Même si l’espace numérique est par essence technique, la cybersécurité est aussi une histoire d’Hommes (avec un grand H).
À l’ère de l’intelligence artificielle, on a tendance à l’oublier un peu rapidement…

Par Guillaume Tissier, Président de CEIS et co-organisateur du FIC

Cet Homme, c’est l’utilisateur final à qui les concepteurs de solutions numériques demandent de mémoriser les 100 identifiants et mots de passe correspondant en moyenne à son existence numérique. Le résultat de cette expérience utilisateur est souvent catastrophique car il reste le point faible des dispositifs de sécurité.
Face à ce défi, les nouvelles approches « zero trust » qui prennent acte de la disparition de la notion de périmètre dans le système d’information et qui replacent l’utilisateur et le « droit d’en connaître » au centre du jeu constituent de ce point de vue une réelle opportunité.

Cet Homme, c’est également la victime, souvent ignorante, parfois négligente, de l’insécurité numérique.
Le facteur humain joue dans 90 % des cas d’attaque. Il suffit pour s’en convaincre de regarder la démonstration d’ingénierie sociale de Jessica Clark, une hackeuse éthique, victorieuse de l’un des challenges de la Defcon, qui manie à la perfection des techniques de persuasion et de manipulation bien connues pour obtenir des informations confidentielles.
L’abus de confiance « dématérialisé » a de beaux jours devant lui…
Le courrier électronique reste par ailleurs le premier vecteur d’infection : un phishing sur quatre est ouvert par l’utilisateur.
Il y a donc encore fort à faire en termes de sensibilisation pour que l’Homme, maillon faible, devienne le maillon fort.

Cet Homme, c’est aussi le défenseur. Si l’intelligence artificielle constitue un véritable « game changer » pour la détection des attaques ou l’analyse comportementale, elle n’est pas la solution miracle.
Le progrès technologique est comme tou jours ambivalent : l’IA profite aussi largement aux attaquants, tandis qu’elle est également elle-même la cible d’attaques.
Enfin, même avec des systèmes d’orchestration sophistiqués, il faut des Hommes et des compétences derrières les machines. En la matière, le constat est sans appel : il manque au niveau mondial 4 millions d’experts cyber pour faire face aux besoins.
Et la solution ne réside pas dans la multiplication sans fin des cursus de formation. En France, ils existent aujourd’hui. Il faut maintenant les remplir en rendant les métiers de la cybersécurité suffisamment attractifs.

Cet Homme, c’est le développeur. À l’époque des cycles courts et des développements agiles, la sécurité doit être prise en compte dès l’origine des projets et tout au long de leur cycle de vie (SecDevOps).
La collaboration entre des équipes généralement isolées est de ce point de vue essentielle, de même que l’automatisation d’un certain nombre de processus.

Cet Homme, c’est enfin le citoyen. Au-delà des enjeux opérationnels de cybersécurité, celui-ci doit être sensibilisé aux profondes mutations qu’engendre le développement de l’espace numérique.
Avec de formidables opportunités, mais aussi des risques de déséquilibres (militaires, économiques, industriels, fiscaux) et de manipulations de l’information (notamment avec les fake news et autres deep fake) qui appellent des réponses politiques fortes pour préserver la confiance, clé de voûte de nos sociétés démocratiques.

Ne soyons pas naïfs pour autant  : l’insécurité numérique va perdurer et même progresser. Non seulement parce que notre surface d’exposition progresse de façon exponentielle, mais aussi parce que les attaquants et cybercriminels n’ont aucune raison d’arrêter des actions qui n’ont jamais été aussi profitables… Nul besoin, en effet, de cyber-armes sophistiquées et coûteuses : il suffit de faire simple et efficace, comme en témoignent les attaques par ransomware.

Face à ces menaces, la priorité est donc plus que jamais d’améliorer de façon encore plus résolue non seulement la résilience technique de nos réseaux et systèmes d’information, mais aussi la résilience humaine en agissant sur nos intelligences « naturelles ».

Rappel:
« Replacer l’humain au cœur de la cybersécurité » est le thème du 12e Forum International de la Cybersécurité (FIC 2020) qui se tient du 28 au 30 janvier 2020 à Lille.