Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Parle-t-on trop de cyberdéfense (et pas assez de SSI ?)

auteur de l'article Jerome Saiz , dans la rubrique Menaces

L’actualité semble dominée par les questions de cyberdéfense. « Le cyber » est partout, et surtout à tous les niveaux de l’Etat. Mais il faut bien reconnaître que la matière est là : entre travaux parlementaires, Livres Blancs, restructurations, recrutements, les nombreuses annonces du Ministère de la Défense et même récemment celles de Matignon, le volet institutionnel est à lui seul déjà bien garni (et ça tombe bien, car il y a fort à faire !)

Ajoutons à cela les effets de bord de l’affaire Snowden qui n’en finit plus d’occuper les commentateurs, de remettre les questions de renseignement au coeur des discussions de comptoir ou de réveiller de vieux réflexes pavloviens chez les libertaires de tout poil. Où que l’on se place le tableau est définitivement très « cyber » et très institutionnel.

Et même la presse généraliste s’y met : les médias nationaux couvrent désormais volontiers des sujets qu’ils ignoraient cordialement jusqu’à présent, et ils n’hésitent plus à parler interception, géolocalisation, vulnérabilités, formations de « hackers éthiques » ou cyber-police.

Ici même, dans nos colonnes, la question a également pris une place prépondérante, alors que nos lecteurs sont avant tout des RSSI et des professionnels en entreprise.

Sur le marché, enfin, des éditeurs de solutions de sécurité créent désormais des offres (voire carrément des filiales !) dédiées à la cyberdéfense. C’est le nouveau mot magique.

Oui mais qui achète « de la cyberdéfense », en fait ? Les entreprises n’ont-elles pas d’abord besoin de maîtriser des concepts largement plus concrets (un patching efficace, par exemple…) avant d’être bombardées de concepts empruntés à la Défense ? Combien sont concernées ? Tout ceci n’est-il pas contre-productif ?

La question s’est récemment invitée lors du dernier rendez-vous Security Tuesday de ISSA France. Il s’agissait de savoir quel impact tout ce bruit pouvait bien avoir sur les RSSI et les entreprises qu’ils protègent. Cela avait beau ne pas être le thème de la soirée, les avis étaient déjà bien tranchés.

Pour certains participants le bruit cyber a beau être excessif, il en demeure utile. Il participe en effet à élever le débat et atteindre les Directions Générales et les comités exécutifs. Ils sont alors doublement sensibilisés : d’abord globalement (l’on parle beaucoup de ces sujets, l’Etat fait de nombreuses annonces, la grande presse étale les menaces…). Et ensuite plus spécifiquement : toute cette activité de sécurité de l’information dépasse grâce à cela la sphère des techniciens, et même celle des gestionnaires du risque, pour prendre une tournure plus simple à comprendre : il s’agit d’espionnage, voilà tout ! Une fois ce raccourci (rapide et inexact, au demeurant) fait, il devient plus simple de parler de protection de l’information aux plus hauts niveaux de l’entreprise.

Pour d’autres, au contraire, ce bruit contribue plutôt à masquer l’essentiel. Selon eux l’accent mis sur la cyberdéfense ne vient que complexifier un message déjà difficile à faire passer, en attirant l’attention sur des questions de plus haut niveau qui n’ont pas lieu d’être traitées alors que l’élémentaire n’est pas couvert (bien que l’ANSSI ait justement publié un guide fort utile en matière de mesures élémentaires !). L’on retrouve ici les critiques que formulent régulièrement certains RSSI face à la prépondérance de l’audit de conformité : les « cases à cocher » remplacent l’expertise et la conformité devient une finalité alors qu’elle ne devrait être que le produit des mesures de sécurité mises en oeuvre. Dans le cas de la cyberdéfense, le risque serait plutôt que prendre des raccourcis imposés, de devoir traiter sous la pression de la mode des sujets qui n’ont rien de prioritaires alors que d’autres restent en souffrance parce que trop techniques, trop bas niveau ou pas assez visibles.

Il n’y a évidemment pas de réponse à une telle question. Comme souvent la réalité dépendra de la taille de l’entreprise, de son exposition aux risques et de son niveau de maturité. Et le curseur se situera probablement quelque part entre ces deux positions extrêmes.

Mais en tout état de cause le focus mis sur la cyberdéfense aura au moins deux points positifs.

D’abord il contribuera à renforcer les filières de formation spécialisées, soit en créant des formations soit en donnant une visibilité accrue à celles qui existent. L’accent mis sur les métiers de la cyberdéfense pourra également contribuer à donner une meilleure visibilité aux débouchées des métiers de la SSI. L’Etat soutient en outre un certain nombre de projets de recherche et de thèses dans le domaine, et la tendance devrait aller croissante tant que « le cyber » demeure stratégique. De même, la volonté d’accompagner la naissance d’une filière industrielle de cyberdéfense pourra offrir à des entreprises spécialisées des opportunités auxquelles elles n’auraient pu prétendre sans cela.

Ensuite ce phénomène cyber aura contribué à élever le débat et pourrait donner à l’avenir naissance à des approches innovantes et intéressantes de la SSI. Celles-ci pourront être par exemple basées sur les pratiques du monde du renseignement (prépondérance de l’humain et de l’analyse, focus sur l’adversaire, ses capacités, ses moyens, ses actions passées), ou même plus techniques (nouvelles approches en matière de SIEM, approches statistiques et comportementales, etc…)

En bref, cela bénéficiera sans aucun doute aux entreprises d’une manière ou d’une autre… à l’avenir ! Mais dans l’immédiat il convient peut-être de rappeler que les menaces qui visent l’entreprise sont parfois (souvent) très différentes de celles qui ciblent les Etats.

Et vous, qu’en pensez-vous ? Parle-t-on trop de cyberdéfense aujourd’hui ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à Parle-t-on trop de cyberdéfense (et pas assez de SSI ?)

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.