Introduction

Dans un contexte de cybersécurité, la paranoïa est nécessaire mais non suffisante. Mais comme la cybersécurité est une démarche récursive, il faut en fait établir cette proposition un peu comme s’il s’agissait de convaincre une personne avec des tendances paranoïaques. C’est tout le paradoxe du problème de la cybersécurité, qui exige à la fois une attitude de doute et de soupçon, et la capacité… de faire confiance aux autres. Voyons pourquoi, et comment cela peut marcher.

 

1. Le principe de la culture de la preuve

La cyberparanoïa livrée à elle-même aboutirait tout simplement à contraindre les organisations à se fermer entièrement. Pas de connection, pas de risque de cybersécurité ! Mais comme les organisations ont besoin d’ouverture et d’agilité, cette approche extrême ne convient pas. Ces qualités sont trop précieuses pour être éliminées des organisations au nom d’une conception intégriste de la cybersécurité. La paranoïa à elle seule ne suffit donc pas pour guider vos choix de cybersécurité.

Comment faire alors pour trouver le bon équilibre entre agilité et sécurité ? Comme l’explique Olivier Kempf, Fellow Presans spécialisé dans la cybersécurité et cyberstratégie, c’est par la culture de la preuve qu’une organisation peut construire un standard partagé de cybersécurité répondant aux attentes des utilisateurs et des clients. La culture de la preuve n’est pas incompatible avec l’agilité, la rapidité, l’ouverture, contrairement à la contrainte.

 

2. Construire des cercles de confiance

2.1. Pourquoi construire des cercles de confiance

Comme le dit Olivier Kempf, le paradoxe de la cybersécurité réside dans le fait que la solution du problème réside pour une part décisive dans la capacité à se regarder dans les yeux et croire ce que dit l’autre. Car, puisque la sécurité à 100% n’existe pas, et que l’objectif n’est jamais que de devenir plus robuste après chaque attaque, il faut bien, à un moment, pouvoir signaler les attaques dont notre organisation fait l’objet. Or, à qui parler de ce type de problème dans un monde largement conflictuel ? Révéler ce type d’information sensible aux mauvaises personnes tend à aggraver le problème de cybersécurité.

Autrement dit, la cybersécurité passe par la construction de cercles de confiance. Mais se pose alors la question de savoir qui fait partie de votre cercle, et avec quel rôle ?

 

2.2. Les cercles sectoriels et intersectoriels

La première orientation à envisager pour un cercle de cyberconfiance et celle de son propre secteur, ou de sa propre filière. Typiquement, les donneurs d’ordres cherchent à encourager leurs fournisseurs sur l’ensemble de leur chaîne de valeur à devenir plus robustes. Une autre pratique courante dans des filières telles que celle du nucléaire est la mise en commun des retours d’expérience. 

Une seconde orientation fonctionnelle vise à réunir l’expérience de plusieurs secteurs ou filières : par exemple un cercle de cybersécurité de la R&I réunissant une banque, un acteur du nucléaire, et un groupe industriel du secteur de la beauté (d’autres combinaisons sont évidemment possibles). Ce type de structure possède aussi une vocation de groupe d’influence.

Est-ce cependant à ce niveau qu’il est possible de partager avec une entière liberté les détails d’une cyberattaque que l’on aurait subie? Poser cette question, c’est remarquer qu’il convient d’ajouter une dimension supplémentaire à toute réflexion portant sur la constitution de cercles de cyberconfiance : celle de la souveraineté.

 

3. Cybersouveraineté

3.1. Origine nationale de la cybersécurité

Prenons un peu de recul historique. En France, l’appropriation de la question de la cybersécurité a pour origine historique la sécurité des systèmes d’information étatiques et militaires. Les acteurs clés de la cybersécurité des systèmes étatiques et militaires sont ainsi bien connus

La cybersécurité se diffuse ensuites aux groupes industriels du secteur de la défense, puis à leurs fournisseurs. Au-delà de ce périmètre, une zone en apparence floue (mais en apparence seulement) est déterminée par la notion de base industrielle et technologique de défense. 

Au sein de ce système national, le partenaire des entreprises avec lequel le partage des informations sensibles est envisageable est l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

 

3.2. La cybersouveraineté dans le monde actuel

La configuration géopolitique semble être entrée depuis quelques années dans une phase de rivalités et d’incertitudes accrues. Dans ces conditions, l’accès à la base industrielle et technologique de défense devient un enjeu majeur. Les vieilles certitudes ne tiennent plus, et chacun tend à être de plus en plus sur ses gardes.

Ce point rejoint les interrogations portant sur le statut de colonie numérique de l’Europe, évoqué de manière brillante par Nathalie Brunelle lors de DYSTOPIA 2019. Comment transformer ce statut de colonie afin de retrouver le contrôle, et la possibilité de tirer profit, de nos données ? De nombreux projets intéressants, mais incertains, sont en cours pour apporter une réponse concrète à cette question.

 

Conclusion : le futur de la cybersécurité

Construire des cercles de cyberconfiance pourrait contribuer à une libération future de la colonie numérique européenne. Mais l’horizon de la souveraineté numérique peut paraître lointain. Il en est de même pour des technologies disruptives telles que les réseaux quantiques. Pour redonner une perspective et retrouver du souffle, la priorité ne doit-elle pas être de constituer, en utilisant nos synergies industrielles, une roadmap technologique pour la cybersécurité de demain ?