L’ego, une faille sous-estimée de notre cybersécurité
11/09/2021 - 5 min. de lecture
Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.
Aurélie Luttrin est fondatrice d’Eokosmo.
---
La cybersécurité se définit traditionnellement comme la protection défensive et offensive des systèmes d’information en prenant en compte aussi bien les contenants, à savoir les infrastructures, que les contenus, à savoir les données.
Longtemps délaissée par les non-spécialistes (particuliers ou professionnels), elle est désormais au cœur des préoccupations, les attaques successives de collectivités territoriales, d’établissements publics, d’entreprises ayant semé un vent de panique. D’un seul coup, nous avons pris conscience que, sans cybersécurité, c’est tout une économie qui pouvait péricliter et des vies qui pouvaient être impactées.
L’État lui-même s’est saisi du sujet avec un plan d’1 milliard d’euros comprenant notamment la construction d’un cyber-campus, le développement de solutions souveraines de cybersécurité, la valorisation des formations aux métiers de la cybersécurité auprès des jeunes.
L’objectif : équiper le plus grand nombre.
C’est bien mais ce n’est malheureusement guère suffisant. Cette stratégie peut même s’avérer contre-productive, beaucoup pensant que, s’ils sont dotés des meilleurs outils, ils ne craignent plus rien et n’ont nul besoin de comprendre comment notre monde fonctionne actuellement.
"Ne vous occupez de plus rien, on s’occupe de tout. Prenez nos produits et vous n’aurez plus à vous soucier de votre sécurité !" Le solutionnisme risque de faire des ravages et d’occasionner des dépenses publiques peu efficientes puisque les attaques continueront à causer des dommages malgré la performance des outils installés.
Une fois de plus, en matière numérique, nous nous attelons à construire les murs avant les fondations. Nous privilégions les technologies sans passer par l’étape d’acculturation et de compréhension du monde dans lequel nous évoluons.
Les cybercriminels (pour ne prendre qu’eux dans la catégorie des atteintes à la cybersécurité) ont souvent un train d’avance technologiquement parlant par rapport à leurs victimes (plus de moyens, plus de temps et plus de compétences pour certains). Vouloir aller exclusivement sur le terrain de la technologie pour les combattre peut s’avérer vain, surtout à l’échelle de la population. Il y aura toujours une collectivité, une entreprise, un particulier qui n’aura pas acquis les dernières mises à jour ou la dernière technologie pour pallier les risques d’intrusion.
Mais, surtout, c’est méconnaître le mode opératoire des cybercriminels qui ne vont pas attaquer directement les systèmes d’information mais qui vont, le plus souvent, utiliser les personnes elles-mêmes comme chevaux de Troie pour atteindre une entreprise, un État ou une collectivité et passer ainsi à travers tous les systèmes de protection.
La ruse est la meilleure de leurs armes. Les cybercriminels sont des fins psychologues. Ils savent que l’ego des victimes est leur meilleur allié qui est capable de faire tomber les technologies les plus puissantes.
Pour lutter efficacement contre la ruse des cybercriminels et l’ego des victimes, sept commandements de philosophes et stratèges politiques que nous devrions adopter car la cybersécurité n’est pas l’apanage des directions des systèmes d’information, elle est l’affaire de toutes et de tous sans exception.
"Cogito, ergo sum" - "Je pense donc je suis" (Descartes, Discours de la Méthode)
Arrêtons de croire que notre rédemption vient de la technologie en la considérant comme le palliatif absolu de nos incompétences et insuffisances. La technologie est primordiale mais n’est qu’un outil au service d’une stratégie élaborée par notre cerveau. Notre capacité à raisonner est la clé. N’oublions pas que "science sans conscience n’est que ruine de l’âme" et que la technologie elle-même a été créée par des êtres humains avec leurs génies, leurs failles, leurs intérêts personnels. Comprenons les technologies que nous choisissons et utilisons. Ne prenons pas pour acquis tous les discours commerciaux. Renouons avec notre capacité de raisonnement. Le doute philosophique doit être la règle.
Ce qui implique également d’éviter de tomber dans le "je communique donc je suis" ( #jaimemonjob).
En effet, les cybercriminels adorent épier nos communications sur les réseaux sociaux, nos photos surtout qui sont autant d’indices sur notre profession et des accès privilégiés à certaines informations confidentielles. Les cybercriminels se nourrissent de notre orgueil, de notre désir de paraître. Cela ne signifie pas qu’il ne faille pas communiquer. Il faut mieux communiquer et prendre conscience que nous sommes tous des relais potentiels de cybercriminels.
"Je ne sais qu’une chose c’est que je ne sais rien" (Platon - Apologie de Socrate)
Admettre que certaines technologies sont difficiles à comprendre, que nous ne maîtrisons pas tout est déjà le début d’une prise de conscience qui amènera à une étape cruciale : la formation. Se former, s’acculturer à la quatrième révolution industrielle, ses enjeux, la géopolitique y afférant, devient primordial si nous voulons faire les bons choix stratégiques, politiques et technologiques.
Au-delà de l’acculturation générale, nous devons être profondément humbles face aux avancées technologiques et admettre que même les spécialistes devront être en mode d’apprentissage continu. Il est fini le temps où nous pouvions nous reposer sur nos acquis.
"Errare humanum est , perseverare diabolicum" – "L’erreur est humaine, persévérer est diabolique"
Admettons dès maintenant que nous serons tous victimes de cybercriminalité. Le sujet est juste de savoir quand et si nous serons prêts à y faire face.
Il ne faut pas voir dans les attaques des remises en question de notre propre compétence.
Si une cyber-attaque met en exergue un process ou une infrastructure inadaptée, alors changeons ! Mais ne cachons rien, ne sous-estimons pas l’ampleur de l’attaque, ne minimisons rien pour ne pas répéter inlassablement l’erreur commise !
Faisons donc nôtre le quatrième commandement : les erreurs ne se regrettent pas, elles s’assument. La peur ne se fuit pas, elle se surmonte (Simone Veil).
Ainsi les nouvelles compétences à avoir pour lutter contre les menaces de notre monde sont le courage, la capacité de résilience et d’adaptabilité.
"Connais-toi toi-même" (Platon - Charmide)
Pour anticiper les attaques, encore faut-il dresser un tableau exhaustif de nos points forts et de nos faiblesses. N’ayons pas peur d’exposer nos failles ! Nous en serons encore plus forts et créerons un cercle vertueux de performance.
"Qui connaît son ennemi comme il se connaît en cent combats ne sera point défait" (Sun Tzu – L’art de la guerre)
Une fois que l’on se connaît, il faut aussi connaître les différentes catégories d’atteintes à la cybersécurité. Dans ce domaine, tout n’est pas uniforme. Nous devons faire face à différentes typologies d’atteintes (celles qui sont légales, celles qui ne le sont pas) et, au sein de ces catégories, des sous-catégories qu’il convient de maîtriser pour élaborer des stratégies spécifiques à chacune d’entre elles, ce qui demande étude, pragmatisme et stratégie pluridisciplinaire.
Pour atteindre de grands objectifs, nous devons oser de grandes choses (Clausewitz – De la guerre)
L’innovation ne se décrète pas, elle se construit, elle s’entretient, elle se vit. L’innovation ne connaît pas la politique interne et les intérêts particuliers. L’innovation, c’est prendre des risques pour servir l’intérêt général et une cause plus grande que sa propre carrière. L’innovation est un état d’esprit. Certains ne l’auront jamais. Il faut l’admettre. Mais, même cela n’est pas un drame. L’important est de mettre les bonnes personnes à la bonne place dans cet échiquier mondial si nous voulons assurer une protection efficace de notre pays.
Ces sept commandements de la cybersécurité doivent nous guider au quotidien pour garantir la sécurité des populations, des entreprises et préserver notre démocratie.
Nous sommes toutes et tous des acteurs de cette dernière ne soyons pas des consommateurs passifs d’outils technologiques mais les stratèges de notre propre destin qui voient en la technologie non pas un Salut mais un simple outil pour construire le monde que nous voulons pour nous et les générations futures.
11/09/2021