La cyber-résilience en période d'incertitude

Nous traversons une ère où nos adversaires vont pouvoir lire tous nos secrets, se faire passer pour n'importe lequel d'entre nous et adapter la réalité dont nous avons conscience à leurs desseins. L'époque actuelle n'a rien d'habituel – il est évident que dans ce monde imprévisible et incertain, les objectifs des entreprises en matière de cybersécurité, à savoir stopper une attaque en cours, doivent être repensés.

Nous traversons une ère où nos adversaires vont pouvoir lire tous nos secrets, se faire passer pour n’importe lequel d’entre nous et adapter la réalité dont nous avons conscience à leurs desseins. Des acteurs malveillants vont y parvenir en exploitant les nouvelles technologies conçues pour nous aider à nous connecter, à nous identifier et à communiquer de multiples façons.

L’époque actuelle n’a rien d’habituel – il est évident que dans ce monde imprévisible et incertain, les objectifs des entreprises en matière de cybersécurité, à savoir stopper une attaque en cours, doivent être repensés.

De la cybersécurité à la résilience

Aujourd’hui, les priorités de cybersécurité doivent passer à la cyber-résilience. Des rapports majeurs du Cyberspace Solarium mandatés par le Congrès américain, les rapports Cybersecurity Moonshot du Conseil consultatif sur les télécommunications, les recommandations du Conseil consultatif national sur les infrastructures soumises au président américain et le rapport The Future of Digital Economy and Society dirigé par le Forum économique mondial exhortent les entreprises et les dirigeants du monde entier à faire de la résilience leur principal objectif de cybersécurité.   

Les stratégies actuelles de cybersécurité tendent avant tout à stopper les menaces potentielles avant qu’elles ne s’introduisent dans une infrastructure informatique et de communication. Pour réussir, elles impliquent qu’aucun employé ne clique sur un lien corrompu, ne télécharge le mauvais fichier ou ne travaille sur un wifi non-sécurisé. Toutefois, cette approche n’est ni réaliste, ni suffisante dans le monde actuel, et même impossible dans l’avenir qui nous attend. C’est pourquoi les dirigeants d’entreprise doivent repenser leur cyber-stratégie pour s’adapter à un monde qui change.

En pratique, le concept de cyber-résilience se base sur une logique qui consiste à plier sans casser. Il tient compte du fait que des cybercriminels s’introduiront occasionnellement malgré d’importants investissements et efforts pour se défendre. L'approche de la cyber-résilience repose sur le principe suivant : organiser ses défenses de manière à privilégier la résilience plutôt que la simple sécurité informatique afin de maintenir ce qui compte le plus – son entreprise.

Peu importe la nature de l’activité de l’entreprise, qu’il s’agisse de produire des choses ou de maintenir ce qui existe, l’essentiel est de garder ses actifs les plus précieux intacts et opérationnels. Se fixer ce nouvel objectif, du haut au bas de l’échelle depuis le comité de direction, aide à économiser de l’argent et à améliorer les résultats.

Pour faciliter l’implémentation du processus, les entreprises peuvent démarrer par cinq étapes principales que l’on retrouve dans la plupart des plans de cyber-résilience :

  • Redondance opérationnelle
  • Microsegmentation
  • Ecosystème fiable
  • Défense active
  • Cyber-assurance

Ressources clés pour atteindre la cyber-résilience

Aujourd’hui, de nouveaux outils, technologies et idées incroyables sont apparus (et davantage demain) qui permettent de concrétiser et de rentabiliser cette évolution des objectifs de cybersécurité.  Parmi eux figurent quatre technologies – les communications 5G, l’IA, les identités transparentes et le chiffrement quantique – qui peuvent ressembler à de la magie, mais sont bien réelles en termes de développement et de déploiement.

Ces quatre technologies sont bien documentées dans le rapport national Cyber Moonshot 2018, auquel j’ai contribué. Ce rapport apporte une réponse au Conseil national de sécurité des États-Unis qui a demandé au Conseil consultatif sur les télécommunications du Président comment nous pourrions rendre l'Internet sûr et sécurisé pour les infrastructures stratégiques d'ici 2028.

Adopter ces quatre technologies

Tout d’abord, nous savons que la 5G arrive, car nous la voyons apparaître sur les écrans de nos téléphones. Mais cette technologie révolutionnaire est bien plus qu’une 4G améliorée. Elle recourt au peer-to-peer, ne présente aucune latence, s’avère ultra rapide et hautement sécurisée, avec une confidentialité renforcée. Elle modifiera la structure même de nos communications mondiales en permettant à des milliards d'appareils d'interagir en temps réel. Il s’agit par exemple des voitures et des routes intelligentes, des réseaux sécurisés qui se créent et se dissolvent au gré des besoins, de milliers de capteurs autour de nous qui nous apportent un support, une assistance et nous protègent. Tout cela est possible avec le potentiel de la 5G. Plus incroyable encore, des outils, des technologies et des entreprises entièrement nouveaux vont apparaître pour exploiter le tout à notre avantage.

L’IA vertueuse – « AI for good » – est un autre élément clé. Elle est sans doute imminente puisque nous voyons partout des cas d’usage commerciaux de l’intelligence artificielle, notamment les moteurs de recommandations qui font des suggestions d’achats, d’idées ou d’activités. Il y a en général un motif de profit derrière la mise en œuvre de ces systèmes d’intelligence artificielle. Des quantités colossales de données que nous livrons et échangeons contre des plateformes gratuites entraînent et nourrissent toujours plus d’évolutions. Maintenant, imaginons le léger pivot que représente l'utilisation de cette même capacité intelligente de façon vertueuse pour veiller à notre défense contre les attaques cybernétiques et cinétiques. Au lieu de nous dire quoi acheter ou pour qui voter avec des messages insidieusement précis basés sur nos pensées les plus intimes, l'IA défendra nos vies en ligne et hors ligne.

Les identités sécurisées joueront également un rôle essentiel pour assurer la résilience. Elles devraient encore évoluer, nous permettre de renoncer enfin au faible mot de passe et le remplacer par de nouvelles normes d’excellence comme la FIDO et la biométrie de pointe qui exploitent les données massives de l’IoT, des caméras, des capteurs, ainsi que la nouvelle connectivité 5G et le traitement de l'IA. Il sera bientôt possible d'être identifié et authentifié de manière transparente, avec de biens meilleurs résultats, tout en renforçant la protection de la vie privée et notre sécurité.

Pour finir, comme l’indique le rapport de Rand, Quantum in the Computing Age, le chiffrement et la défense quantiques sont cruciaux pour la réussite de cette décennie, et au-delà. Pour le moment, les entreprises, grandes et petites, n’ont pas besoin d’innover en priorité dans le chiffrement post-quantique qui permettra de préserver nos secrets une fois nos adversaires pourvus d’ordinateurs quantiques polyvalents capables de déchiffrer les grandes énigmes des temps modernes. Mais il devra être défini et diffusé partout au moins un jour avant une attaque quantique.

Ces quatre technologies ont déjà bien progressé sur la voie qui mène du concept à la réalité, et chacune d'entre elles peut individuellement changer notre vie pour le mieux. Mais collectivement, elles peuvent changer le monde au cours de cette décennie.

Pour aller plus loin

Notre cyber-avenir doit être celui de la résilience face à des défis sans précédent. Même si le processus n'est ni facile ni automatique pour y parvenir en tant que société, il y a lieu d'être optimiste.

À commencer en haut de l’échelle, alors que chacun réinvente son entreprise dans le monde post-pandémique, les conseils d'administration continueront à être confrontés à des décisions quotidiennes difficiles. Tous devraient aujourd’hui avoir pour priorité de s’assurer que leur entreprise est cyber-résiliente.

Malgré les risques accrus et les impacts causés par les événements actuels, il y a de réelles raisons de s'enthousiasmer pour notre avenir. En privilégiant de nouveau le cyber-entrepreneuriat, l'innovation et l'éducation dans les années 2020, en travaillant à la création de produits et de services qui changent la vie et en mettant tout cela entre les mains du public, la technologie nous donne le pouvoir d'améliorer la vie de tous.