Les défis d’un directeur de la sécurité à l’ère de la cybersécurité
Un objectif (presque) inhumain
Juan Manuel Gil Bote, Directeur Général F24 Servicios de Comunicación S.L.U.
Le poste de directeur de la sécurité est probablement l’un des plus difficiles.
N’étant pas directeur de la sécurité moi-même, j’admire toutes ces personnes qui travaillent pour éviter tous genres d’incidents. Je les admire, car, tant que ces accidents ne se produisent pas, personne ne s’en rend compte, et par conséquent, personne n’est reconnaissant envers leurs efforts. En revanche, lorsque de tels incidents se produisent, tout le monde les pointe du doigt pour leur prier de prendre leurs responsabilités.
Les défis:
Il est largement admis que l’investissement dans la sécurité n’est jamais généreux, ce qui fait que le responsable de la sécurité fait face à un défi supplémentaire, tel un jongleur faisant de son mieux avec les moyens du bord.
Mais ce n’est pas tout : les environnements hostiles ne cessent de se multiplier dans un monde de plus en plus globalisé. On pourrait aborder des thèmes comme la cybersécurité, où le monde interconnecté facilite l’exposition au risque. On pourrait également penser à la question de la protection des données et de l’application du règlement général sur la protection des données (GDPR). Ces défis ne datent pas d’hier, mais ils sont nouveaux pour les professionnels qui n’ont souvent pas reçu de formation spécifique.
Gestion de crise:
En général, les entreprises ont adopté des dispositifs modernes tels que les smartphones, tandis que les systèmes d’alerte en cas d’incident grave passent par des chaînes d’appel qui se sont révélées inefficaces et lentes, en plus de dépendre fortement du facteur humain. Toute étude portant sur la gestion de crise évoque l’importance de la rapidité d’intervention.
Tout le monde convient que les premières heures, parfois même les premières minutes, sont essentielles pour prévenir ou réduire des dommages plus importants (cf. Kaji, J., Devan, P., Khan, A. & Hurley, B.: Deloitte Insights. Stronger, fitter, better. Crisis management for the resilient enterprise., 2018), ce qui rend incompatible l’utilisation d’arborescences d’appels, où les petites chaînes d’avertissement atteignent très rapidement des durées de 30 minutes. De même, il est assez courant que les chaînes de plus de 50 participants nécessitent des durées d’appel d’environ une heure. C’est à partir de là que nous devons trouver une solution.
Lors d’un sondage informel mené auprès des participants à l’événement „Open Day PICE 2018“ sur les infrastructures critiques à Madrid, la plupart des entreprises participantes ont reconnu avoir subi des dommages courants dont les montants se situent entre un et dix millions d’euros par impact, et qui durent généralement entre 12 et 24 heures. Dans la “golden hour”, comme on appelle souvent la première heure après le début d’une crise, il est essentiel que les mesures nécessaires soient prises immédiatement afin de contenir les dommages qui surviennent. Des pertes importantes peuvent être causées par une communication trop lente en cas de crise. La valeur ajoutée qu’offre l’accélération de l’intervention en cas d’urgence se traduit par un retour sur investissement de plusieurs ordres de grandeur. C’est pourquoi il est incompréhensible que nous utilisions encore des modèles d’alerte datant des années 90.
Internet des objets:
Un nouveau monde de possibilités s’ouvre grâce à la multiplicité des sources d’informations provenant de dispositifs de surveillance interconnectés. Aux données provenant de ces différents dispositifs s’ajoute le bénéfice que procure le traitement croisé de toutes ces informations.
Cependant, la gestion de l’information provenant de ces systèmes présente d’énormes lacunes. Très souvent, l’automatisation du traitement des données est peu pratiquée et, en fin de compte, celles-ci convergent dans des consoles supervisées par des opérateurs où, là encore, le facteur humain devient un obstacle. C’est pourquoi il est si fréquent que les indicateurs d’alerte précoces passent inaperçus ou que leur traitement soit retardé. En raison de ce chevauchement entre domaines, la participation conjointe du service des technologies de l’information et celui de la sécurité est ignorée dans plusieurs cas, ce qui finit par affecter, de manière non intentionnelle, la rapidité de l’intervention anticipée du service sécurité.
Là encore, la technologie offre des possibilités qui, sans être coûteuses, automatisent le traitement pour éviter que ces alertes passent inaperçues et réduisent les temps de réaction en évitant l’omission involontaire des participants, sans oublier les grosses économies qui peuvent être réalisées sur le coût final de l’incident.
Cybersécurité:
Il n’y a pas très longtemps, l’une des premières réflexions que l’on associait à l’expression « monde interconnecté » était l’impact sur la réputation, qui est lié aux réseaux sociaux. La tendance était d’éviter de se voir affiché en seulement quelques minutes dans les réseaux sociaux en raison d’une fuite d’informations, en plus de collaborer avec le service de la communication institutionnelle pour atténuer l’effet des fausses nouvelles publiées sur les réseaux. Quelques entreprises avaient mis en œuvre une surveillance de réseaux sociaux afin de disposer d’informations précoces qui constitueraient une source d’informations supplémentaires à utiliser dans la gestion de crise.
De nos jours, étant donné que la menace à la réputation fait déjà partie de la gestion de crise, la menace émergente devient la cybersécurité. Il est évident que nous sommes confrontés à des menaces très sophistiquées qui évoluent en permanence. Le défi de la gestion d’un Cyber incident réside dans un fait fondamental que nous avons pu constater dans le fameux cas de la menace WannaCry : Comment doit-on gérer une situation forçant mon entreprise à déconnecter son système informatique par précaution ?
En réalité, presque aucune entreprise n’est prête à faire face à ce genre de situation. En effet, il est difficilement envisageable d’utiliser les technologies habituelles que vous aviez mises en œuvre pour la gestion des incidents. Par exemple, les systèmes suivants pourraient ne pas fonctionner : courriels, téléphonie (la plupart des entreprises utilisent le VoIP), archives documentaires, outils de surveillance, etc. La capacité d’alerte étant épuisée et sans agilité documentaire, il est vraiment difficile d’intervenir rapidement.
La seule alternative résiliente pour intervenir de manière agile en cas de Cyber incident — réduisant ainsi son impact — doit nécessairement reposer sur des solutions complètement indépendantes du système d’information de l’entreprise. Autrement dit, via un schéma de service externe. De ce fait, il est nécessaire de pouvoir accéder aux documents essentiels de la gestion des incidents, de mettre en œuvre des processus d’alerte multicanaux avec les référentiels de personnel et de pouvoir orchestrer les opérations. Seul un environnement indépendant des infrastructures informatiques de l’entreprise pourrait permettre de résoudre une cyberattaque rapidement et avec toutes les garanties nécessaires.
Dans un tel cas, et compte tenu de ce qui précède, il est facile de comprendre pourquoi j’éprouve tant de sympathie envers les directeurs de la sécurité. Dans une conjoncture de ralentissement économique, ils sont confrontés à des problèmes de gestion de crise, d’intégration de technologies et de cybermenaces quasi inconnues, ce qui exige un grand talent pour se maintenir à jour et développer des solutions pratiques capables de réduire l’impact économique dont une entreprise peut souffrir à cause des menaces existantes.
