Un talent au clavier

Les nouveaux métiers de la cybersécurité

Dossier : ExpressionsMagazine N°733 Mars 2018
Par Hugo ZYLBERBERG (10)
Par Aude GÉRY
Par Léo ISAAC-DOGNIN
Par Martin QUINN

Le début d’une série d’ar­ti­cles pour présen­ter les enjeux de la cyber­sécu­rité. Pour com­mencer, l’ensem­ble des ques­tions per­me­t­tant d’en définir les con­tours dans la trans­for­ma­tion numérique. Ensuite nous aurons des entre­tiens avec des pro­fes­sion­nels du secteur. 

Systèmes d’in­for­ma­tion, mod­èles d’affaires, for­ma­tion et out­ils d’apprentissage, insti­tu­tions, médias et diver­tisse­ment, rela­tions sociales… La trans­for­ma­tion numérique met les ques­tions de cyber­sécu­rité au pre­mier plan et il est dif­fi­cile d’en sous-estimer l’influence.

Nos vies sont de plus en plus dif­férentes de celles de nos par­ents et grands-par­ents. Si la trans­for­ma­tion numérique crée de nom­breuses oppor­tu­nités en ter­mes de développe­ment économique et social, elle fait égale­ment naître de nou­velles men­aces et offre de nou­veaux vecteurs d’attaques.

Ces men­aces sont désor­mais au cen­tre des prob­lé­ma­tiques du secteur pub­lic comme du secteur privé, alors même que l’expertise en ce domaine est dif­fi­cile à iden­ti­fi­er et que la recherche peine à émerger. 

De fait, les experts du numérique aujourd’hui sont d’abord des experts d’autres secteurs qui obser­vent cette trans­for­ma­tion de leur pro­pre point de vue – écon­o­mistes, soci­o­logues, infor­mati­ciens, experts en sécu­rité, juristes, spé­cial­istes en ressources humaines ou en sci­ence de ges­tion, etc. 

Pour­tant, compte tenu de l’ampleur et de la com­plex­ité des enjeux, une approche col­lab­o­ra­tive et mul­ti­dis­ci­plinaire est sou­vent nécessaire. 

UN EXPERT EN CYBERSÉCURITÉ, C’EST QUOI ?

Par­mi les prob­lèmes les plus épineux de la trans­for­ma­tion numérique se trou­ve la cyber­sécu­rité. De la même façon que l’on définit la sécu­rité comme une absence de dan­ger, la cyber­sécu­rité peut se con­cevoir comme l’absence de dan­ger par voie numérique. 

Ain­si, assur­er la cyber­sécu­rité d’une organ­i­sa­tion con­siste en pre­mière analyse à pro­téger ses infra­struc­tures, ses ressources infor­ma­tiques, ain­si que ses données. 

Répon­dre aux prob­lé­ma­tiques spé­ci­fiques que pose la cyber­sécu­rité réclame de nou­velles exper­tis­es qui sont encore en gestation. 

Pour un étu­di­ant intéressé par ce sujet, il est dif­fi­cile de con­cevoir sa tra­jec­toire pro­fes­sion­nelle : par où com­mencer pour devenir un expert en cyber­sécu­rité ? De même, anticiper les besoins et iden­ti­fi­er les tal­ents est un défi pour les organ­i­sa­tions. Au-delà des métiers qui exis­tent déjà, sept mis­sions con­tribuent pour­tant à struc­tur­er ce domaine d’expertise.

ENGAGER LA TRANSFORMATION NUMÉRIQUE EN PROTÉGEANT LES SYSTÈMES D’INFORMATION


Anticiper les besoins et repér­er les tal­ents est un défi.
© DROBOT DEAN

Toutes les organ­i­sa­tions sont con­fron­tées à des prob­lèmes de mod­erni­sa­tion de leurs sys­tèmes d’information : l’innovation tech­nologique, tou­jours plus rapi­de, est réclamée par les util­isa­teurs alors que les exi­gences de sécu­rité des sys­tèmes d’information imposent à la fois des normes et des étapes de con­cep­tion, puis un temps d’évaluation avant la mise en production. 

Com­ment con­cevoir les futurs sys­tèmes d’information de manière à pou­voir les mod­erniser en per­ma­nence tout en respec­tant les impérat­ifs de sécurité ?
Com­ment con­duire cette mod­erni­sa­tion de manière effi­cace et efficiente ?
Que faire des archi­tec­tures vétustes qui con­tin­u­ent à assur­er un ser­vice critique ?
Quel équili­bre trou­ver entre la sécuri­sa­tion de l’architecture exis­tante et la mod­erni­sa­tion à marche forcée ? 

Ce qui est nou­veau ici, c’est la vitesse d’évolution des sys­tèmes d’information, ain­si que la charge de tra­vail crois­sante néces­saire pour assur­er la sécu­rité d’architectures de plus en plus com­plex­es et interconnectées.

ASSURER LA PROTECTION DES DONNÉES VIA UNE GOUVERNANCE ADAPTÉE

Les organ­i­sa­tions col­lectent et stock­ent de plus en plus de don­nées – sur leurs employés, leurs clients, leur pro­pre struc­ture et leurs proces­sus internes. Au-delà des infra­struc­tures sur lesquelles elles sont stock­ées, cer­taines don­nées sont assor­ties d’obligations légales (notam­ment les don­nées per­son­nelles dans le cadre du nou­veau règle­ment européen sur la pro­tec­tion des données). 

D’autres revê­tent une impor­tance stratégique incon­tourn­able et con­stituent une ressource qu’il faut pro­téger. Com­ment réguler les flux de don­nées afin de les ren­dre acces­si­bles unique­ment lorsque c’est néces­saire ? Com­ment pro­téger les don­nées dès la con­cep­tion de l’architecture ? Quel est le juste équili­bre entre la col­lecte de don­nées pour répon­dre à d’éventuels besoins ultérieurs et la min­imi­sa­tion des don­nées collectées ? 

Ce qui est nou­veau ici, c’est à la fois la quan­tité de don­nées, les risques encou­rus, ain­si que la néces­sité de pos­er ces ques­tions le plus en amont pos­si­ble, dès la con­cep­tion du sys­tème d’information.

ANALYSER LA MENACE CYBER POUR INFORMER LES DÉCIDEURS

Chaque organ­i­sa­tion fait face à un envi­ron­nement de risque cyber singulier. 

Armoires électroniques
Les organ­i­sa­tions col­lectent et stock­ent de plus en plus de données.
© TOMMY LEE WALKER

Au-delà de la pro­tec­tion des infra­struc­tures et des don­nées, il faut analyser cette men­ace d’un point de vue tech­nique et géos­tratégique à court et à long terme pour com­pren­dre com­ment s’y adapter – les répons­es dif­fèrent pour une entre­prise d’e‑commerce aux par­ti­c­uliers, une cen­trale élec­trique ou un min­istère. À l’avenir, les déci­sions stratégiques devront être infor­mées par une com­préhen­sion à 360˚ des risques cyber encourus. 

Com­ment se ren­seign­er et quan­ti­fi­er la men­ace cyber générique, ain­si que les men­aces spé­ci­fiques aux­quelles fait face une organisation ?
Com­ment iden­ti­fi­er les par­ties les plus vul­nérables des SI et faire remon­ter cette infor­ma­tion au niveau stratégique ?
Est-il pos­si­ble de met­tre en place une défense col­lec­tive en échangeant des infor­ma­tions avec des organ­i­sa­tions partenaires ? 

Ce qui est nou­veau ici, c’est que l’intrication inédite des enjeux et des acteurs vient com­pli­quer l’analyse de ces men­aces qui devrait précéder toute prise de décision.

GÉRER LES CRISES RELATIVES AUX ATTAQUES INFORMATIQUES

Il existe deux types d’organisations : celles qui savent qu’elles ont été vic­times d’attaques infor­ma­tiques, et celles qui ne le savent pas. Com­pren­dre la men­ace est un pre­mier pas, mais il est égale­ment néces­saire de savoir gér­er la crise lorsqu’une attaque survient. 

Dans cette optique, les exer­ci­ces de sécu­rité favorisent les bons com­porte­ments : avant l’attaque, afin de min­imiser les risques et de la détecter le plus tôt pos­si­ble, pen­dant l’attaque, afin de recueil­lir des élé­ments de preuve et de con­tenir son impact, et après l’attaque afin de réduire le temps de récupération. 

Quels sont les bons com­porte­ments à adopter avant, pen­dant et après une attaque informatique ?
Com­ment s’assurer que la réac­tion des équipes per­me­tte de min­imiser les risques d’intrusion, l’étendue des dégâts poten­tiels et le temps de récupération ?
Com­ment coor­don­ner sa réponse avec toutes les par­ties prenantes (autorités, parte­naires, clients, four­nisseurs, asso­ci­a­tions et grand public) ? 

Ce qui est nou­veau ici, c’est la fréquence des attaques et leur sophis­ti­ca­tion, ain­si que le change­ment de par­a­digme qui con­siste à accepter qu’une attaque va arriv­er et à min­imiser son impact. 

MAINTENIR LES INFRASTRUCTURES INFORMATIQUES D’UN OPÉRATEUR D’IMPORTANCE VITALE (OIV)

Les OIV sont des organ­ismes publics ou privés qui pilo­tent des infra­struc­tures jugées indis­pens­ables pour la survie de la nation. 

Pylônes électriques
Com­ment fournir un ser­vice de qual­ité tout en respec­tant les exi­gences de sécu­rité ? © SINGKHAM

En coor­di­na­tion avec notam­ment l’Agence nationale de la sécu­rité des sys­tèmes d’information (ANSSI), ces opéra­teurs ont l’obligation de for­mer leurs équipes de sécu­rité, d’établir un plan de sécu­rité con­forme à leurs oblig­a­tions légales, et de pro­téger plus spé­ci­fique­ment les points iden­ti­fiés comme par­ti­c­ulière­ment importants. 

Com­ment gér­er le sys­tème d’information d’un opéra­teur d’importance vitale pour fournir un ser­vice de qual­ité tout en respec­tant les exi­gences de sécurité ?
Au-delà des sys­tèmes d’information, quelles sont les bonnes pra­tiques de ges­tion des OIV ?
Com­ment organ­is­er des échanges d’information avec les homo­logues ou parte­naires publics et privés, au niveau nation­al et international ? 

Ce qui est nou­veau ici, c’est que la diver­sité des organ­i­sa­tions con­cernées est sans précé­dent – il existe désor­mais douze secteurs d’activité d’importance vitale com­por­tant des oblig­a­tions légales – et les bonnes pra­tiques dépassent de loin la sim­ple ges­tion du sys­tème d’information : il s’agit de met­tre en place une hygiène de cyber­sécu­rité au niveau de l’entreprise.

SÉCURITÉ INTERNATIONALE ET CYBERDIPLOMATIE

La stratégie de cyberdéfense des États se traduit désor­mais pleine­ment dans le domaine diplo­ma­tique. Les négo­ci­a­tions inter­na­tionales sur les normes de com­porte­ment respon­s­able des États dans le cybere­space, les dis­cus­sions mul­ti­ac­teurs sur la gou­ver­nance de l’internet et des réseaux ain­si que les dis­cus­sions avec les géants du numérique abor­dent de plus en plus les ques­tions d’infrastructures cri­tiques et de sûreté nationale. 

Les diplo­mates doivent égale­ment com­pren­dre et maîtris­er les crises du cybere­space afin de décon­flict­ualis­er les rela­tions entre États. 

Com­ment con­stru­ire une stratégie diplo­ma­tique dans un monde où le mod­èle mul­ti­ac­teurs (inclu­ant les entre­pris­es, les États et les experts de la société civile) laisse moins de place à la parole des États ?
Com­ment effectuer une veille diplo­ma­tique sur les stan­dards tech­niques du cyberespace ?
Com­ment faire appli­quer des normes de com­porte­ment respon­s­able des États dans le cybere­space pour assur­er la sta­bil­ité stratégique de ce domaine ? 

Ce qui est nou­veau ici, c’est que l’action diplo­ma­tique doit utilis­er de nou­veaux relais et de nou­velles enceintes, notam­ment tech­niques. De plus, les crises du cybere­space menaçant de se trans­former en con­flits géopoli­tiques, il s’agit égale­ment d’assurer un dia­logue de crise afin d’éviter l’escalade involon­taire des conflits.

DÉVELOPPER LE RENSEIGNEMENT ET LES CAPACITÉS OFFENSIVES DANS LE CYBERESPACE

Homme au clavier
Les armées mod­ernes pren­nent con­science de leur dépen­dance aux tech­nolo­gies de l’information.
© PHOTOGRAPHEE.EU

Au-delà de la cyberdéfense, le monde numérique donne, pour le moment, un avan­tage incon­testable aux attaquants : l’augmentation de la sur­face d’attaque et la mul­ti­pli­ca­tion des failles per­me­t­tent à un cyber­sol­dat (ou cyber­merce­naire !) qui dis­pose des ressources néces­saires de pénétr­er presque à coup sûr là où il le souhaite. En ces cir­con­stances, la capac­ité à mobilis­er des capac­ités offen­sives dans le cybere­space peut con­tribuer à la cyberdéfense. 

Plusieurs États ont donc engagé la réforme de leurs armées et de leurs ser­vices de ren­seigne­ment de manière à apporter un sou­tien cyber aux opéra­tions exis­tantes, mais égale­ment à créer un com­man­de­ment dédié à la con­duite d’opérations offen­sives dans le cyberespace. 

Quelle doc­trine met­tre en place pour encadr­er et men­er des opéra­tions cyber ?
Com­ment se dot­er de moyens et attir­er des tal­ents face à la con­cur­rence du secteur privé ?
Com­ment favoris­er l’innovation dans un envi­ron­nement très hiérar­chisé où la cir­cu­la­tion de toutes les infor­ma­tions est segmentée ? 

Ce qui est nou­veau ici, c’est le fait que les armées mod­ernes pren­nent con­science que leur dépen­dance aux tech­nolo­gies de l’information est une source de vul­néra­bil­ité, alors même que leurs capac­ités cyber sont encore dif­fi­ciles à mobiliser.

Poster un commentaire