Les nouveaux métiers de la cybersécurité

Expressions

Dossier : ExpressionsMagazine N°733 Mars 2018

Par Hugo ZYLBERBERG (10)

Par Aude GÉRY

Par Léo ISAAC-DOGNIN

Par Martin QUINN

Le début d’une série d’articles pour présenter les enjeux de la cybersécurité. Pour commencer, l’ensemble des questions permettant d’en définir les contours dans la transformation numérique. Ensuite nous aurons des entretiens avec des professionnels du secteur.

Systèmes d’information, modèles d’affaires, formation et outils d’apprentissage, institutions, médias et divertissement, relations sociales… La transformation numérique met les questions de cybersécurité au premier plan et il est difficile d’en sous-estimer l’influence.

Nos vies sont de plus en plus différentes de celles de nos parents et grands-parents. Si la transformation numérique crée de nombreuses opportunités en termes de développement économique et social, elle fait également naître de nouvelles menaces et offre de nouveaux vecteurs d’attaques.

Ces menaces sont désormais au centre des problématiques du secteur public comme du secteur privé, alors même que l’expertise en ce domaine est difficile à identifier et que la recherche peine à émerger.

De fait, les experts du numérique aujourd’hui sont d’abord des experts d’autres secteurs qui observent cette transformation de leur propre point de vue – économistes, sociologues, informaticiens, experts en sécurité, juristes, spécialistes en ressources humaines ou en science de gestion, etc.

Pourtant, compte tenu de l’ampleur et de la complexité des enjeux, une approche collaborative et multidisciplinaire est souvent nécessaire.

UN EXPERT EN CYBERSÉCURITÉ, C’EST QUOI ?

Parmi les problèmes les plus épineux de la transformation numérique se trouve la cybersécurité. De la même façon que l’on définit la sécurité comme une absence de danger, la cybersécurité peut se concevoir comme l’absence de danger par voie numérique.

Ainsi, assurer la cybersécurité d’une organisation consiste en première analyse à protéger ses infrastructures, ses ressources informatiques, ainsi que ses données.

Répondre aux problématiques spécifiques que pose la cybersécurité réclame de nouvelles expertises qui sont encore en gestation.

Pour un étudiant intéressé par ce sujet, il est difficile de concevoir sa trajectoire professionnelle : par où commencer pour devenir un expert en cybersécurité ? De même, anticiper les besoins et identifier les talents est un défi pour les organisations. Au-delà des métiers qui existent déjà, sept missions contribuent pourtant à structurer ce domaine d’expertise.

ENGAGER LA TRANSFORMATION NUMÉRIQUE EN PROTÉGEANT LES SYSTÈMES D’INFORMATION

Anticiper les besoins et repérer les talents est un défi.
© DROBOT DEAN

Toutes les organisations sont confrontées à des problèmes de modernisation de leurs systèmes d’information : l’innovation technologique, toujours plus rapide, est réclamée par les utilisateurs alors que les exigences de sécurité des systèmes d’information imposent à la fois des normes et des étapes de conception, puis un temps d’évaluation avant la mise en production.

Comment concevoir les futurs systèmes d’information de manière à pouvoir les moderniser en permanence tout en respectant les impératifs de sécurité ?
Comment conduire cette modernisation de manière efficace et efficiente ?
Que faire des architectures vétustes qui continuent à assurer un service critique ?
Quel équilibre trouver entre la sécurisation de l’architecture existante et la modernisation à marche forcée ?

Ce qui est nouveau ici, c’est la vitesse d’évolution des systèmes d’information, ainsi que la charge de travail croissante nécessaire pour assurer la sécurité d’architectures de plus en plus complexes et interconnectées.

ASSURER LA PROTECTION DES DONNÉES VIA UNE GOUVERNANCE ADAPTÉE

Les organisations collectent et stockent de plus en plus de données – sur leurs employés, leurs clients, leur propre structure et leurs processus internes. Au-delà des infrastructures sur lesquelles elles sont stockées, certaines données sont assorties d’obligations légales (notamment les données personnelles dans le cadre du nouveau règlement européen sur la protection des données).

D’autres revêtent une importance stratégique incontournable et constituent une ressource qu’il faut protéger. Comment réguler les flux de données afin de les rendre accessibles uniquement lorsque c’est nécessaire ? Comment protéger les données dès la conception de l’architecture ? Quel est le juste équilibre entre la collecte de données pour répondre à d’éventuels besoins ultérieurs et la minimisation des données collectées ?

Ce qui est nouveau ici, c’est à la fois la quantité de données, les risques encourus, ainsi que la nécessité de poser ces questions le plus en amont possible, dès la conception du système d’information.

ANALYSER LA MENACE CYBER POUR INFORMER LES DÉCIDEURS

Chaque organisation fait face à un environnement de risque cyber singulier.

Les organisations collectent et stockent de plus en plus de données.
© TOMMY LEE WALKER

Au-delà de la protection des infrastructures et des données, il faut analyser cette menace d’un point de vue technique et géostratégique à court et à long terme pour comprendre comment s’y adapter – les réponses diffèrent pour une entreprise d’e‑commerce aux particuliers, une centrale électrique ou un ministère. À l’avenir, les décisions stratégiques devront être informées par une compréhension à 360˚ des risques cyber encourus.

Comment se renseigner et quantifier la menace cyber générique, ainsi que les menaces spécifiques auxquelles fait face une organisation ?
Comment identifier les parties les plus vulnérables des SI et faire remonter cette information au niveau stratégique ?
Est-il possible de mettre en place une défense collective en échangeant des informations avec des organisations partenaires ?

Ce qui est nouveau ici, c’est que l’intrication inédite des enjeux et des acteurs vient compliquer l’analyse de ces menaces qui devrait précéder toute prise de décision.

GÉRER LES CRISES RELATIVES AUX ATTAQUES INFORMATIQUES

Il existe deux types d’organisations : celles qui savent qu’elles ont été victimes d’attaques informatiques, et celles qui ne le savent pas. Comprendre la menace est un premier pas, mais il est également nécessaire de savoir gérer la crise lorsqu’une attaque survient.

Dans cette optique, les exercices de sécurité favorisent les bons comportements : avant l’attaque, afin de minimiser les risques et de la détecter le plus tôt possible, pendant l’attaque, afin de recueillir des éléments de preuve et de contenir son impact, et après l’attaque afin de réduire le temps de récupération.

Quels sont les bons comportements à adopter avant, pendant et après une attaque informatique ?
Comment s’assurer que la réaction des équipes permette de minimiser les risques d’intrusion, l’étendue des dégâts potentiels et le temps de récupération ?
Comment coordonner sa réponse avec toutes les parties prenantes (autorités, partenaires, clients, fournisseurs, associations et grand public) ?

Ce qui est nouveau ici, c’est la fréquence des attaques et leur sophistication, ainsi que le changement de paradigme qui consiste à accepter qu’une attaque va arriver et à minimiser son impact.

MAINTENIR LES INFRASTRUCTURES INFORMATIQUES D’UN OPÉRATEUR D’IMPORTANCE VITALE (OIV)

Les OIV sont des organismes publics ou privés qui pilotent des infrastructures jugées indispensables pour la survie de la nation.

En coordination avec notamment l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ces opérateurs ont l’obligation de former leurs équipes de sécurité, d’établir un plan de sécurité conforme à leurs obligations légales, et de protéger plus spécifiquement les points identifiés comme particulièrement importants.

Comment gérer le système d’information d’un opérateur d’importance vitale pour fournir un service de qualité tout en respectant les exigences de sécurité ?
Au-delà des systèmes d’information, quelles sont les bonnes pratiques de gestion des OIV ?
Comment organiser des échanges d’information avec les homologues ou partenaires publics et privés, au niveau national et international ?

Ce qui est nouveau ici, c’est que la diversité des organisations concernées est sans précédent – il existe désormais douze secteurs d’activité d’importance vitale comportant des obligations légales – et les bonnes pratiques dépassent de loin la simple gestion du système d’information : il s’agit de mettre en place une hygiène de cybersécurité au niveau de l’entreprise.

SÉCURITÉ INTERNATIONALE ET CYBERDIPLOMATIE

La stratégie de cyberdéfense des États se traduit désormais pleinement dans le domaine diplomatique. Les négociations internationales sur les normes de comportement responsable des États dans le cyberespace, les discussions multiacteurs sur la gouvernance de l’internet et des réseaux ainsi que les discussions avec les géants du numérique abordent de plus en plus les questions d’infrastructures critiques et de sûreté nationale.

Les diplomates doivent également comprendre et maîtriser les crises du cyberespace afin de déconflictualiser les relations entre États.

Comment construire une stratégie diplomatique dans un monde où le modèle multiacteurs (incluant les entreprises, les États et les experts de la société civile) laisse moins de place à la parole des États ?
Comment effectuer une veille diplomatique sur les standards techniques du cyberespace ?
Comment faire appliquer des normes de comportement responsable des États dans le cyberespace pour assurer la stabilité stratégique de ce domaine ?

Ce qui est nouveau ici, c’est que l’action diplomatique doit utiliser de nouveaux relais et de nouvelles enceintes, notamment techniques. De plus, les crises du cyberespace menaçant de se transformer en conflits géopolitiques, il s’agit également d’assurer un dialogue de crise afin d’éviter l’escalade involontaire des conflits.

DÉVELOPPER LE RENSEIGNEMENT ET LES CAPACITÉS OFFENSIVES DANS LE CYBERESPACE

Au-delà de la cyberdéfense, le monde numérique donne, pour le moment, un avantage incontestable aux attaquants : l’augmentation de la surface d’attaque et la multiplication des failles permettent à un cybersoldat (ou cybermercenaire !) qui dispose des ressources nécessaires de pénétrer presque à coup sûr là où il le souhaite. En ces circonstances, la capacité à mobiliser des capacités offensives dans le cyberespace peut contribuer à la cyberdéfense.

Plusieurs États ont donc engagé la réforme de leurs armées et de leurs services de renseignement de manière à apporter un soutien cyber aux opérations existantes, mais également à créer un commandement dédié à la conduite d’opérations offensives dans le cyberespace.

Quelle doctrine mettre en place pour encadrer et mener des opérations cyber ?
Comment se doter de moyens et attirer des talents face à la concurrence du secteur privé ?
Comment favoriser l’innovation dans un environnement très hiérarchisé où la circulation de toutes les informations est segmentée ?

Ce qui est nouveau ici, c’est le fait que les armées modernes prennent conscience que leur dépendance aux technologies de l’information est une source de vulnérabilité, alors même que leurs capacités cyber sont encore difficiles à mobiliser.

Nom du cookie	Expiration	Fonction
_ga	2 ans	Identification des visiteurs pour Google Analytics
_gid	24 h	Analyse du parcours utilisateur pour Google Analytics
module-manager-time- *	session	Le cookie est placé pour stocker les actions effectuées sur le site Web .
of_current_opt	1 semaine	Le cookie est placé par WordPress pour stocker les préférences de l\'utilisateur .
tk_ai	session	Recueille des informations pour notre propre outil d\'analyse de première partie sur la façon dont nos services sont utilisés. Une collection de métriques internes pour l\'activité des utilisateurs, utilisée pour améliorer l\'expérience utilisateur.