Lorsqu’un RSSI s’intéresse à l’Art de la stratégie, il ne peut bien sûr s’empêcher d’appliquer ses lectures à son quotidien. « Les attaques que nous observons aujourd’hui sont très différentes d’auparavant. Nous constatons notamment une baisse du hacking traditionnel, mais une hausse des attaques à la fois moins techniques et plus efficaces, parce que dirigées vers l’utilisateur et exploitant sa méconnaissance ou sa naïveté. Il est donc nécessaire de faire évoluer nos réponses, et je suis pour cela retourné aux bases de la stratégie« , explique ce RSSI d’un grand groupe international, membre de SecurityVibes, qui a tenu a garder l’anonymat.

Il n’y a pas trouvé de réponses toutes faites, mais ses réflexions lui on permis de recadrer son approche de la sécurité.

« Je me suis d’abord plongé évidemment dans l’Art de la Guerre, de Sun Tzu. Mais c’est un ouvrage tellement applicable à toutes les situations qu’il en est au final difficilement applicable à quoi que ce soit !« , s’amuse le RSSI. Il s’est ensuite tourné avec plus de succès vers « Introduction à la Stratégie« , du Général André Beaufre.

« Selon le Général Beaufre la guerre est un dialogue entre deux forces qui s’opposent. Considérer le conflit – y compris celui qui nous oppose aux pirates – comme un dialogue est un excellent postulat de départ, qui permet d’aller vers des réponses plus ouvertes« , explique-t-il.

La première étape serait de trouver les raisons du conflit : « Ce qui a changé, c’est que l’attaque n’est pas toujours motivée par un intérêt financier. Ce peut désormais être aussi du à une position monopolistique, ou bien encore avoir une cause sociale ou religieuse, par exemple« . Et s’il n’y a pas de raison évidente, il faudra encore considérer que l’entreprise peut être une victime collatérale dans un conflit qui ne la concerne pas. « Par exemple si notre fournisseur est attaqué pour une raison de monopole, nous serons touchés malgré nous« , poursuit notre RSSI.

Après la motivation, il faut évidemment s’intéresser à la cible : « Il est bien entendu nécessaire de déterminer quelle est l’objectif recherché par l’attaquant : cela peut être évident, comme des numéros de cartes bancaires ou des données commerciales, mais aussi plus subtil, comme peut-être l’image de l’entreprise« , détaille le RSSI.

Si connaître la cible de l’attaque permettra bien entendu de mieux la protéger, comprendre les motivations de l’assaillant permettra d’envisager d’autres scénarios de sortie de crise, peut-être plus innovants que la réponse technique habituelle. Ainsi connaître la motivation de l’attaquant peut se révéler tout aussi important que déterminer la cible opérationnelle.

« La priorité doit ensuite être de sortir du conflit. Il faut donc à chaque instant écrire noir sur blanc quelle est à ce stade la meilleure condition de sortie du conflit« . La meilleure solution n’est en effet peut-être pas nécessairement de combattre de front, voire de combattre du tout : la diplomatie ou la communication peuvent par exemple s’avérer un bon outil de sortie de crise. « Après tout le champ de bataille n’est peut-être pas limité au SI, et le RSSI doit garder une vision plus large de la situation. En Chine par exemple, des entreprises françaises ont été victimes d’attaques contre leur image (parmi des attaques SSI plus classiques, ndlr), et cela s’est soldé avant tout par des négociations au plus haut niveau« , explique le RSSI.

A noter également deux paramètres à prendre en compte dans l’élaboration de la stratégie : le temps dont dispose l’entreprise (doit-elle développer une stratégie à court ou long terme ?) et sa capacité à disposer de la bonne information. « Il faut faire parler les logs, mettre en place des outils d’analyse. Beaucoup d’information se perd aujourd’hui, et c’est un handicap« , regrette le RSSI. Car sans une vision précise de la situation sur le terrain, il sera impossible à l’entreprise d’élaborer efficacement sa stratégie.

Enfin, pour se protéger avant l’attaque notre RSSI s’est amusé à traduire en termes de guerre les mesures très classiques que toute entreprise devrait déjà avoir mis en oeuvre :

• Connaître son terrain (le périmètre, identifier et contrôler les entrées et sorties…)
• Former (enrôler, ndlr ?) la population (éduquer et sensibiliser les utilisateurs aux risques qu’ils prennent au quotidien)
• Communiquer efficacement (rédiger procédures, guides, bonnes pratiques… et les communiquer)
• Observer (mettre en place des outils d’analyse des logs, de remontée des incidents)