Alain Bouillé,
Délégué Général du CESIN
Pas encore sortis de la crise sanitaire qui nous a apporté de nouvelles organisations du travail où beaucoup de salariés aspirent désormais à davantage de liberté sur le lieu où exercer leurs missions, nous voici plongés dans une guerre en Europe inimaginable il y a encore quelques mois. Les catastrophes climatiques de l’été sont venues rajouter une nouvelle couche à ces crises qui n’en finissent pas !
Au moment de la crise sanitaire, on s’est soudain rendu compte combien nous étions dépendants de puissances étrangères comme la Chine où lorsque l’usine du monde s’est arrêtée de tourner, on s’est brutalement aperçu qu’il y avait plein de choses que l’on ne fabriquait plus près de chez nous ! Le conflit en Ukraine, au-delà des horreurs qu’il engendre, souligne notre extrême dépendance en particulier énergétique aux pays en guerre et enfin les crises climatiques nous rappellent également notre dépendance à certains produits affectés par le réchauffement climatique. N’a-t-on pas découvert de manière quasi anecdotique que la majorité des graines destinées à fabriquer la fameuse moutarde de Dijon n’est plus cultivée à Dijon mais au Canada ? Et lorsque la production est affectée par la sécheresse qui a sévit dans ce pays et que le plan B qui consiste à se fournir en Ukraine n’est plus d’actualité, on ne trouve plus de moutarde dans les magasins !
Nous sommes une colonie numérique des Etats-Unis
Cette dépendance est depuis longtemps de mise dans le monde numérique. Nous savons depuis longtemps que nous sommes une colonie numérique des Etats-Unis avant peut-être que la Chine ne prenne le lead en ce domaine. Si beaucoup d’entreprises sont restées insensibles aux questions de souveraineté depuis le « move to cloud », le resteront-elles encore longtemps face à la dépendance qu’elle engendre ?
Pendant ce temps le numérique voit son empreinte environnementale gonfler chaque année. Si le numérique était un pays, celui-ci aurait une empreinte carbone équivalente à 2 à 3 fois celle de la France (source EDF). L’Ademe, l’Agence de la transition écologique, rappelle que le secteur est responsable d’environ 4 % des émissions mondiales de gaz à effet de serre et d’ici 2025, cette part est prévue de doubler.
Et plutôt que de mettre le paquet sur la sobriété numérique, au lieu des mesurettes annoncées pour faire bonne figure, de quoi nous parle-t-on en 2022 ? De Metaverse, de NFT, de blockchain, tous plus consommateurs d’énergie les uns que les autres ! Sans parler des appareils électroniques possédés par les ménages et des objets connectés que l’on comptabilise par milliards (19 en 2020, 48 en 2025 !).
Si tout cela est une véritable catastrophe pour la planète, en matière de cybersécurité cette gabegie numérique représente une véritable calamité avec des surfaces d’attaque qui ne cessent d’augmenter de manière exponentielle. Comment alors s’étonner que les dépenses sécurité augmentent en flèche pour le plus grand bonheur de l’industrie cybersécurité ?
Face à ce constat, il n’est plus possible de faire de la cybersécurité « à la papa » avec les approches du 20ème siècle. Un des premiers commandements de l’ANSSI est de connaitre ses assets afin de mieux en maitriser ses vulnérabilités. Qui connait aujourd’hui l’étendue de son patrimoine lorsque qu’il se crée des applications et des sites par dizaines chaque jour sur le cloud pour chaque entreprise ?
1000 nouveaux avis de sécurité à mi-2022
En matière de gestion des vulnérabilités, le CERT IST, avec lequel le CESIN est partenaire, publie des avis de sécurité qui regroupent plusieurs CVE (Common Vulnerabilities and Exposures). On en était à 1000 en 2014, nous en sommes pratiquement à 2000 en 2021 et on en est déjà à plus de 1000 à mi-année 2022. D’après le NIST (National Institute of Standards and Technology), on plafonnait à 6000 CVE jusqu’en 2016, on en est à plus de
20 000 en 2021 et pour 2022 on atteint les 18 000 à mi-année. Cette situation où le seul remède est d’automatiser le gestion de la médiocrité logicielle, n’est plus supportable pour les entreprises. Puisque les bonnes pratiques ne sont pas suffisantes en la matière, il faut légiférer. Le Cyber Resilience Act ira-t-il jusque-là ?
En matière de gestion des identités et des accès, tout a été bouleversé depuis les premiers projets des années 2000 consistant à rassembler les accès des utilisateurs d’une entreprise au sein d’un même outil destiné à mieux gérer les accès aux applications mais surtout de savoir à tout moment qui accède à quoi, information précieuse lorsque l’utilisateur quitte l’entreprise surtout de façon précipitée.
Aujourd’hui ce sont les accès à des centaines d’applications en mode SaaS qu’il faut rassembler avec des outils de nouvelle génération. A cela s’ajoute le problème quasi insoluble des accédants sous-traitants à qui on donne souvent « les clés du camion » avec des turnovers souvent inconnus du client !
La promesse d’une meilleure sécurité une fois la migration dans le cloud réalisée n’a pas été tenue
Près de 9 entreprises sur 10 estiment que sécuriser des données dans le cloud nécessite des outils spécifiques autres que ceux proposés par le Cloud Provider selon le dernier baromètre du CESIN. Cela souligne que la promesse d’une meilleure sécurité, une fois la migration dans le cloud réalisée, n’a pas été tenue. La sécurité du cloud et surtout du multicloud est devenue un vrai casse-tête pour les RSSI et n’est pas près de s’arranger au rythme des migrations en cours.
Et comme si tout cela, qui ne représente qu’une faible part des défis auxquels est confronté le RSSI , ne suffisait pas, la cyber-assurance refait parler d’elle avec la position du Trésor au sujet du paiement des rançons. Au final, avec des primes de plus en plus élevées, des couvertures amoindries et des exigences de la part des assureurs de plus en plus élevées, on peut se poser la question de l’intérêt de se cyber-assurer lorsque l’on est une grande entreprise alors que pour les ETI et le PME, une cyber assurance est la plupart du temps salutaire. Il faudrait que le marché s’inverse.
Une nouvelle gouvernance est nécessaire
Tous ces sujets doivent interroger les directions générales sur la meilleure manière de piloter un programme cyber. Une nouvelle gouvernance est nécessaire et le CESIN reste convaincu que cette mission est beaucoup trop sérieuse pour être confiée à un généraliste. Un sachant de haut niveau capable d’appréhender tous ces défis avec une parfaite maitrise des enjeux et des risques est indispensable. Ce sont des thèmes sur lesquels le Club va travailler dans le futur, à commencer lors de son Congrès annuel en décembre prochain.