Le Forum International de la Cybersécurité (FIC) a ouvert ses portes à Lille et transforme pendant 2 jours la ville en haut lieu de débats sur la sécurité du monde numérique. Malgré une maturité grandissante des acteurs, les hommes politiques, chefs d’entreprise et experts qui s’y succèdent, insistent encore sur les multiples difficultés que la cybersécurité pose aux Etats et aux entreprises. Ces dernières risquent d’avoir particulièrement du mal à savoir comment réagir concrètement face aux 5 scénarios d’anticipation présenté en ouverture de l’évènement.

« The Day After ». L’intitulé de la plénière d’ouverture 2017 du Forum International de la Cybersécurité laissait planer le doute : roman d’anticipation ou film catastrophe ? En matière de fiction, la nuance n’est pas toujours évidente. Quand il s’agit de projeter les Etats et les entreprises sur les enjeux à venir pour la sécurité du numérique, la frontière est encore plus floue. A ce titre, les 5 scénarios imaginés par le Center for Long Term-Cybersecurity (CLTC) de Berkeley, qui dressent les pistes possibles de notre avenir numérique à court terme, méritaient bien d’être mis en avant en ouverture de l’évènement.

Rapidement résumé sur scène, c’est en entrant dans le détail de leur lecture, que les professionnels, mais aussi les citoyens, pourront estimer la complexité de ce qui les attend demain.

Le risque de vivre dans un Far-West numérique

Le premier d’entre eux, « The New Normal » fait ainsi état du risque d’insécurité permanente que pourra ressentir tout un chacun, du fait de l’avance systématique qu’ont les cybercriminels sur les défenseurs. L’Eldorado numérique se transforme alors progressivement en Far-West où personne n’est prêt à vraiment faire confiance à l’autre, avec des conséquences économiques et politiques en cascade.

Dans  « Omega », l’accent est plutôt mis sur l’orientation toujours plus individualisée et prédictive des services que les entreprises veulent offrir grâce au big data. L’importance prise par la donnée personnelle posera alors des questions éthiques, démocratiques… mais aussi de sécurité, majeures en devenant à la fois une cible toujours plus intéressante pour les criminels, et une ressource pour mener des attaques toujours plus précises et personnalisées.

« Bubble 2.0 » prédit pour sa part un éclatement de l’économie numérique actuelle, à l’image de celle de la bulle Internet au début du millénaire. La conséquence des nombreuses faillites est originale : la quantité gargantuesque de bases de données (et de compétences humaines) utilisées par toutes les entreprises pour construire leur business model numérique, se retrouve alors dans la nature. La confusion économique, les acquisitions opportunistes et l’effondrement des prix du marché, contribuent alors à rendre complètement caduque ce que les entreprises essayaient alors jusque-là de protéger. Les consommateurs qui avaient fait confiance aux « grands » sont, eux, les dindons de la farce.

« Intentional Internet of Things » et « Sensorium » décrivent enfin chacun la nouvelle forme que pourra prendre Internet, ses services et la cybersécurité, à travers l’omniprésence des objets connectés et des « usages émotionnels ». A leur lecture, il est évident que ces scénarios ont vocation à se chevaucher dans une certaine mesure  dans les années à venir. Tous brossent cependant le paysage d’un futur qui demandera aux entreprises et institutions d’agir bien différemment de ce qu’elles font aujourd’hui. Une demande d’adaptation qui tranche fortement avec les messages martelés encore et encore aux entreprises sur l’importance de respecter par exemple des règles d’hygiène de base pour assurer leur sécurité.

Quelles priorités pour préparer l’avenir ?

Le décalage entre cette vague de changements annoncés et les problématiques opérationnelles, techniques et organisationnelles que connaissent les entreprises aujourd’hui est saisissant. Face à la complexité, certaines réponses pourront venir par voie réglementaire. Sur le FIC, Sir Julian King, commissaire européen pour l’Union de la sécurité, a été le premier à le rappeler : le règlement européen sur la protection des données personnelles (GDPR) qui entrera en vigueur en mai 2018 et la directive NIS, sont des lignes concrètes à suivre. En posant à la fois des problématiques techniques, organisationnelles et juridique, ces législations forcent naturellement l’entreprise à « penser » sa sécurité au cœur de la transformation.

Pour la France, Bruno Leroux, ministre de l’Intérieur, a bien évidemment souligné le travail de fond réalisé par l’agence nationale de la sécurité des systèmes d’information (Anssi) et son écosystème, tout en promettant un état des lieux réguliers sur les cybermenaces dans l’Hexagone. Celui-ci permettrait aux entreprises de mieux situer l’importance de leurs décisions en matière de sécurité. L’initiative pourrait être un pas de plus en faveur d’une prise en compte par les dirigeants d’entreprise du fait que la sécurité numérique de leur organisation est directement leur sujet et pas seulement celui d’experts techniques.

Le message est martelé depuis des années ; il peine encore à porter ses fruits au-delà des très grands groupes. Au FIC, on a ainsi vu Stéphane Richard, PDG d’Orange, revenir sur scène après sa première participation en 2016, et annoncer notamment la création d’Orange Cyberdefense Academy, consacrée à la formation de compétences en matière de sécurité.  Il ne fait pas de doute que pour l’opérateur, qui a créé sa filiale consacrée à la cyberdéfense l’an dernier, le sujet est brûlant. On aurait cependant aimé voir également un témoignage à même de convaincre plus directement que tous les dirigeants sont concernés par le sujet. C’était tout l’intérêt de la prise de parole d’Yves Bigot, directeur général de TV5 Monde, lors de l’annonce de la Stratégie nationale pour la sécurité du numérique, fin 2015.

Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique. > Je télécharge