qu'ont les frontières entre les vies numériques personnelle et professionnelle à disparaître renforce l'idée de rapports de force cyber qui ont lieu partout et tout le temps. On passe d'une vision de la cyber par "cyberattaques ponctuelles" à une vision d'un risque cyber qui peut être saisi n'importe quand et sur n'importe quel système par les attaquants, et que les défenseurs essayent difficilement de maitriser. Cette idée est au coeur du caractère asymétrique de la cyber.

Problématique

Devant un tel décalage en termes de capacité d'action, on peut désespérer sur notre capacité à créer une défense adaptée. Il y a bien quelques évolutions dans notre façon d'appréhender la défense :

  • Les solutions des sécurité modernes sont plus décentralisées. On parle de détection sur les machines directement, qui identifie des comportements plutôt que des programmes connus. Il reste cependant beaucoup de zones non couvertes par ces solutions (smartphones, serveurs avec des systèmes différents ou obsolètes, etc.).
  • Certaines techniques modernes cherchent aussi à tromper les attaquants avec des pièges (canaris), ou de faux environnements (honeypot). Bien que séduisantes, ces techniques sont très marginales et réservées aux organisations les plus matures.

L'état d'esprit qui règne aujourd'hui est un peu celui de la résignation : "de toute manière les hackers pourront toujours rentrer" ; "Les petites organisations n'ont pas les moyens de se protéger" ; "les grandes organisations ont un gestion trop lourde pour s'adapter". Comment rattraper le retard accumulé ? Comment défendre en profondeur face à une menace avec des capacités en tout points supérieures ?

3. Quel plan de bataille pour une riposte adaptée ?

Pour répondre à cette question, il nous faut identifier notre "effet majeur", c'est à dire une situation qui serait notre meilleur levier pour obtenir notre objectif. Sur un terrain militaire, l'effet majeur est par exemple d'obtenir une position stratégique ou un impact sur les capacités de mouvement ou de ravitaillement de l'adversaire. Un tel objectif ne provoque pas obligatoirement la victoire mais permet, si il est atteint, de prendre l'initiative et de maximiser ses chances. Pour le Colonel Yakovleff, l’effet majeur "conceptualise la façon dont le chef entend saisir l’initiative".

Déroulé de la réflexion et choix de l'EM

Les évolutions des usages, mais aussi la démocratisation du numérique sont une des causes de la situation cyber actuelle. On peut citer aussi certaines innovations, telles que le cloud, le smartphone, l'internet des objets, mais aucune n'est aussi systémique que la transformation radicale qu'a subi le numérique dans ces 15 dernières années. Alors comment tirer parti des usages modernes du numérique dans la cybersécurité ? Comment protéger les organisations d'une manière qui soit adaptée à la forme d'un conflit asymétrique ? C'est à dire complète, ubiquitaire, permanente et décentralisée.

L'effet majeur que je vous propose ici est de transformer la population des utilisateurs en alliés de la sécurité. Aujourd'hui, ils sont trop souvent considérés comme un frein à la sécurité des organisations. Pourtant, ils sont de plus en plus ciblés et concernés !

Par ailleurs, si les attaquants ont l'avantage de l'initiative, les défenseurs ont l'avantage du réseau. Les usagers se connaissent, échangent des informations, il est possible de les sensibiliser dans les études. Chaque formation à la sécurité a des effets de bords bénéfiques pour le reste de la société.

La sensibilisation est moins attirante que le dernier EDR/NDR/XDR à la mode. Pourtant, le mieux placé pour connaître le fonctionnement normal de sa machine et identifier un comportement anormal, ce n'est pas l'éditeur d'une solution tierce, c'est bien l'utilisateur de cette machine !

4. L'effet majeur : une refonte totale du récit de la cyber

Le choix de cet effet majeur n'est sans doute pas très révolutionnaire. Le lecteur, arrivé à ce point, se demande sans doute s'il a fait tout cet effort de lecture pour arriver seulement à la conclusion : "la sensibilisation, c'est bien". Avec raison, car même lorsque l'effet majeur est bien identifié, il ne remporte aucune victoire si l'on n'a pas identifié comment l'exploiter. Il semblerait que c'est bien ce qui fait défaut dans la sensibilisation à l'ancienne.

Notre effet majeur, ce n'est pas de "sensibiliser", c'est de transformer durablement les utilisateurs en alliés proactifs de la cyber sécurité. À ce titre, les méthodes de sensibilisation classiques sont souvent contre productives. Les e-learnings, loin de dépasser l'opposition entre la sécurité et les utilisateurs, sont souvent vus comme une corvée à passer le plus vite possible. Les mécanismes de sécurité des utilisateurs tels que le MFA ou même les mots de passe sont vécus comme une contrainte, et tout être humain face à une contrainte qu'il ne comprend pas va chercher à la contourner.

Pour exploiter la situation afin de protéger durablement nos organisations, il faut une sensibilisation radicale, complète, systémique et durable. Il s'agir de changer radicalement la manière avec laquelle nous parlons de cyber. Les risques cyber font partie de nos vies quotidiennes, il faut donc que le discours de la cyber soit à cette image.

Durable

Les technologies évoluent, et vite. Former à déjouer la dernière arnaque ne dure malheureusement qu'un temps. Irrémédiablement, les cybercriminels s'adaptent, changent leurs méthodes. Eux aussi sont stratégiques et cherchent toujours à maximiser leur gains pour un minimum d'efforts.

En revanche, lorsque que quelqu'un a compris un concept, il le retient bien mieux. Lorsqu'il comprend le bien-fondé d'une règle, il s'y conforme d'autant plus facilement ! La sensibilisation du futur, c'est la vulgarisation. Si les collaborateurs d'une organisation ont compris comment fonctionne les attaques, ils ne suivent plus simplement des règles : ils raisonnent à la place de l'attaquant.

Le meilleur exemple est la règle répandue qui impose de changer son mot de passe régulièrement. Les utilisateurs à qui on a dit de changer leurs mots de passe tous les ans ont évidemment repris leur mot de passe et simplement ajouté l'année. On est donc passé de "Superman2021" à "Superman2022". Pas de quoi faire trembler les hackers, qui se sont simplement mis à tester les mots de passe les plus courants, comme le nom de l'entreprise, suivis de l'année. Tandis qu'un utilisateur qui comprend vraiment comment les hackers génèrent leurs listes de cassage de mots de passe aura vite compris qu'il faut surtout que le mot de passe soit compliqué à deviner.

Aujourd'hui, beaucoup des opérations de sensibilisation au phishing consistent simplement à envoyer un courriel à tous les collaborateurs et à punir d'une formation obligatoire ceux qui tombent dans le piège. C'est très efficace pour avoir de jolies métriques. En revanche, ils sont assurés de retomber dans le même piège si le phishing est un tout petit peu mieux fait ! Et une démarche juste punitive ne leur permettra pas de s'intéresser au sujet ni de retenir quoi que ce soit.

Systémique

La sécurité est une affaire de tous et de tous les instants. Il faut vulgariser à tous les niveaux, pour les professionnels, mais aussi les écoliers, les étudiants, etc. Pour pouvoir conduire une voiture, vous devez bien avoir un permis de conduire, qui atteste que vous savez conduire sans mettre autrui en danger. Pour le numérique, c'est pareil : tout le monde l'utilise, mais une partie certaine de la population n'a pas les codes qui lui empêchent de tomber dans les pièges des arnaques. On imagine souvent à tort d'ailleurs qu'il s'agit uniquement des plus âgés. En réalité, 1 Français sur 4 est en difficulté avec le numérique et peut être privé de services en ligne !

Le but est que tout le monde puisse être acteur de sa sécurité numérique. Et cela passe avant tout par donner envie de faire de l'informatique. On parle en ce moment de pénurie de talents en cyber. Personne ne veut être un hacker ? À vrai dire, cela n'est pas si surprenant si un hacker est quelqu'un qui ne sort jamais de chez lui et vit dans une cave sombre devant son ordinateur.

Pourtant, tout le monde peut devenir un hacker ! À l'origine, le terme désigne simplement un bidouilleur, quelqu'un qui est curieux et qui expérimente. Quoi de plus passionnant que de comprendre le monde qui nous entoure, fût-il numérique ou physique ? Personne n'a envie de devenir un geek. Alors que tout le monde a envie de comprendre le monde ! A quel moment avons-nous commencé avec cette représentation des hackers en cagoule dans une salle sombre ? Il semble que la France doit rattraper des décennies de retard sur la démocratisation de l'informatique qui sont facilement explicables par la mauvaise presse dont jouissait l'informatique.

Comment avons-nous aussi créé des codes de l'informatique qui s'adressent uniquement aux garçons, délaissant par là une bonne moitié de la population ?

Les jeunes générations sont très à l'aise avec le numérique, mais cela ne se traduit pas en une vraie compréhension de l'informatique. Pourquoi n'avons-nous pas réussi à intéresser le grand public à comprendre comment ça marche ? Pourquoi y a-t-il si peu de formations ? Et si peu de ressources accessibles au grand public sur l'informatique ? Il manque si peu pour partager et passionner de nouveaux talents, justement grâce au numérique qu'ils connaissent bien.

Voilà pourquoi juste des sessions de "sensibilisation" ne suffisent pas. Il faut aller beaucoup plus loin dans la portée de la vulgarisation. Il faudra réussir à dépasser cette image du hacker solitaire, masqué et vivant dans l'ombre, pour diffuser des messages bienveillants : il s'agit d'une philosophie de la curiosité et d'un métier que tout le monde peut exercer. Il faudra aussi créer des écosystèmes ouverts et accueillant toutes les populations.

Complète

Pour que cette sensibilisation soit efficace, il faut que tous les aspects de la vie numérique qui sont menacés soient couverts. Vous n'imagineriez pas une ville où tout les cyclistes doivent porter un gilet réfléchissant, mais où tous les feux rouges ont été enlevés ? Il en va de même avec la cyber : on ne peut pas ignorer une partie du sujet lorsque l'on cherche à réduire un risque.

C'est pourquoi il faut que ce changement de récit de la cyber concerne aussi les particuliers. On ne peut pas espérer susciter l'engagement si la cyber c'est juste "un truc dont on nous parle au travail". La cyber, c'est aussi les opérations de désinformation, la gestion de nos données personnelles, ou les capacités des différents états à imposer leur récit et à orienter l'opinion publique. Ces deux années de pandémie nous ont pourtant donné de nombreuses occasions de parler de cyber, entre la guerre en Ukraine, les émeutes du Capitole, la crise des sous-marins australiens, etc.

Il nous manque toujours une vision claire sur la doctrine cyber. Pourtant l'ANSSI et la CNIL ont clairement annoncé la couleur, mais leur doctrine peine à être appliquée concrètement dans la protection des données, faute de volonté politique claire.

Mais ici encore, on ne peut pas être surpris. Si personne ne vous appris qu'il existe des alternatives à Google, Facebook, Amazon et Microsoft, comment voulez-vous vous soucier de la protection de vos données personnelles ? Pourtant ces alternatives sont là et elles ne demandent que d'avoir le vent en poupe pour faire du chemin. Il faut une doctrine politique claire et des moyens pour la mettre en oeuvre sur la souveraineté des services et des données. Et il s'agit de la responsabilité de la classe politique actuelle de répondre à cette urgence, au même titre qu'il faut une réponse à l'urgence climatique.

De même que pour les scientifiques qui alertent sur le climat, il y a une urgence pour les spécialistes en cyber à prendre la parole pour amener un vrai débat sur l'intégralité du spectre de la cyber. Ce n'est pas aux utilisateurs d'aller vers la cyber, c'est à la cyber de faire l'effort d'aller vers les utilisateurs.

Proposition d'actions concrètes

Pour mettre en place les point évoqués ci-dessus, toutes les actions concrètes dans ce sens sont bonnes à prendre. On peut déjà en proposer sept :

  1. Renforcer les cours d'informatique et les démarrer le plus tôt possible avec la création d'un CAPES pour former des enseignants dédiés ;
  2. Axer ces cours sur différents sujets modernes : design, traitements de données, réseau, afin d'inclure différentes personnalités et de ne pas se limiter au développement ou à l'algorithmique ;
  3. Notamment, présenter en cours les enjeux géopolitiques de l'informatique moderne tels que la souveraineté des données ou les logiciels libres ;
  4. Mettre en place des objectifs exigeants en termes de protection des données et de la souveraineté : par exemple forcer l'utilisation des logiciels libres pour toutes les administrations ;
  5. Organiser un vrai parcours de sensibilisation des élus et hauts fonctionnaires à la cyber mais aussi à l'informatique et aux usages numériques modernes, sur le modèle des formations continues organisées à la CNIL ;
  6. Mettre en place de cours de vulgarisation cyber auprès des journalistes traitant des sujets numériques. En particulier, limiter l'utilisation de représentations discriminatoires des "hackers" : limiter l'utilisation péjorative du terme "hacker", limiter son utilisation pour désigner des cybercriminels, et limiter les images discriminatoires de "hackers" ;
  7. Créer une émission de vulgarisation sur le fonctionnement de l'informatique, sur le modèle de "Il était une fois la vie" d'Albert Barillé ;

Si ces mesures peuvent paraître absconses, elles ont pour objectif de transmettre l'idée que tout le monde peut s'approprier l'informatique et sa sécurité numérique.

Conclusion

Bien sur, encore faut-il être en mesure d'exploiter cette nouvelle sensibilisation. Pour cela, les efforts actuels contribuent à faire monter en compétences les équipes de sécurité et à développer des outils puissants. Mais il y a tant à gagner à changer radicalement de récit sur la cyber. De même que dans les exemples de conflits asymétriques mentionnés ci-dessus, il est possible de ralentir considérablement la cybercriminalité en armant chaque citoyen, chaque homme, femme ou enfant des clés dont il a besoin pour se défendre numériquement. On peut rendre chaque octet de donnée gagné par les attaquants plus cher à obtenir.

Concrètement, un nouveau récit cyber aiderait :

  • La prévention des risques. Un utilisateur averti en vaut deux, voire beaucoup plus s'il se fait l'ambassadeur des bonnes pratiques numériques. Si le sujet l'intéresse et qu'il a compris "pourquoi telle pratique est meilleure qu'une autre", cette prévention sera durable et infusera sur le reste de la société.
  • La détection des menaces. Le premier échelon de la chaîne d'alerte, c'est avant tout l'utilisateur qui a identifié du comportement malveillant. Trop souvent, les utilisateurs ne remontent pas un problème de sécurité s'ils ont peur de se faire "gronder" par les équipes de sécurité. Il reste du chemin, mais réconcilions les deux populations en comptant l'une sur l'autre.
  • La réduction de la surface d'attaque. Un collaborateur qui fait attention à sa sécurité personnelle et à ses données réduit de facto la capacité d'un attaquant à manipuler l'organisation.
  • La vision stratégique des organisations. Un utilisateur qui est sensibilisé aux enjeux plus large de la cyber (protection des données personnelle, souveraineté des solutions, désinformation, etc.) apporte une vision qui peut anticiper les évolutions de la société et faire gagner un temps d'adaptation précieux.

Et surtout, surtout : si l'on considère la chose cyber comme un conflit, le vainqueur du conflit est celui qui arrive à imposer son récit. Alors prenons en main ce récit, il peut encore changer !

Sources :