La stratégie
de l’extincteur
Les feuilletons dramatiques de ces derniers mois ont été notamment les ouragans sur la région Caraïbes et les attaques cyberterroristes ou cybercriminelles. Dans les deux cas, les décideurs semblent se résigner à l’inévitable.
Une prise de conscience a eu lieu au niveau des dirigeants : le risque informatique n’est plus un simple problème technique mais un risque économique, juridique, donc vital pour l’entreprise. S’il peut justifier des mesures de prévention et précaution, le responsable informatique ou le responsable sécurité sera moins jugé sur la survenue de l’incendie – dont il est convenu désormais qu’il est inévitable – que sur sa capacité à le détecter, le circonscrire et l’éteindre au plus tôt.
La sécurité informatique est passée par 3 phases.
« JAMAIS ! » Objectif : empêcher l’attaque. Nous avons connu une longue époque de « châteaux-forts », où l’impératif était d’interdire l’intrusion, à coup d’anti-malwares, de firewalls, etc. Mais toutes les lignes Maginot se contournent… et la faille de sécurité est souvent interne à l’entreprise.
Le rêve de l’entreprise invulnérable s’est évanoui ; comme pour l’automobile, on a compris qu’un accident pouvait se produire à tout moment et que l’important était de limiter les dommages : on est passé des pare-chocs aux airbags.
« QUAND ? » Objectif : savoir au plus tôt quand l’attaque s’est produite. Des études de 2015* révélaient que la découverte d’une attaque prenait 3 mois dans le secteur financier et 6 mois dans le retail. Un cauchemar ! Le nouvel impératif est donc devenu : puisque l’attaque est inévitable, comment la détecter au plus vite ?
Et comment en mesurer les dégâts : qui a été infecté, quelles données ont été volées ?
« COMBIEN ? » Objectif : limiter le coût de la rançon et des dégâts. Un RSSI me confiait récemment, après la crise WannaCry, que son collègue Directeur financier suivait de près le cours du Bitcoin pour en thésauriser au cours le plus bas. Réflexe réaliste puisque nous serons sans doute un jour piraté…
La sécurité informatique, ce n’est pas de la résignation mais du réalisme et cela passe aussi par la stratégie de l’extincteur.
*Institut Ponemon
Jean Kaminsky, Directeur de la publication et de la rédaction