Introduction
L’augmentation du travail à distance induite par le confinement accentue la prise de conscience d’une tendance qui n’est pas nouvelle : l’augmentation des risques de cybersécurité dans le monde de l’industrie, notamment dans les services de R&I (Recherche et Innovation). Cependant la protection des actifs intellectuels de R&I contre des attaques cyber n’est pas si évidente, en raison du caractère souvent ouvert vers l’extérieur des activités de R&I (ce n’est pas open-organization.com qui dira le contraire).
Est-ce donc faisable de concilier collaboration et protection des informations sensibles, ouverture et cybersécurité ? Inspirons-nous de l’approche du Général Olivier Kempf, Fellow Presans spécialiste de cybersécurité et de cyberstratégie, afin de mieux cerner ce défi.
1. Trois niveaux de cybersécurité
La cybersécurité, nous dit Olivier Kempf, constitue un état à atteindre dans un monde conflictuel où la sécurité des uns entraîne l’insécurité des autres. Notion relative, la sécurité n’existe jamais à 100%. Il convient plutôt dans ce domaine de viser l’absence de défauts dans de dispositif, au sein d’un système donné. Viser le “zéro défaut” implique en réalité toujours un choix d’allocation des ressources :
une décision, ce n’est pas choisir ses forces, c’est choisir ses faiblesses.
1.1. La cyberprotection
Cyberprotection est le premier niveau de la cybersécurité. Elle passe par des campagnes de sensibilisation, organisées de préférence par un RSSI (responsable de la sécurité des systèmes d’information), par des antivirus, des architectures, des cartographies, des méthodes de sauvegarde de données. Tous ces efforts visent à établir une infrastructure de protection passive.
1.2. La cyberdéfense
Le second niveau est constitué par la cyber-défense : l’infrastructure de protection fonctionne, il s’agit maintenant de placer des sondes pour détecter les anomalies techniques ou comportementales. On passe de la cyberprotection passive à quelque chose de beaucoup plus actif.
1.3. La cyberrésilience
La cyberrésilience est le troisième niveau de la cybersécurité et tourne autour de la gestion de crise. Les crises de cybersécurité doivent d’abord être gérées dans le présent. Elles doivent aussi être utilisées pour obtenir un renforcement de la cybersécurité postcrise. Un peu comme la santé d’une personne est rendue plus robuste par des anticorps apparus en réponse à une maladie. La cyberrésilience s’organise autour d’un plan de continuité, qui lui-même doit faire l’objet de tests.
2. Trois types d’attaques cyber
La cybersécurité est un sujet en raison de l’existence d’attaques cyber. La masse de ces attaques est constituée par l’espionnage, souvent non détecté par ses victimes. Dans le cas des fonctions R&I, c’est la menace principale à avoir à l’esprit (elle concerne aussi les autres fonctions de l’entreprise). Passons néanmoins en revue les trois types d’attaques.
2.1. L’espionnage
L’espionnage représente 80% de l’activité des cyber-agressions visant les actifs intellectuels : propriété intellectuelle, brevets, savoir-faire, secrets industriels. La fonction R&I est en réalité la première cible de ce type d’attaques.
2.2. Le sabotage
Les attaques de sabotage visent à paralyser ou à détruire des actifs industriels. Elles peuvent être accompagnées d’une demande de rançon, mais elles peuvent aussi avoir un objectif de terrorisme.
2.3. La subversion
Nous vivons dans un monde de guerre de l’information. La cybersubversion vise à affaiblir les institutions d’une société en propageant de manière ciblée des messages qui leur sont nuisibles. Dans le monde des entreprises, la subversion vise à propager des informations nuisibles et à dégrader l’image de marque.
3. Trois leviers de cybersécurité
3.1. L’outillage technique
Les outils techniques comprennent le hardware et le software. Ils tendent à être pléthoriques au sein des services de R&I. Or plus les outils sont nombreux, plus ils deviennent difficiles à sécuriser. Ajoutons que les outils de sécurisation doivent eux-mêmes être sécurisés. Il est par exemple possible de mettre l’intelligence artificielle au service de la cybersécurité, mais il faut dans ce cas aussi sécuriser l’intelligence artificielle. La cybersécurité exige de penser de manière récursive (ou “meta”).
3.2. L’humain
Le facteur humain est le second levier de la cybersécurité. Il est essentiel de le maîtriser pour parvenir à réconcilier ouverture et sécurité au sein d’un écosystème. Ce sont les bons processus qui permettent une collaboration entre startups et grandes organisations ni trop paranoïaque, ni trop insouciante.
3.3. La donnée
Le dernier niveau est celui de la donnée et touche au coeur de la transformation digitale. Du point de vue de la cybersécurité, il s’agit d’une part de cartographier et de prendre conscience de la richesse des données d’une organisation ; d’autre part de sécuriser les systèmes qui produisent ces données.
Conclusion
Notre tour d’horizon rapide indique quelques pistes pour commencer à structurer la stratégie de cybersécurité de la fonction R&I. Pour avancer dans cette réflexion, il est nécessaire de cartographier les cibles et les défenses, puis de faire des choix permettant de durcir les cibles porteuses de la valeur ajoutée future de l’entreprise. Il est aussi nécessaire, comme nous le montrons dans un autre article, de devenir un peu… paranoïaque.
