Cybersécurité
16/07/22 14:24
Le monde des technologies de l’information en général et celui du cyber en particulier n’est pas avare de termes nouveaux ou détournés de leur sens originel ainsi que d’abréviations et acronymes parfois obscurs. L’usage de jargon est évidemment assez commun dans beaucoup de secteur d’activité, et plus particulièrement lorsqu’il s’agit de techniques ou technologies. Celles de l’information n’y échappent pas.
Malheureusement, cela ne fait qu’ajouter de la confusion à un domaine souvent mal perçu ou à minima à travers un prisme éloigné de la réalité. Nous souffrons de cette image déformée, et nous avons du mal à susciter autant de vocations que nous le souhaiterions, c’est d’ailleurs une des raisons du manque de talents dans les domaines du cyber. Si nous voulons résorber ce manque, une des voies est de changer l’image des gens travaillant dans ce secteur. Et une des premières choses à faire est probablement d’arrêter d’entretenir la confusion en employant des termes erronés, en utilisant un mot pour un autre ou en sacrifiant aux effets de mode en utilisant à outrance des appellations vide de sens. Je me lance donc et propose, à travers ce qui pourrait devenir une série de billets, d’essayer d’y voir un peu plus clair mais aussi de préciser certains vocables trop souvent utilisés à tort rendant difficile la compréhension de notre univers notamment pour les non-initiés. Comme dit quelqu’un de remarquable de notre communauté : les mots ont un sens. Et si nous voulons tendre vers une acculturation générale à la cybersécurité, il est essentiel que nous parlions tous de la même chose.
Je n’ai pas la prétention de détenir la vérité absolue, ni l’envie de soumettre un dogme, je partage ici ma vision issue d’années d’expérience dans les domaines de la protection de l’information et de la cybersécurité.
Pour commencer le plus important est probablement de définir justement ce qu’est la cybersécurité, puisque nous retrouvons ce terme quasi partout et utilisé en toute occasion. Les choses évoluent, souvent poussées par des phénomènes de modes, il y a quelques années, nous parlions de sécurité informatique, puis de sécurité des systèmes d’information et aujourd’hui le terme de cybersécurité est partout. A l’origine il était plutôt réservé à organisations étatiques, intégrant une dimension holistique de la protection des infrastructures essentielles.
En général, il y a une distinction nette en sécurité et défense. La sécurité est un état, un objectif à atteindre, il s’agit de l’état d’une situation présentant le niveau de risque le plus faible. Pour un individu ou un groupe c’est le sentiment d’être à l’abri de tout danger et risque. Par extension, il est possible de faire la même distinction entre cybersécurité et cyberdéfense. La cybersécurité étant l’état d’une situation présentant le niveau de cyber risque le plus faible.
En matière cyber, la question de la sécurité est portée par trois facteurs :
· Sécurité des systèmes d’information : facteurs technologiques de protection. C’est la partie la plus évidente de notre domaine, dans certain cas c’est même la seule réellement prise en compte bien qu’elle ne soit pas la seule.
· Sécurité économique : protection de l’usage économique du cyberespace, protection contre l’intelligence économique dans sa partie grise, voire noire (espionnage). C’est malheureusement une partie en forte croissance, même si cela n’est pas toujours perçu par tout le monde. Bien entendu, le propre de l’espionnage est de rester discret, les victimes ne sont pas toujours au courant, en tout cas avant qu’il ne soit trop tard et puis les objectifs réels des cyberattaques ne sont pas toujours transparents, une action en masquant une autre : une demande de rançon masquant un vol d’informations sensibles.
· Ordre public : la cybersécurité se comprend alors comme la protection contre la cybercriminalité, et c’est très probablement la partie la plus médiatisée, aujourd’hui tout le monde comprend que des organisations criminelles agissent dans le cyberespace même si le risque n’est pas toujours perçu à son juste niveau et si cette notion occulte souvent la dimension économique.
Ainsi la cybersécurité se conçoit comme la somme des trois dimensions : sécurité économique, sécurité technologique (au sens de la SSI) et sécurité publique (au sens de l’ordre publique). Pour arriver à un état de cybersécurité satisfaisant, tout un ensemble de mesures sont nécessaires, elles touchent un grand nombre de secteurs des organisations. La sécurité, au même titre que la qualité est une activité transverse à l’ensemble des activités, et même si elle nécessite des experts et spécialistes, il est nécessaire que l’ensemble de l’organisation soit impliqué. Bien que la sécurité, et par extension la cybersécurité soit un état, ce n’est pas un objectif pour lequel, une fois atteint, il serait possible de ne plus s’en soucier. La cybersécurité est liée à la gestion des risques cyber qui sont en perpétuelle évolution : variation d’exposition, nouvelle vulnérabilité, changement d’architecture ou d’applications, changement de personnel, erreur humaine, changement du contexte géostratégique, …etc. Il s’agit plutôt d’un processus itératif. Il est possible de voir cela de manière optimiste en réalisant que cela peut constituer une procédure d’amélioration continue.
Ainsi la cybersécurité est un état de moindre exposition aux risques cyber et donc étroitement liée à la notion de risque et de gestion de ceux-ci.
Malheureusement, cela ne fait qu’ajouter de la confusion à un domaine souvent mal perçu ou à minima à travers un prisme éloigné de la réalité. Nous souffrons de cette image déformée, et nous avons du mal à susciter autant de vocations que nous le souhaiterions, c’est d’ailleurs une des raisons du manque de talents dans les domaines du cyber. Si nous voulons résorber ce manque, une des voies est de changer l’image des gens travaillant dans ce secteur. Et une des premières choses à faire est probablement d’arrêter d’entretenir la confusion en employant des termes erronés, en utilisant un mot pour un autre ou en sacrifiant aux effets de mode en utilisant à outrance des appellations vide de sens. Je me lance donc et propose, à travers ce qui pourrait devenir une série de billets, d’essayer d’y voir un peu plus clair mais aussi de préciser certains vocables trop souvent utilisés à tort rendant difficile la compréhension de notre univers notamment pour les non-initiés. Comme dit quelqu’un de remarquable de notre communauté : les mots ont un sens. Et si nous voulons tendre vers une acculturation générale à la cybersécurité, il est essentiel que nous parlions tous de la même chose.
Je n’ai pas la prétention de détenir la vérité absolue, ni l’envie de soumettre un dogme, je partage ici ma vision issue d’années d’expérience dans les domaines de la protection de l’information et de la cybersécurité.
Pour commencer le plus important est probablement de définir justement ce qu’est la cybersécurité, puisque nous retrouvons ce terme quasi partout et utilisé en toute occasion. Les choses évoluent, souvent poussées par des phénomènes de modes, il y a quelques années, nous parlions de sécurité informatique, puis de sécurité des systèmes d’information et aujourd’hui le terme de cybersécurité est partout. A l’origine il était plutôt réservé à organisations étatiques, intégrant une dimension holistique de la protection des infrastructures essentielles.
En général, il y a une distinction nette en sécurité et défense. La sécurité est un état, un objectif à atteindre, il s’agit de l’état d’une situation présentant le niveau de risque le plus faible. Pour un individu ou un groupe c’est le sentiment d’être à l’abri de tout danger et risque. Par extension, il est possible de faire la même distinction entre cybersécurité et cyberdéfense. La cybersécurité étant l’état d’une situation présentant le niveau de cyber risque le plus faible.
En matière cyber, la question de la sécurité est portée par trois facteurs :
· Sécurité des systèmes d’information : facteurs technologiques de protection. C’est la partie la plus évidente de notre domaine, dans certain cas c’est même la seule réellement prise en compte bien qu’elle ne soit pas la seule.
· Sécurité économique : protection de l’usage économique du cyberespace, protection contre l’intelligence économique dans sa partie grise, voire noire (espionnage). C’est malheureusement une partie en forte croissance, même si cela n’est pas toujours perçu par tout le monde. Bien entendu, le propre de l’espionnage est de rester discret, les victimes ne sont pas toujours au courant, en tout cas avant qu’il ne soit trop tard et puis les objectifs réels des cyberattaques ne sont pas toujours transparents, une action en masquant une autre : une demande de rançon masquant un vol d’informations sensibles.
· Ordre public : la cybersécurité se comprend alors comme la protection contre la cybercriminalité, et c’est très probablement la partie la plus médiatisée, aujourd’hui tout le monde comprend que des organisations criminelles agissent dans le cyberespace même si le risque n’est pas toujours perçu à son juste niveau et si cette notion occulte souvent la dimension économique.
Ainsi la cybersécurité se conçoit comme la somme des trois dimensions : sécurité économique, sécurité technologique (au sens de la SSI) et sécurité publique (au sens de l’ordre publique). Pour arriver à un état de cybersécurité satisfaisant, tout un ensemble de mesures sont nécessaires, elles touchent un grand nombre de secteurs des organisations. La sécurité, au même titre que la qualité est une activité transverse à l’ensemble des activités, et même si elle nécessite des experts et spécialistes, il est nécessaire que l’ensemble de l’organisation soit impliqué. Bien que la sécurité, et par extension la cybersécurité soit un état, ce n’est pas un objectif pour lequel, une fois atteint, il serait possible de ne plus s’en soucier. La cybersécurité est liée à la gestion des risques cyber qui sont en perpétuelle évolution : variation d’exposition, nouvelle vulnérabilité, changement d’architecture ou d’applications, changement de personnel, erreur humaine, changement du contexte géostratégique, …etc. Il s’agit plutôt d’un processus itératif. Il est possible de voir cela de manière optimiste en réalisant que cela peut constituer une procédure d’amélioration continue.
Ainsi la cybersécurité est un état de moindre exposition aux risques cyber et donc étroitement liée à la notion de risque et de gestion de ceux-ci.