Cybersécurité : 5 questions vitales

Le doute n’est plus permis, nous utilisons des solutions vulnérables et piratables. Il suffit pour s’en convaincre de suivre l’actualité Cyber ou encore de s’intéresser aux vulnérabilités répertoriées par l’organisation américaine MITRE, active depuis soixante ans en recherche et développement des technologies liées à des domaines stratégiques (défense, sécurité, cyberespace, …). Depuis 1999, elle tient le registre des vulnérabilités de sécurité – CVE (Common Vulnerabilities and Exposures). La synthèse hebdomadaire de l’US-CERT (United States Computer Emergency Response Team), les classifie en quatre catégories (haute, moyenne, faible et en niveau de sévérité non encore assigné), les décrit et identifie des correctifs de sécurité (patch) à appliquer.

Quelle peut bien être la supériorité technologique d’une organisation si la technologie dont elle est devenue dépendante est conçue avec des vulnérabilités qui peuvent être exploitées par des acteurs tiers?

Une approche réactive, d’installation à postériori, de rustines de sécurité, permet de réduire la fenêtre d’exposition des systèmes d’une organisation, mais ne peut garantir que les failles ne soient pas déjà exploitées et que les tous les trous de sécurité soient bouchés.

Combien d’organisations dédient suffisamment de ressources à une veille technologique rigoureuse et à des mises à jour permanentes de leurs systèmes ?

Réagir à des cyberincidents ou à l’annonce de vulnérabilités, contribue à considérer la sécurité comme un centre de coût alors qu’elle devrait l’être d’un point de vue stratégique, comme un levier de la performance et un facteur clé de succès de la compétitivité d’une organisation.

Est-il envisageable de baser les mesures de cybersécurité en fonction d’une approche proactive et prospective de la gouvernance des risques, afin de devenir un individu, une organisation – voire un pays doté d’une réelle capacité de cyber-résilience ?

Il est impossible d’ignorer que les vulnérabilités existent, d’être naïf au point de croire qu’elles ne seront jamais exploitées à des fins malveillantes, de conflictualité ou de supériorité.

Sommes-nous en mesure de penser au principe de précaution et changer de paradigme dans la manière de concevoir et de mettre en œuvre les technologies de l’information, la transformation numérique de la société et la cybersécurité ?

L’usage de solutions vulnérables n’est pas le fruit du hasard mais est la résultante de choix plus ou moins conscient et rationnels. L’ouvrage du biologiste Jacques Monod, « Le hasard et la nécessité » (1970) traite de philosophie des sciences au regard de l’évolution de l’espèce humaine et de sa survie.

Si notre survie dépend du numérique, dans la mesure ou la fragilité du numérique est connue, pourquoi adopter un comportement de fuite en avant technologique sans en maîtriser les vulnérabilités, sans avoir conscience et compréhension des risques globaux et systémiques que peut engendrer une cybersécurité insuffisante, inadaptée ou défectueuse ?

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur. Médaille d'or du Progrès