Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : la ligne Maginot doit laisser place à une stratégie de défense proactive !

octobre 2012 par Emmanuelle Lamandé

La « Ligne Maginot » est aujourd’hui un concept de sécurité obsolète ! Les moyens de lutte statique, défensive et périmétrique ne suffisent plus, estime Hervé Guillou, Conseiller Sécurité du Groupe EADS chez Cassidian CyberSecurity. Comme il l’explique à l’occasion des Assises de la Sécurité, il est urgent de mettre fin à l’attentisme prévalant à l’heure actuelle et d’entrer dans une démarche de défense proactive.

Pour Hervé Guillou, le constat est aujourd’hui multiple :

- La cyberguerre est une guerre économique comme les autres. La cybersécurité ne peut plus être statique. Elle doit s’inscrire dans une approche opérationnelle et managériale de la menace.

- On observe une augmentation du nombre de points d’entrée dans les systèmes logiques et physiques, avec pour conséquence une perte de contrôle des systèmes d’information. Avec la mobilité, le BYOD…, la surface d’attaque s’est considérablement accentuée. Ce phénomène va encore se démultiplié avec le développement du M2M. Nous assistons à une difficulté de plus en plus prégnante dans la maîtrise de la technique, des process et de l’humain.

- Nous assistons à la convergence de trois mondes : l’informatique de gestion ou de management, l’informatique industrielle ou SCADA et l’informatique embarquée. Toutefois, ces trois mondes se sont développés de manière différente avec des acteurs différents. Aujourd’hui, ils sont interconnectés, ce qui pose de nombreuses problématiques techniques.

- La dimension du problème commence à apparaître au grand jour, avec des dommages économiques et stratégiques qui sont aujourd’hui indéniables (par exemple : le cas d’Aramco en Arabie Saoudite), des contentieux avec les compagnies d’assurance…

- Enfin, il constate une prise de conscience politique du problème. C’est un sujet aujourd’hui à l’ordre du jour des différents gouvernements.

L’informatique est en train de devenir un sous-ensemble de la cybersécurité

Ces différentes dimensions appellent, selon lui, une première conclusion : il faut changer l’ordre des facteurs entre la cybersécurité et les DSI. La cybersécurité doit s’inscrire dans une approche top down. L’informatique est en train de devenir un sous-ensemble de la cybersécurité, les facteurs doivent donc être inversés. C’est une démarche que les entreprises devront conduire si elles veulent gérer le problème.

Il souligne également le défaut de trop aborder ces problématiques en termes « techniques » et de ne pas suffisamment parler du sujet en le « chiffrant », en termes d’actifs stratégiques, de perte de revenus… Il est essentiel de pouvoir chiffrer ces problématiques et leur impact économique. Pour motiver les différents acteurs en entreprise, il faut adapter le discours, mais aussi faire preuve de transparence, en ne faisant pas croire, par exemple, aux décideurs que tout va bien.

Le RSSI doit être positionné à la place qui est la sienne…

Un effort doit, selon lui, être fait pour évaluer les risques et les conséquences potentielles, en collaboration avec des économistes. Il faut également réussir à mobiliser les politiques et réfléchir à une nouvelle organisation dans les entreprises, en replaçant le RSSI à un rôle et une place qui lui iraient bien. Il apparaît essentiel que les politiques et les réglementaires pensent à une nouvelle façon de positionner cette fonction.

L’offre de l’industrie est aujourd’hui beaucoup trop fragmentée

Concernant l’industrie, l’offre est, selon lui, beaucoup trop fragmentée en Europe, et encore plus en France. Il faut arriver à une offre globale et intégrée. Sa consolidation est nécessaire. Et l’évolution du portefeuille de l’offre aussi :

- La notion de « temps réel » s’avère fondamentale dans le traitement de la cyberguerre. Les industriels doivent développer une offre adaptée aux exigences du temps réel (prévention, surveillance, intervention, correction), l’objectif étant de réduire d’un facteur 10 à 100 le temps médian de détection des attaques APT.

- Tout le monde dit qu’il faut éloigner le BYOD (Bring Your Own Device), mais ce n’est pas possible. D’autant que trop de sécurité tue la sécurité… Le silence de l’industrie pour apporter une réponse à cette problématique est assourdissant ! Et c’est d’ailleurs le même problème pour le Cloud Computing et les systèmes embarqués. Il faut traiter ces problématiques et non les ignorer.

- Nous devons également être capables de construire une offre européenne de confiance. Le marché est aujourd’hui largement dominé par les américains. Pourtant, nous avons les compétences et l’expertise.

Il faut bâtir un écosystème européen de confiance

Pour être de taille à se défendre face à une menace mondiale, il faut davantage coopérer, bâtir un écosystème européen et repenser la notion de souveraineté nationale et de frontières.

« J’appelle à une impulsion des politiques, mais il faut aussi que nous nous organisions côté industriels. La relation état/industrie ne peut être absente d’une nouvelle politique industrielle. L’état doit gérer les audits, mais ne peut pas, à lui tout seul, soutenir l’investissement de l’industrie.

La coopération état/industrie doit également permettre de développer des filières de formation. Nous avons tous aujourd’hui beaucoup de mal à recruter. On observe d’ailleurs actuellement un facteur 5 entre l’offre et la demande.

Enfin, il est nécessaire de faire ce travail sur la souveraineté. Le dialogue état/industrie doit permettre l’évolution de la normalisation, mais aussi jeter les bases d’une politique industrielle digne de ce nom ! L’offre est beaucoup trop fragmentée aujourd’hui. En outre, il faut désisoler la communauté technique, c’est-à-dire la communauté des ingénieurs », conclut-il.




Voir les articles précédents

    

Voir les articles suivants