Et si le courage en cybersécurité était de renoncer à certains services ?

L’album « Asterix et les Normands » est bâti autour de la quête de la peur par les normands qui ne la connaissent pas «  …Il paraît que la peur donne des ailes,… Elle nous permettra de voler comme des oiseaux. ».  Dans cette aventure le dernier mot avant le  banquet final revient à Panoramix le sage  « C’est en connaissant la peur que l’on devient courageux. Le vrai courage c’est de savoir dominer sa peur ! ». Ces péripéties sont basées sur une incompréhension et un malentendu, ce qui est généralement une source de problèmes, y compris en cybersécurité qui peuvent être liés à l’incapacité à comprendre les impacts des cyberrisques  ou encore par exemple à la sous-estimation des limites des solutions de sécurité.

Dominer sa peur, c’est contribuer à maitriser les cyberrisques en toute connaissance de cause, c’est les mettre sous contrôle en adoptant des mesures de protection, de gestion des incidents et de la continuité des activités cohérentes au regard des valeurs à préserver et des menaces qui pourraient les affecter.

Le début du courage en matière de cybersécurité, que cela soit à l’échelle d’un individu, d’une organisation ou d’un État, est d’éviter les trois types d’attitudes suivantes:

  • Le déni : se convaincre que si on ne voit pas le problème c’est qu’il n’existe pas.
  • L’autosatisfaction : penser que tout va bien puisque des mesures ont été prises sans pour autant s’interroger sur leur utilité, efficacité, pertinence, pérennité, efficience.
  • La fuite en avant technologique : ajouter de la complexité à la complexité, en complétant une technologie qui n’est pas maitrisée, par une autre tout aussi mal maitrisée, mais à qui une confiance aveugle est accordée, sans se préoccuper des nouveaux risques qu’elle peut générer.

Nous sommes en train de prendre conscience de la montée en puissance et en nuisance des cyberrisques et de la peur qu’ils nous inspirent.

C’est en connaissant la peur que l’on devient courageux, c’est en tentant de répondre à des questions comme par exemple « Faut-il avoir peur des cyberattaques ? » que l’on peut contribuer à dépasser les peurs générées par des défauts de sécurité et de robustesse des infrastructures et services numériques dont nous sommes devenus dépendants.

Être courageux c’est oser affronter la réalité des vulnérabilités et de les pallier. C’est aussi comprendre les menaces auxquelles nous exposent l’écosystème numérique pour minimiser notre surface d’exposition aux risques et aux acteurs et aux vecteurs de la cyberinsécurité et d’adopter des comportements et des mesures cohérentes et pragmatiques qui contribuent à la maitrise des cyberrsiques.

Mais peut être que le vrai courage serait d’oser renoncer à l’usage de certains services ou technologies vulnérables by design, d’appréhender toute la complexité des interdépendances des infrastructures vitales au numérique par une analyse prospective des risques avec un esprit de vigilance et désir d’avenir.

Ainsi parfois, si l’action est à la hauteur des enjeux et de la peur, cette dernière peut donner des ailes afin de ne pas subir la cyberinsécurité et en supporter ses coûts y compris sur le long terme.

Subir, c’est se résigner, c’est accepter une incapacité de fait à prévenir les impacts des usages abusifs, détournés ou criminel du numérique, mais ce n’est pas une fatalité !

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur. Médaille d'or du Progrès

Une réponse à “Et si le courage en cybersécurité était de renoncer à certains services ?

Les commentaires sont clos.