Les nouveaux métiers de la cybersécurité

Le début d’une série d’ar­ticles pour pré­sen­ter les enjeux de la cyber­sé­cu­ri­té. Pour com­men­cer, l’en­semble des ques­tions per­met­tant d’en défi­nir les contours dans la trans­for­ma­tion numé­rique. Ensuite nous aurons des entre­tiens avec des pro­fes­sion­nels du secteur. 

Systèmes d’in­for­ma­tion, modèles d’affaires, for­ma­tion et outils d’apprentissage, ins­ti­tu­tions, médias et diver­tis­se­ment, rela­tions sociales… La trans­for­ma­tion numé­rique met les ques­tions de cyber­sé­cu­ri­té au pre­mier plan et il est dif­fi­cile d’en sous-esti­mer l’influence.

Nos vies sont de plus en plus dif­fé­rentes de celles de nos parents et grands-parents. Si la trans­for­ma­tion numé­rique crée de nom­breuses oppor­tu­ni­tés en termes de déve­lop­pe­ment éco­no­mique et social, elle fait éga­le­ment naître de nou­velles menaces et offre de nou­veaux vec­teurs d’attaques.

Ces menaces sont désor­mais au centre des pro­blé­ma­tiques du sec­teur public comme du sec­teur pri­vé, alors même que l’expertise en ce domaine est dif­fi­cile à iden­ti­fier et que la recherche peine à émerger. 

De fait, les experts du numé­rique aujourd’hui sont d’abord des experts d’autres sec­teurs qui observent cette trans­for­ma­tion de leur propre point de vue – éco­no­mistes, socio­logues, infor­ma­ti­ciens, experts en sécu­ri­té, juristes, spé­cia­listes en res­sources humaines ou en science de ges­tion, etc. 

Pour­tant, compte tenu de l’ampleur et de la com­plexi­té des enjeux, une approche col­la­bo­ra­tive et mul­ti­dis­ci­pli­naire est sou­vent nécessaire. 

UN EXPERT EN CYBERSÉCURITÉ, C’EST QUOI ?

Par­mi les pro­blèmes les plus épi­neux de la trans­for­ma­tion numé­rique se trouve la cyber­sé­cu­ri­té. De la même façon que l’on défi­nit la sécu­ri­té comme une absence de dan­ger, la cyber­sé­cu­ri­té peut se conce­voir comme l’absence de dan­ger par voie numérique. 

Ain­si, assu­rer la cyber­sé­cu­ri­té d’une orga­ni­sa­tion consiste en pre­mière ana­lyse à pro­té­ger ses infra­struc­tures, ses res­sources infor­ma­tiques, ain­si que ses données. 

Répondre aux pro­blé­ma­tiques spé­ci­fiques que pose la cyber­sé­cu­ri­té réclame de nou­velles exper­tises qui sont encore en gestation. 

Pour un étu­diant inté­res­sé par ce sujet, il est dif­fi­cile de conce­voir sa tra­jec­toire pro­fes­sion­nelle : par où com­men­cer pour deve­nir un expert en cyber­sé­cu­ri­té ? De même, anti­ci­per les besoins et iden­ti­fier les talents est un défi pour les orga­ni­sa­tions. Au-delà des métiers qui existent déjà, sept mis­sions contri­buent pour­tant à struc­tu­rer ce domaine d’expertise.

ENGAGER LA TRANSFORMATION NUMÉRIQUE EN PROTÉGEANT LES SYSTÈMES D’INFORMATION

Anti­ci­per les besoins et repé­rer les talents est un défi.
© DROBOT DEAN

Toutes les orga­ni­sa­tions sont confron­tées à des pro­blèmes de moder­ni­sa­tion de leurs sys­tèmes d’information : l’innovation tech­no­lo­gique, tou­jours plus rapide, est récla­mée par les uti­li­sa­teurs alors que les exi­gences de sécu­ri­té des sys­tèmes d’information imposent à la fois des normes et des étapes de concep­tion, puis un temps d’évaluation avant la mise en production. 

Com­ment conce­voir les futurs sys­tèmes d’information de manière à pou­voir les moder­ni­ser en per­ma­nence tout en res­pec­tant les impé­ra­tifs de sécurité ?
Com­ment conduire cette moder­ni­sa­tion de manière effi­cace et efficiente ?
Que faire des archi­tec­tures vétustes qui conti­nuent à assu­rer un ser­vice critique ?
Quel équi­libre trou­ver entre la sécu­ri­sa­tion de l’architecture exis­tante et la moder­ni­sa­tion à marche forcée ? 

Ce qui est nou­veau ici, c’est la vitesse d’évolution des sys­tèmes d’information, ain­si que la charge de tra­vail crois­sante néces­saire pour assu­rer la sécu­ri­té d’architectures de plus en plus com­plexes et interconnectées.

ASSURER LA PROTECTION DES DONNÉES VIA UNE GOUVERNANCE ADAPTÉE

Les orga­ni­sa­tions col­lectent et stockent de plus en plus de don­nées – sur leurs employés, leurs clients, leur propre struc­ture et leurs pro­ces­sus internes. Au-delà des infra­struc­tures sur les­quelles elles sont sto­ckées, cer­taines don­nées sont assor­ties d’obligations légales (notam­ment les don­nées per­son­nelles dans le cadre du nou­veau règle­ment euro­péen sur la pro­tec­tion des données). 

D’autres revêtent une impor­tance stra­té­gique incon­tour­nable et consti­tuent une res­source qu’il faut pro­té­ger. Com­ment régu­ler les flux de don­nées afin de les rendre acces­sibles uni­que­ment lorsque c’est néces­saire ? Com­ment pro­té­ger les don­nées dès la concep­tion de l’architecture ? Quel est le juste équi­libre entre la col­lecte de don­nées pour répondre à d’éventuels besoins ulté­rieurs et la mini­mi­sa­tion des don­nées collectées ? 

Ce qui est nou­veau ici, c’est à la fois la quan­ti­té de don­nées, les risques encou­rus, ain­si que la néces­si­té de poser ces ques­tions le plus en amont pos­sible, dès la concep­tion du sys­tème d’information.

ANALYSER LA MENACE CYBER POUR INFORMER LES DÉCIDEURS

Chaque orga­ni­sa­tion fait face à un envi­ron­ne­ment de risque cyber singulier. 

Les orga­ni­sa­tions col­lectent et stockent de plus en plus de données.
© TOMMY LEE WALKER

Au-delà de la pro­tec­tion des infra­struc­tures et des don­nées, il faut ana­ly­ser cette menace d’un point de vue tech­nique et géos­tra­té­gique à court et à long terme pour com­prendre com­ment s’y adap­ter – les réponses dif­fèrent pour une entre­prise d’e‑commerce aux par­ti­cu­liers, une cen­trale élec­trique ou un minis­tère. À l’avenir, les déci­sions stra­té­giques devront être infor­mées par une com­pré­hen­sion à 360˚ des risques cyber encourus. 

Com­ment se ren­sei­gner et quan­ti­fier la menace cyber géné­rique, ain­si que les menaces spé­ci­fiques aux­quelles fait face une organisation ?
Com­ment iden­ti­fier les par­ties les plus vul­né­rables des SI et faire remon­ter cette infor­ma­tion au niveau stratégique ?
Est-il pos­sible de mettre en place une défense col­lec­tive en échan­geant des infor­ma­tions avec des orga­ni­sa­tions partenaires ? 

Ce qui est nou­veau ici, c’est que l’intrication inédite des enjeux et des acteurs vient com­pli­quer l’analyse de ces menaces qui devrait pré­cé­der toute prise de décision.

GÉRER LES CRISES RELATIVES AUX ATTAQUES INFORMATIQUES

Il existe deux types d’organisations : celles qui savent qu’elles ont été vic­times d’attaques infor­ma­tiques, et celles qui ne le savent pas. Com­prendre la menace est un pre­mier pas, mais il est éga­le­ment néces­saire de savoir gérer la crise lorsqu’une attaque survient. 

Dans cette optique, les exer­cices de sécu­ri­té favo­risent les bons com­por­te­ments : avant l’attaque, afin de mini­mi­ser les risques et de la détec­ter le plus tôt pos­sible, pen­dant l’attaque, afin de recueillir des élé­ments de preuve et de conte­nir son impact, et après l’attaque afin de réduire le temps de récupération. 

Quels sont les bons com­por­te­ments à adop­ter avant, pen­dant et après une attaque informatique ?
Com­ment s’assurer que la réac­tion des équipes per­mette de mini­mi­ser les risques d’intrusion, l’étendue des dégâts poten­tiels et le temps de récupération ?
Com­ment coor­don­ner sa réponse avec toutes les par­ties pre­nantes (auto­ri­tés, par­te­naires, clients, four­nis­seurs, asso­cia­tions et grand public) ? 

Ce qui est nou­veau ici, c’est la fré­quence des attaques et leur sophis­ti­ca­tion, ain­si que le chan­ge­ment de para­digme qui consiste à accep­ter qu’une attaque va arri­ver et à mini­mi­ser son impact. 

MAINTENIR LES INFRASTRUCTURES INFORMATIQUES D’UN OPÉRATEUR D’IMPORTANCE VITALE (OIV)

Les OIV sont des orga­nismes publics ou pri­vés qui pilotent des infra­struc­tures jugées indis­pen­sables pour la sur­vie de la nation. 

Com­ment four­nir un ser­vice de qua­li­té tout en res­pec­tant les exi­gences de sécu­ri­té ? © SINGKHAM

En coor­di­na­tion avec notam­ment l’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information (ANSSI), ces opé­ra­teurs ont l’obligation de for­mer leurs équipes de sécu­ri­té, d’établir un plan de sécu­ri­té conforme à leurs obli­ga­tions légales, et de pro­té­ger plus spé­ci­fi­que­ment les points iden­ti­fiés comme par­ti­cu­liè­re­ment importants. 

Com­ment gérer le sys­tème d’information d’un opé­ra­teur d’importance vitale pour four­nir un ser­vice de qua­li­té tout en res­pec­tant les exi­gences de sécurité ?
Au-delà des sys­tèmes d’information, quelles sont les bonnes pra­tiques de ges­tion des OIV ?
Com­ment orga­ni­ser des échanges d’information avec les homo­logues ou par­te­naires publics et pri­vés, au niveau natio­nal et international ? 

Ce qui est nou­veau ici, c’est que la diver­si­té des orga­ni­sa­tions concer­nées est sans pré­cé­dent – il existe désor­mais douze sec­teurs d’activité d’importance vitale com­por­tant des obli­ga­tions légales – et les bonnes pra­tiques dépassent de loin la simple ges­tion du sys­tème d’information : il s’agit de mettre en place une hygiène de cyber­sé­cu­ri­té au niveau de l’entreprise.

SÉCURITÉ INTERNATIONALE ET CYBERDIPLOMATIE

La stra­té­gie de cyber­dé­fense des États se tra­duit désor­mais plei­ne­ment dans le domaine diplo­ma­tique. Les négo­cia­tions inter­na­tio­nales sur les normes de com­por­te­ment res­pon­sable des États dans le cybe­res­pace, les dis­cus­sions mul­tiac­teurs sur la gou­ver­nance de l’internet et des réseaux ain­si que les dis­cus­sions avec les géants du numé­rique abordent de plus en plus les ques­tions d’infrastructures cri­tiques et de sûre­té nationale. 

Les diplo­mates doivent éga­le­ment com­prendre et maî­tri­ser les crises du cybe­res­pace afin de décon­flic­tua­li­ser les rela­tions entre États. 

Com­ment construire une stra­té­gie diplo­ma­tique dans un monde où le modèle mul­tiac­teurs (incluant les entre­prises, les États et les experts de la socié­té civile) laisse moins de place à la parole des États ?
Com­ment effec­tuer une veille diplo­ma­tique sur les stan­dards tech­niques du cyberespace ?
Com­ment faire appli­quer des normes de com­por­te­ment res­pon­sable des États dans le cybe­res­pace pour assu­rer la sta­bi­li­té stra­té­gique de ce domaine ? 

Ce qui est nou­veau ici, c’est que l’action diplo­ma­tique doit uti­li­ser de nou­veaux relais et de nou­velles enceintes, notam­ment tech­niques. De plus, les crises du cybe­res­pace mena­çant de se trans­for­mer en conflits géo­po­li­tiques, il s’agit éga­le­ment d’assurer un dia­logue de crise afin d’éviter l’escalade invo­lon­taire des conflits.

DÉVELOPPER LE RENSEIGNEMENT ET LES CAPACITÉS OFFENSIVES DANS LE CYBERESPACE

Les armées modernes prennent conscience de leur dépen­dance aux tech­no­lo­gies de l’information.
© PHOTOGRAPHEE.EU

Au-delà de la cyber­dé­fense, le monde numé­rique donne, pour le moment, un avan­tage incon­tes­table aux atta­quants : l’augmentation de la sur­face d’attaque et la mul­ti­pli­ca­tion des failles per­mettent à un cyber­sol­dat (ou cyber­mer­ce­naire !) qui dis­pose des res­sources néces­saires de péné­trer presque à coup sûr là où il le sou­haite. En ces cir­cons­tances, la capa­ci­té à mobi­li­ser des capa­ci­tés offen­sives dans le cybe­res­pace peut contri­buer à la cyberdéfense. 

Plu­sieurs États ont donc enga­gé la réforme de leurs armées et de leurs ser­vices de ren­sei­gne­ment de manière à appor­ter un sou­tien cyber aux opé­ra­tions exis­tantes, mais éga­le­ment à créer un com­man­de­ment dédié à la conduite d’opérations offen­sives dans le cyberespace. 

Quelle doc­trine mettre en place pour enca­drer et mener des opé­ra­tions cyber ?
Com­ment se doter de moyens et atti­rer des talents face à la concur­rence du sec­teur privé ?
Com­ment favo­ri­ser l’innovation dans un envi­ron­ne­ment très hié­rar­chi­sé où la cir­cu­la­tion de toutes les infor­ma­tions est segmentée ? 

Ce qui est nou­veau ici, c’est le fait que les armées modernes prennent conscience que leur dépen­dance aux tech­no­lo­gies de l’information est une source de vul­né­ra­bi­li­té, alors même que leurs capa­ci­tés cyber sont encore dif­fi­ciles à mobiliser.

---

Articles similaires :

Créa­tion de l’Académie des technologies La sécu­ri­té du paie­ment élec­tro­nique s’adapte aux innovations SIM AGRI Conte Accom­pa­gner un élève international IA, le risque d’une humani­té diminuée