Je veux tout savoir de la transformation numérique !
Pour lire l’intégralité des articles issus du magazine bimestriel, identifiez-vous. Vous accéderez ainsi aux articles premium, aux exclus web et vous pourrez télécharger l’ensemble de nos ressources en un clic.
Pour recevoir le magazine chez vous, abonnez-vous !
Je m'identifie

Scandale chez les experts cybersécurité

mounir chaabane chronique bannière

Chronique de Mounir Chaabane, Conférencier Sécurité et Stratégie IT

Spécialiste de la sécurité informatique et des conformités juridiques sur la protection des systèmes d'information, depuis plus d'une dizaine d'année Mounir exerce en tant que responsable de la sécurité informatique. Témoin des évolutions technologiques et des organisations dans les entreprises, il s'interroge sur la place de la cybersécurité à l'ère de la transformation numérique des modèles business et des usages.

Conférencier en sécurité économique auprès de l'INHESJ, c'est par une approche transversale qu'il tente de rapprocher les regards entre les utilisateurs des technologies du numérique et les professionnels de la cybersécurité. Pour une protection positionnée "entre le clavier et la chaise", les enjeux de chacun ne doivent pas tuer le "Je".

Scandale chez les Experts cybersécurité

Scandale chez les experts cybersécurité   

Cybersécurité, un sujet qui déchaîne les passions chez les « Experts » et un grand questionnement chez... les « Autres ». Ces Autres que certains experts qualifient de maillon faible et de quelque chose de nuisible situé entre la chaise et le clavier. Déjà que le monde de la cyber-sécurité ne jouit pas d'une bonne presse, cloué au pilori quand tout va mal et formidablement ignoré quand tout va bien, qualifier un usager numérique de maillon faible, ça n'aide pas vraiment à la compréhension. Or, cet écart de communication est justement la brèche dans laquelle s’engouffrent les hackers. Plus la synergie entre experts et usagers est petite, plus la surface de menace est grande.

Mais plus généralement, la relation entre l'informatique et les usagers numériques a toujours été complexe. Même les DSI ont compris qu'on ne peut plus répondre aux attentes en se contentant d’ouvrir des « tickets ». A l'époque du tout orienté client, les experts cybersécurité continuent à œuvrer auprès d’une audience étroite. Dans le meilleur des cas, les entreprises alignent un seul RSSI. Ces responsables qui n'en peuvent plus d'être harcelés par les failles causées par le système, se sentent également harcelés par les solutions proposées par ce même système ! Autant d’experts solitaires, qui alertent  sur la faiblesse grandissante des maillons de la chaîne, mais dont le discours d'expert, justement, reste peu accessible.

Pendant ce temps là, le marketing tourne la manivelle de l'innovation, hissant le client plus haut dans les nuages numériques et enterrant les « Experts » au plus profond de leur liste de vulnérabilités incompréhensibles. L'écart se creuse, les « Experts » sont de plus en plus experts et les usagers de plus en plus faibles en augmentant leur dépendance quotidienne aux outils numériques à coup de consentement quasi hystérique. Et en plus, la surface de menace grandit : avec l'IoT, arrive le ToT, "Threat of Things", où tout objet connecté peut se retourner contre son utilisateur.

Mais la nature comble toujours le vide. Devant cet échec des relations entre monde d'experts et d'usagers abrutis (au sens propre), face à ce chaos technico-économique saturé de failles qui aspire tout sur son passage, la Loi est venue mettre de l'ordre. Tel un juge fatigué devant la cacophonie de la salle, le marteau frappe violemment la barre et désigne le coupable : l'Expert.

La sentence est lourde. Puisque l'industrie n'a pas su se réguler, malgré les normes, les standards et  les outils, malgré la CNIL et ses CIL trop longtemps ignorés, les juristes prennent la main sur la gouvernance de la sécurité numérique. Après la main mise du marketing sur le cloud, les DSI voient leur garde robe se rétrécir encore. Le RSSI passe sous commandement du DPO. Scandale chez les Experts, le maillon faible prend le pouvoir !

La réglementation sur la protection des données redistribue les cartes : fini les tickets et les débats techniques, voici venir les plaintes et les procès. C'est à la direction juridique de répondre aux failles du système en « patchant » ses contrats. Des lettres à la place des nombres, les phrases juridiques sont-elles plus compréhensibles qu'une architecture technique et qu'un codage binaire ? Pas si sûr. A quelques mois de la mise en application du texte, les experts font de la résistance ; texte inapplicable, juristes ne comprenant pas la technologie, DPO versus RSSI, sanction irréaliste... les frictions sont partout. Après tout ce n'est que du texte, loin de la réalité technique.

Pourtant l'avenir de la sécurité numérique passe bien par les lettres, des tonnes de lettres en recommandés que vont recevoir les juristes d'entreprises de la part des maillons faibles. Les « Autres » ont maintenant un levier fort d’action : ces usagers vont obliger par les lettres les entreprises à investir plus volontairement dans leur sécurité informatique. L’opportunité pour les RSSI de pouvoir transmettre un peu de sens et d’explication est réelle… mais à la condition qu'ils sachent écrire, car in fine, à l’ère numérique, ce sont bien eux qui vont devoir y répondre, à ces lettres !


Commenter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *