Gouverner et manager sa cybersécurité : approche technologique ET comportementale

Beaucoup d’entre nous ont comme c’est mon cas une formation d’ingénieur et une expérience à des postes de direction en cabinet internationaux ou au sein d’entreprises. Vous avez probablement également utilisé force approches par les risques ou par la technologie, qui permettent d’améliorer la gestion de sa cybersécurité, sujet d’actualité plus brulante ces dernières années tout en restant un parent pauvre des budgets informatiques pour autant que je puisse le constater ou le lire.

Au fil de différentes lectures, parfois exhaustive souvent rapides je l’avoue, j’ai rencontré des informations et des points de vue qui m’ont interpellé. Je vous en livre quelques-uns ci-après, pour partager mes interrogations et mon cheminement :

  • En France, selon l’enquête internationale du cabinet PWC (The Global State of Information Security Survey 2018http://www.cio-online.com/actualites/lire-cybersecurite-les-pertes-financieres-des-entreprises-francaises-ont-augmente-de-50-en-un-an-9847.html), l’impact financier des attaques subies aurait augmenté de 50% par rapport à l’enquête de l’année précédente. Cet impact dépasserait deux millions d’euros en moyenne. L’enquête identifie des budgets moyens de sécurité informatique en hausse de 10,2 % d’un exercice à l’autre. Si 53% des entreprises en France n’ont pas de programme de formation ou de sensibilisation à la cybersécurité, « 28% des dirigeants ou des RSSI se disent très confiants sur leur capacité à détecter les auteurs des attaques ».
  • Question n°1 qui m’est venue à l’esprit : sur quoi se fonde cette confiance ?
  • Réponse normale de l’ingénieur qui m’est également venue à l’esprit : sur une approche par les risques business et technologiques, sur une méthodologie et des outils de détection, de gestion de crise et de résilience appropriés, etc. Etant membre d’une association américaine spécialisée, j’ai pu profiter du cheminement méthodologique d’outre-Atlantique en la matière, ce qui donne matière à structurer des référentiels de gouvernance cybersécurité sur mesure, qui sont très efficaces pour rendre compte en C-Levels du travail opérationnel effectué. Il y a déjà matière à travailler et à permettre aux dirigeants d’être impliqués dans leur cybersécurité, « set the tone at the top » nous disent les américains, l’intention doit venir du plus haut niveau aussi.

Ceci étant dit, se posent les questions suivantes :

  • Comment une part des dirigeants et RSSI, selon l’enquête PWC, peuvent-ils avoir une assurance significative en leur capacité à détecter les auteurs des attaques si leur approche est, je le suppose, issue d’une manière de pensée efficace mais imprégnée de vision technologique matinée de contrôle interne propre aux ingénieurs que nous sommes ? Que manquerait-il pour mieux couvrir le sujet ?
  • Comment ouvrir nos outils de gouvernance cybersécurité efficaces et nécessaires à d’autres approches tout aussi nécessaires ? Lesquelles ?
  • Que dire du comportement de l’humain en environnement virtuel, de son passage à l’acte, de son profil d’action décelable ou modélisable selon d’autres approches ? Pourrait-on aider les dirigeant et les RSSI à mieux cerner leurs attaquants potentiels internes par exemple ?

C’est avec ces idées en tête que je suis tombé sur un article paru dans les Echos le 18 mai 2016(https://www.lesechos.fr/idees-debats/cercle/cercle-157049-quels-sont-les-vulnerabilites-cyber-dune-entreprise-1222706.php), j’y ai découvert ces mots de Mme Nadine Touzeau, Profiler, net-profiler, chercheur en comportement des cybercriminels, conférencière au Behavioural Analysis Show (Cardiff 2018):

« La première vulnérabilité d’une entreprise pourrait être cela : reproduire dans le virtuel ce que nous vivons dans le réel…    …Il s’agit d’apprendre le comportemental virtuel et de l’utiliser pour protéger sa cybersécurité.     …La cybersécurité devient une préoccupation légitime des chefs d’entreprise afin de ne pas perdre leur structure, création, données, gains (e-)réputation comme cela est arrivé à tant de leurs collègues ayant perdu tout ou partie de leur entreprise et parfois avec dommages collatéraux dans leur vie privée.  ….Fragilisée par le simple fait d’être trop visible sur le net, trop jalousée ou trop mise en avant, pas ou peu protégée tant sur la partie technique que comportementale, mal conseillée ou isolée, manquant de temps ou de fonds, le simple fait de ne rien mettre en place la rendra d’autant plus vulnérable également. Parce qu’une fois infiltrée, c’est trop tard, quoi que vous fassiez. »

J’ai alors pris conscience, peu à peu et avec quelques errements je dois l’avouer, qu’il est inopportun de confondre certains métiers :

  • Le métier de psychologue qui écoute et observe les individus (seuls ou en groupe), qui détecte les troubles du comportement et les problèmes d’adaptation, et cherche à les résoudre. (Dans l’espace réel)
  • Le métier de criminologue qui prend appui sur les sciences humaines (psychologie, sociologie, droit, etc.) pour connaître le délit, le délinquant, la victime, la criminalité et la réaction sociale face au crime. Le travail s’opère sur la base d’une mort voire d’une disparition. (Dans l’espace réel)
  • Le métier de profiler, différent des psychologues et criminologues, concept américain regroupant des fonctions (sciences du comportement) d’investigation. Sommairement il s’agit d’analyser tout contexte et comportement et d’en tirer des éléments prédictifs pour se sécuriser en sécurité et économie (d’assimiler la scène de crime, de classer les informations, de proposer des séquences comportementales, des éléments de signature propres à aider l’enquête. (Dans l’espace réel)
  • Le métier de net-profiler, exige d’abord d’être profiler et d’analyser dans l’espace virtuel plus les comportements que les Hommes, métier que je cherche à mieux comprendre et dont certaines facettes me semblent très importantes pour la cybersécurité en entreprise. (Dans l’espace virtuel)

Pourquoi avais-je tendance à amalgamer ces métiers ? Et bien peut-être tout simplement parce-que la pluridisciplinarité reste un enjeu majeur de nos formations d’ingénieurs et des formations professionnelles en matière de cybersécurité. L’ouverture aux sciences humaines, aux sciences sociales et aux sciences du comportement reste limitée dans un parcours classique d’ingénieur. Or le monde d’aujourd’hui est à l’interaction humaine généralisée et outillée d’applications, de smartphones et de réseaux sociaux.

Peut-être aussi parce-que ces derniers métiers sont nouveaux dans le monde et encore plus en France.

J’en suis donc aujourd’hui, en complément des approches technologiques et d’audit, à m’acculturer à celles qui investissent le comportement virtuel. Il me semble d’un intérêt majeur, même en étant béotien en la matière, de compléter nos arsenaux actuels, voire de les faire précéder dans certains cas, d’une telle approche sensible pour donner plus de vision comportementale à notre vision des risques. Qui travaille au sein de notre entreprise en termes de risques cyber sécuritaires ? Qui pourrait être mon prochain attaquant interne ou externe ?

Je continue mes lectures et j’attends le prochain opus de Mme Touzeau, pionnière du métier de net-profiler en France et dans le monde. Voici en attendant deux citations tirées de son livre « Net-profiling : analyse comportementale des cybercriminels » :

  • « Pour résoudre les cyberattaques, le cerveau a été soustrait dans l’éventualité de diminuer voire éradiquer les cybercrimes au profit des machines »
  • « Nous devons reconstruire une approche d’investigation et ne pas occulter que ce sont des cerveaux derrière tous ces cyber actes et non pas des machines. »

Au quotidien chez Effective Yellow, nous travaillons sur des modèles de gouvernance outillée souples et sur-mesure, qui donnent corps à votre dossier de contrôle interne cybersécurité, qui parlent clairement aux dirigeants et qui pourront accueillir les aspects « comportements virtuels » en fonction de la structure choisie par votre entreprise.

Vous disposerez ainsi d’une meilleure visibilité globale intégrant les documents de preuve et les informations utiles au Comité de Direction, le tout en mode collaboratif. Cerise sur le gâteau, nous pourrons adapter « chemin faisant » votre référentiel de gouvernance de la cybersécurité…

A votre écoute en message privés.

Merci pour votre temps d’attention,

Frédéric Vilanova
CEO Effective Yellow
Solutions de Gouvernance Outillée destinées aux Directions Métiers d’Entreprises Internationales   www.effectiveyellow.com  

Publicités