Alain Bouillé,
Délégué Général du CESIN
La crise sanitaire que nous vivons a largement rebattu les cartes du numérique et singulièrement de la cybersécurité. Il devient courant d’entendre que la Covid a été le meilleur allié de la transformation digitale des entreprises. C’est sans doute vrai mais ça n’a pas été sans douleur pour la cybersécurité.
Le télétravail s’est généralisé par force, en tous cas pour les secteurs d’activité qui pouvaient utiliser ce mode de travail, et si le déconfinement a renvoyé nombre de salariés dans leurs entreprises, force est de constater que beaucoup sont encore en mode télétravail un ou deux jours par semaine quand ce n’est pas plus, voire en totalité.
Jusqu’au XVIII ème siècle, les paysans et les artisans travaillaient chez eux, le IXX ème a enfermé les ouvriers dans les usines tandis que le XX ème a rassemblé les travailleurs dans des bureaux. Le XXI ème renverra-t-il les salariés travailler chez eux ? Difficile à dire mais cette crise a finalement permis « d’externaliser » le dernier pan de l’entreprise qui était encore « on premise », à savoir les salariés.
Des priorités absolues
Du coup nombre de sujets cyber, souvent en gestation ou encore en réflexion, sont devenus des priorités absolues. Comment être sûr que le salarié en télétravail est bien celui qui est assis devant le PC de l’entreprise quand les sas de contrôle d’accès physique ne sont plus là ? Comment maintenir un niveau de sécurité satisfaisant du poste de travail quand celui-ci est en dehors des locaux et surtout lorsqu’il n’est pas connecté en permanence au réseau de l’entreprise ? Comment empêcher les utilisateurs de s’engouffrer dans le Shadow IT en mode système D quand tous les outils collaboratifs ne sont pas encore là ou que ceux qui sont proposés ont une ergonomie perfectible ? Comment empêcher les fuites de données lorsque les utilisateurs sont livrés à eux-mêmes avec des outils collaboratifs déployés à la va-vite sans avoir pris le temps de les former à ces solutions très riches mais souvent très complexes à utiliser ? Comment trouver la parade à des milliers d’attaques via des tentatives de phishing véhiculant des messages d’aubaine pour les salariés en manque de gel et de masque surtout au début de la crise ?
« La prochaine pandémie
sera-t-elle cyber ? »
Toutes ces questions, le RSSI a dû les affronter et selon le niveau de maturité de l’entreprise dans l’usage du cloud, des outils collaboratifs, de la mobilité des salariés, le stress n’a pas été de la même intensité.
Des sujets parfois balayés d’un revers de main par les plus sceptiques, les qualifiant de buzz word, sont devenus d’impérieuses nécessités. MFA, EDR, patching direct, renforcement de la supervision, … vont devenir des projets très concrets s’ils n’étaient pas déjà en place. Le tout assorti d’une démarche ZéroTrust qui trouve désormais parfaitement sa place dans ce monde digital éclaté.
Dépendance numérique
Maintenant, la question qui se pose est notre extrême dépendance au digital singulièrement fourni par une poignée d’acteurs dont le point commun est d’être majoritairement américains. Nous avons vu ce que donne une dépendance à un seul pays, en l’occurrence la Chine, pour la fourniture de masques ainsi que de précieux équipements de protection ; quand la grande usine mondiale ne fournit plus, c’est le monde entier qui est en pénurie. On a vu des usines en France se reconvertir pour ici produire des masques, là du gel hydroalcoolique mais en cas de pénurie numérique, saura-t-on réinventer tous ces outils qui représentent des milliards de dollars et des dizaines d’années de R&D ? Certainement pas !
On n’a jamais autant parlé de souveraineté numérique qu’en ce moment mais selon l’adage « faites ce que je dis, pas ce que je fais », force est de constater que l’exemple ne vient pas encore d’en haut si l’on ne retient que de récentes décisions étatiques en matière de choix de solutions américaines plutôt qu’européennes.
Il faudrait peut-être arrêter de parler de souveraineté numérique qui finalement ne passionne pas les foules pour parler de dépendance numérique.
La prochaine pandémie sera-t-elle cyber comme l’ont prédit certains, il faut souhaiter que non mais tous les ingrédients sont réunis pour que ça soit le cas. Mais au fait quelqu’un avait-il inclus dans sa cartographie des risques, la crise que nous sommes en train de vivre ? Pas vraiment ! Didier Decoin a dit « Il n’est rien de pire que d’imaginer le pire. ». Alors Mesdames et Messieurs les Risk Managers, un peu de courage, envisagez le pire !