«La confiance est essentielle – et la cybersécurité est l’affaire de tous», a déclaré Thierry Bousez, directeur adjoint des services à la clientèle de Proximus NXT, dans ses remarques introductives à une table ronde axée sur la résilience, organisée par le Paperjam Club et qui s’est tenue à la Proximus House à Bertrange, le 29 avril.

«Nous sommes dans un monde complexe», a ajouté Yvon Boutry, chef d’équipe sécurité chez Proximus NXT et co-modérateur de la discussion. «La cybersécurité n’est plus seulement un défi technique, mais une priorité stratégique. Dans le même temps, le nombre et la sophistication des attaques augmentent, et la question n’est pas de savoir si l’on sera attaqué, mais quand on le sera.»

En effet, la technologie est en constante évolution, a déclaré Gabriele Lenzini, professeur associé à l’Université du Luxembourg, Il y a de nouveaux environnements et de nouvelles situations auxquels nous devons constamment nous adapter afin d’éviter les erreurs et les cyberattaques.

Dans ce monde numérique et interconnecté, «la cyber-résilience n’est pas seulement une question technique», a déclaré , responsable de la sécurité de l’information et CISO chez Grant Thornton Luxembourg. «Il s’agit d’une préoccupation sociétale. La frontière entre la sécurité physique et la sécurité numérique s’estompe, et pour cette raison, chaque fois qu’il y a un incident – qu’il s’agisse d’un cyberincident ou de tout autre incident – cela affecte non seulement le système lui-même, mais aussi des vies.» Prenons l’exemple de la panne d’électricité massive survenue en Espagne et au Portugal le lundi 28 avril. Bien qu’il n’ait pas été établi pour l’instant qu’il s’agissait d’un cyberincident, cette panne montre l’interconnectivité et la dépendance des infrastructures critiques et l’impact qu’elles peuvent avoir sur l’économie.

L’attaque par ransomware de Colonial Pipeline en 2021 a toutefois consisté en une cyberattaque qui a touché des équipements informatisés gérant les infrastructures pétrolières et le système de pipelines de l’entreprise. Cette cyberattaque a eu un impact sur les États-Unis, provoquant des pénuries de carburant et des perturbations économiques, a souligné Mme Ishaq. Si nous prenons ces deux incidents et que nous les plaçons dans le contexte des tensions géopolitiques – qu’il s’agisse des retombées des tarifs douaniers de Donald Trump, des relations tendues entre les États-Unis et la Chine ou de l’invasion à grande échelle de l’Ukraine par la Russie – alors «le paysage numérique devient encore plus volatil». C’est pourquoi la cyber-résilience ne peut plus être considérée comme une stratégie technologique. Elle doit être considérée comme un impératif.»

«Nos vies dépendent de la technologie», a ajouté Lars Weber, responsable de la gestion des risques non financiers et directeur de la sécurité de l’information chez Spuerkeess. «Il peut y avoir des perturbations, des défaillances matérielles, des cyberattaques, mais aussi des erreurs humaines, ce qui crée toute une chaîne d’événements qui aboutissent finalement aux événements que nous avons vus [lundi].» Selon lui, la résilience est essentielle et doit être prise en compte pour chaque système mis en place.

La cybersécurité et la résilience ne concernent pas uniquement le département informatique, a souligné l’intervenante Wided Guedria, responsable de la formation au Digital Learning Hub. Elles doivent faire partie de la culture de l’entreprise, depuis le secrétariat jusqu’à la direction.

L’importance de la préparation

De nos jours, nous évoluons tous dans un monde numérique, quels que soient le secteur ou l’entreprise. Tout le monde doit être prêt à faire face à une cyberattaque. Quelles sont donc les mesures qui ont été – ou devraient être – mises en place pour garantir la cyber-résilience?

«Avant d’envisager les aspects techniques, je pense qu’il faut vraiment comprendre comment fonctionne votre entreprise. Quels sont les processus les plus critiques qui doivent continuer à fonctionner?», répond M. Weber. Une fois les processus les plus importants classés par ordre de priorité, vous pouvez envisager des solutions techniques, une gestion de la sensibilisation ou d’autres mesures. «La paperasserie doit être faite avant de commencer à acheter de nouvelles choses fantaisistes.»

«Je suis tout à fait d’accord pour dire qu’il faut d’abord regarder en interne lorsqu’on essaie de mesurer la résilience», a ajouté Sabika Ishaq. Mais il est essentiel de comprendre que dans ce «monde numériquement connecté», les organisations sont connectées à d’autres. Ce n’est pas un seul acteur qui est touché, il peut y avoir un «effet de cascade» dans toute la chaîne d’approvisionnement. Regardez le , a-t-elle déclaré, faisant référence à une panne informatique mondiale qui a touché des secteurs tels que les compagnies aériennes, les banques, les hôpitaux et les détaillants dans diverses régions. C’est un exemple où la défaillance d’un acteur «au milieu» a eu un effet domino sur de nombreuses autres entreprises.

Des réglementations telles que Nis2 ou la loi sur la résilience opérationnelle numérique peuvent contribuer à la résilience. Le respect de ces réglementations ne doit pas se limiter à des exercices de type «tick-the-box», poursuit-elle, mais «la résilience doit être intégrée dans l’infrastructure de l’organisation».

Les organisations sont actives dans le monde entier, reconnaît Gabriele Lenzini, qui ajoute qu’il est important de comprendre comment les choses peuvent mal tourner avant qu’elles ne deviennent incontrôlables. Une fois qu’une crise se déclenche, les dégâts peuvent «s’aggraver très rapidement». Et une fois que les chevaux se sont échappés de l’écurie, il est trop tard pour fermer la porte, a-t-il ajouté en empruntant un dicton italien. «Il faut être préparé. La sensibilisation et l’analyse des risques constituent en fait une partie très importante de la préparation.» Et pour lui, «être préparé fait partie du métier».

La réglementation et l’évaluation des risques sont importantes, mais il est essentiel d’être proactif en matière de formation – à tous les niveaux de l’entreprise, quelle que soit leur familiarité avec la cybersécurité – et de mettre en œuvre les meilleures pratiques, a ajouté Wided Guedria. L’éducation et la formation sont essentielles pour renforcer la résilience, mais il est également important de «développer la pensée critique et d’impliquer tous les départements d’une entreprise».

«Je ne peux que souligner l’importance d’exercices réguliers», a convenu M. Weber. Il est essentiel de réunir des experts autour d’une table et de simuler des crises. «Il se peut que vous découvriez des problèmes que vous n’auriez jamais pu imaginer auparavant», a-t-il fait remarquer. «Parfois, même si l’aspect technique est clair – ce qui n’est pas toujours le cas – il faut se demander qui peut prendre la décision d’arrêter toute l’entreprise pendant quelques heures. Dans la plupart des cas, ce n’est pas le développeur ou l’ingénieur système qui peut prendre cette décision.» C’est pourquoi il est essentiel d’impliquer la direction dans ce type d’exercices. «Ensuite, vous abordez un incident réel en étant beaucoup mieux préparé.»

«La House of Cybersecurity et Room 42 font un travail remarquable avec les exercices de simulation», a fait remarquer Mme Guedria, en faisant référence à une expérience de simulation de cyberattaque dans laquelle les participants sont invités à gérer une cybercrise dans un temps limité.

Mme Ishaq a également souligné l’importance de permettre aux gens d’utiliser la technologie pour se préparer, et non de les en empêcher. «Afin d’être préparés, informés et formés aux dernières avancées technologiques, nous devons permettre à chacun d’utiliser cette technologie», a-t-elle déclaré. «Par exemple, lorsque ChatGPT est arrivé, beaucoup d’organisations l’ont bloqué sur leur pare-feu. Mais elles ont dû les déverrouiller parce que les gens ont trouvé d’autres moyens de continuer à l’utiliser. Il faut permettre aux gens d’utiliser la technologie pour savoir comment elle fonctionne et ce qu’elle cache, afin qu’ils apprennent, soient éduqués et sensibilisés.»

C’est un bon point, a déclaré M. Lenzini. «La transparence est également importante. Si certains sites ou outils sont interdits, le risque existe de voir fleurir l’informatique parallèle, c’est-à-dire l’utilisation de technologies ou de certains matériels ou logiciels informatiques à l’insu ou sans l’autorisation du service informatique d’une entreprise. Ce qui, à son tour, peut entraîner des risques encore plus importants pour l’entreprise. Pour éviter cela, des options alternatives peuvent être proposées. Mais cela peut prendre du temps avant qu’une option alternative soit proposée – et pendant ce temps, les gens trouveront des solutions de contournement à toutes les restrictions qui ont été imposées, c’est pourquoi il est essentiel d’éduquer les équipes sur l’utilisation et les risques potentiels d’outils tels que ChatGPT.

Trouver le «juste équilibre» entre les humains et les machines

De nombreuses cyberattaques sont dues à une erreur humaine. Avec l’essor de la technologie, ne devrions-nous pas, en tant qu’humains, renoncer au contrôle et laisser la technologie s’occuper de tout?

Relâcher tout le contrôle est une simplification un peu excessive, a répondu Mme Ishaq. Ce qui importe, c’est de trouver «le bon équilibre» entre les machines et les humains.

En effet, «les machines sont meilleures que nous pour certaines tâches, et nous sommes meilleurs que les machines pour d’autres tâches», a ajouté M. Weber. «Nous devons comprendre les faiblesses et les forces des humains et des machines, puis être en mesure de trouver un équilibre et de déléguer aux machines des tâches – comme l’analyse des journaux – que nous ne voulons pas faire et que nous ne pouvons pas faire aussi rapidement que les machines et les algorithmes.»

Parfois, une «erreur humaine» n’est pas nécessairement la faute d’un humain, a déclaré M. Lenzini. «Parfois, ce que l’on considère comme une erreur humaine est dû au fait que le système n’a pas été conçu ou envisagé pour être utilisé par des humains.» Le problème se situerait donc au niveau de la conception du système. «Les systèmes devraient donc être conçus et développés de manière à s’harmoniser avec le travail des humains.»

Les humains sont au centre de la cyber-résilience et de la technologie, a déclaré M. Guedria. «Nous pouvons l’utiliser – et nous pouvons l’utiliser à mauvais escient. Cela dépend de nous, et il est très important de s’assurer que la technologie est là pour être utilisée et pour nous rendre plus forts.»

L’IA peut renforcer la défense, mais aussi être utilisée par les criminels

L’un des outils technologiques dont on parle le plus aujourd’hui est l’intelligence artificielle. Quelles sont les possibilités d’utilisation de l’IA dans le domaine de la cybersécurité et quels sont les risques potentiels?

«L’IA vous apportera la vitesse supplémentaire dont vous avez besoin pour vous défendre rapidement», a répondu M. Weber. Elle peut, par exemple, passer en revue les différents fichiers journaux de vos systèmes. «Aucun humain ne pourra jamais assimiler tous ces journaux d’une telle manière et à la même vitesse qu’une solution d’IA. C’est clairement l’un des grands avantages que nous voyons.» Une solution d’IA peut également surveiller les journaux en continu, ajoute-t-il, et déclencher certains mécanismes de défense.

Mais l’IA ne permet pas seulement aux organisations de réagir plus rapidement aux incidents, prévient Mme Ishaq. «Lorsque nous observons l’écosystème souterrain des cybercriminels, nous constatons qu’ils utilisent la même technologie, mais à une échelle et à une vitesse bien supérieures à celles auxquelles les organisations sont en mesure de répondre à ces attaques. La raison en est, encore une fois, que nous n’investissons pas suffisamment dans la technologie. Nous ne disposons pas du budget, des ressources et des capacités nécessaires pour faire progresser ces avancées technologiques, pour les adopter ou pour améliorer notre travail ou nos tâches.

Les criminels, par exemple, ne vont pas adhérer aux normes éthiques ou à la loi sur l’IA de l’Union européenne. «Nous sommes constamment dans une course du chat et de la souris pour essayer de rattraper notre retard», a-t-elle déclaré. La technologie est très en avance, et nous sommes en train de la rattraper. L’IA permettrait d’augmenter et d’améliorer les capacités dont nous disposons, mais ce que nous faisons actuellement n’est tout simplement pas suffisant.»

L’intelligence artificielle, a déclaré M. Weber, est «là pour rester» et «nous devons utiliser l’IA pour rester compétitifs».

Principales conclusions

Pour conclure le panel, chaque participant a indiqué les points les plus importants pour lui, il a été demandé à chaque participant quel était le principal enseignement à tirer de la discussion.

M. Lenzini a comparé la gestion d’une entreprise au pilotage d’un avion et a souligné l’importance de la préparation: plus vous en savez sur l’environnement, la technologie et la manière dont tout est interconnecté, mieux votre entreprise se porte.

«N’attendez pas que les problèmes surviennent, que la crise se produise», a déclaré M. Weber. «Il faut se préparer et former le personnel avant que la crise ne survienne, car nous n’aurons pas le temps d’acquérir les différentes connaissances en temps de crise.»

«La résilience ne signifie pas que l’on élimine tous les risques», a conclu Mme Ishaq. «Il s’agit de les surpasser. Il s’agit de s’attendre à l’inattendu à tout moment. En matière de cybersécurité, la préparation est votre superpouvoir.»

L’intervention de Mme Guedria a fait écho au début de la discussion. «La cybersécurité est l’affaire de tous. C'est un état d’esprit, et cela devrait commencer par la formation, et non par la technologie.»

Cet article a été rédigé initialement et traduit et édité en français.