Vers une cyber-sécurité raisonnée, par Guillaume Tissier (Directeur général CEIS, co-organisateur du FIC)

À en croire certains, la cyber-sécurité serait vouée à l’échec. Et il y a du vrai dans cette affirmation. Le niveau de risques progresse sous l’influence de deux facteurs : développement des menaces et dépendance accrue aux systèmes d’information avec, en corollaire, une multiplication des vulnérabilités. Par ailleurs, les parades actuelles, basées sur un empilement de couches de protection et sur de multiples solutions technologiques, pas toujours très efficaces et cohérentes, ont montré leurs limites.

Faut-il pour autant en rester à cet aveu de faiblesse ? Assurément non. Le risque serait de justifier l’inaction. Que rétorquer alors aux « fatalistes », ou aux « idéalistes » qui s’accrochent au mythe du cyber-espace « exceptionnel » et autorégulé et qui considèrent toute approche sécuritaire comme superflue ? Tout d’abord, qu’une mesure de sécurité est, par essence, un compromis, puisqu’elle permet de gérer un risque et qu’elle est donc un demi-échec ou une demi-réussite… Aussi imparfaite soit-elle, la lutte antiterroriste est ainsi amplement justifiée par les vies qu’elle permet de sauver. Pourquoi en irait-il différemment en matière de cyber-sécurité, lorsque des contrats, des emplois, mais aussi des vies, sont également en jeu ?

De façon plus positive, on peut aussi faire remarquer à ces « déçus » ou contempteurs que la sécurité des systèmes d’information a considérablement évolué, pour s’adapter à cette nouvelle donne et jeter les bases d’une posture de cyber-sécurité raisonnée. Elle est basée sur trois éléments : un nouvel équilibre entre protection, détection et réaction ; une priorité accordée à la donnée, qui doit être maîtrisée de bout en bout ; un recentrage sur l’utilisateur, élément clé en matière de détection. Au modèle de sécurité périmétrique succède ainsi un modèle d’organisation connectée, plus en adéquation avec les nouveaux usages numériques. Il ne s’agit plus seulement d’empêcher les intrusions, mais de construire une sécurité partant de l’intérieur vers l’extérieur.

Même si la situation cyber-sécuritaire reste très préoccupante, elle n’est donc pas désespérée. Les raisons d’espérer ne manquent pas : des offres de sécurité plus matures émergent ; des filières professionnelles se développent ; la normalisation progresse ; de nouveaux cadres législatifs et réglementaires sont adoptés ; la sensibilisation des utilisateurs, entreprises et particuliers, s’améliore. Au-delà des aspects opérationnels, c’est d’une vision globale, d’une approche systémique, dont nous avons maintenant besoin. Avec, pour point de départ, une vision claire de nos propres intérêts dans le cyber-espace à différents niveaux : l’individu, l’entreprise, l’État et la communauté internationale. Cela suppose évidemment des arbitrages permanents, tant les intérêts des uns ne sont pas forcément ceux des autres. Cela implique également la mise en place de nouveaux services en matière d’identité numérique. C’est à ce prix que la cybersécurité devient un « enabler », autrement dit une clé vers cette nouvelle frontière qu’est le cyber-espace.

Ce n’est donc ni vers une nouvelle guerre froide, ni vers un courant de protectionnisme numérique que doivent conduire les débats sur la cyber-sécurité. Il s’agit plutôt de prendre acte des évolutions considérables en dix ans et de jeter les bases d’un cyber-espace plus sûr et plus ouvert pour demain.