Collectivement, nous avons tendance dans le secteur de la cybersécurité à avoir une réflexion assez binaire : bon ou mauvais, sécurisé ou non sécurisé, événement catastrophique ou non-événement…
Au cours de la dernière décennie, des brèches importantes ont suscité la peur et l’incertitude à une échelle sans précédent. Lorsque des entreprises comme RSA, Symantec, FireEye ou SolarWinds sont compromises – et plus récemment Microsoft et Okta – le monde panique. À juste titre.
D’emblée, je dirai que toutes les entreprises citées ici sont des entreprises reconnues, dotées de programmes de cybersécurité matures, complexes et ayant prouvé leur efficacité. Et si nous ne devons jamais accepter avec complaisance l’échec face à une attaque concertée, nous ne devons pas non plus les vilipender. Il y a des leçons à tirer de ces compromissions, et celles-ci peuvent avoir trait à l’éthique, mais le plus souvent, elles nous montrent comment améliorer nos propres programmes de cybersécurité et, surtout, comment éviter de nombreux autres types de risques.
Dans le domaine de la cybernétique, nous avons affaire à un risque de second ordre. C’est ce que Yuval Noah Harari appelle dans « Sapiens » le « risque intelligemment adaptable ». Il s’agit du même type de risque auquel les services juridiques et les équipes commerciales sont confrontés, bien plus que les services opérationnels ou informatiques ne le sont normalement.
Comme je l’ai mentionné dans The Security Investment Paradox, les entreprises recherchent l’efficacité, tandis que ceux qui s’inquiètent de la disponibilité des solutions ont besoin de redondance. C’est le principe de la dépense contre l’efficacité. Il s’agit en fait – et c’est là la priorité absolue pour se protéger au mieux – de s’assurer que les points de défaillance uniques sont réduits et éliminés d’une manière fiscalement responsable.
Revenons donc aux annonces de Microsoft et Okta concernant Lapsus$. Ce n’est pas la première fois que Microsoft est piraté. Ce ne sera pas la dernière.
Les équipes qui font face à la gestion de cette attaque, au sein des deux organisations, devraient par défaut recevoir notre soutien. Le mardi 22 mars, Okta a annoncé que le prétendu piratage de Lapsus$ n’avait pas vraiment eu lieu et le 23 mars, elle a finalement annoncé qu’environ 2,5 % de ses clients avaient été touchés.
Beaucoup peuvent réagir à cela en se moquant, mais pour ceux d’entre nous qui ont déjà assisté à des violations du même genre, nous savons qu’il est clairement difficile de savoir ce qu’il s’est passé ou non. Il n’y a pas, comme certains experts semblent le croire, un écran vert dans le bureau du RSSI qui passe soudainement au rouge lorsque des attaques se profilent. Cela ne fonctionne pas de cette façon.
Il est grand temps que nous assumions la responsabilité de notre propre fragilité. Le dialogue entre la RSSI et les hautes sphères de l’entreprise est parfois difficile, et c’est pour cela que nous travaillons et que notre rôle est important.
Prenons l’exemple d’Okta : il n’est pas impossible que des entreprises aient de mauvaises autorisations et il faut alors que cela change de suite ! La vraie question que toute entreprise doit se poser est : « ne devrions-nous pas revoir votre programme de cybersécurité ? »
Une guerre est en cours en ce moment, et la cybernétique en est un facteur clé. C’est le moment d’actualiser les plans et de faire bouger les choses en matière de sécurité. Ce que j’ai appelé le « Cybergeddon » pourrait en fait être un « cyber non-événement » pour toutes les entreprises bien protégées ayant revu et adapté leur plan cyber.
L’actualité nous montre que le risque cyber est bel et bien présent. Il est temps de s’adapter. Si ce n’est pas maintenant, alors quand ?
