Cybersécurité : sortir du cycle réactif pour entrer dans une culture de résilience continue

Cybersécurité : de la réaction à la résilience continue, le point de vue de Marc Behar, PDG fondateur du cabinet de conseil en cybersécurité XMCO

Avant de chercher à changer de posture, il est fondamental de prendre conscience de son fonctionnement, individuel, puis collectif. Ce constat est un prérequis nécessaire à l’évolution, car seul la compréhension pertinente des raisons d’une situation peut permettre éventuellement de changer la donne de départ ; et peut-être espérer changer le résultat obtenu.

Sans aller jusqu’au test de Rorschach, il est relativement intuitif de percevoir que la sécurité apparaît comme une contrainte pour tout le monde dès la plus tendre enfance : faire attention à ne pas mettre n’importe quoi dans la bouche, ne pas mettre les doigts dans la prise, ne pas faire n’importe quoi….

Que l’on soit parent ou pas, tout le monde a commencé sa vie en intégrant des contraintes, des interdits, des restrictions. Mais jamais ces consignes de sécurité n’ont été « vendues » ou « packagées » comme des vecteurs de joie, de survie, de croissance saine, de découverte du monde dans des bonnes conditions.

Depuis touts petits, nous percevons contraintes et restrictions lorsque la sécurité est requise.

Comment peut-on espérer que tous les êtres humains qui travaillent dans une entreprise, puissent, d’eux-mêmes, du jour au lendemain, sans aucun apprentissage, changer et modifier leur façon de voir au point de considérer la sécurité comme une élément positif ?

C’est donc forcément, et naturellement par l’incident, voire l’accident, que la sécurité s’impose à chacun d’entre nous. Et plus précisément, par ses conséquences, parfois malheureusement irréversibles, que la leçon de l’anticipation et de la nécessité de sécurité est absorbée par l’individu.

Cette discipline, récente de moins de 30 ans, est confrontée à une difficulté complémentaire : l’impact d’un incident de sécurité n’est pas toujours facilement visible, rarement compréhensible au premier coup d’œil, et pas toujours très « tangible ». Qui ressent une profonde douleur lorsque son mot de passe est dévoilé sur le Darkweb ?

Il y a 20 ans, seules les banques et certaines assurances se sentaient concernées par la cybersécurité, personne ne pouvait prévoir l’explosion du digital, l’arrivée des smartphones, l’ouverture des systèmes d’information. La cybersécurité est restée une préoccupation de « Geeks », visionnaires parfois, mais parfois ignorés ou méprisés.

L’ampleur du chantier est immense, il faut démêler des milliers de nœuds, plusieurs par jour, sans savoir par lequel commencer, sans mode d’emploi, et en ayant l’intime conviction que quoi que l’on sécurise c’est toujours d’un autre endroit que viendra l’attaque…

Lorsqu’un problème est trop gros, trop complexe, trop difficile, l’attitude la plus fréquente est le repli sur soi. Il se trouve que la solution réside dans cette réaction réflexe, mais elle nécessite un petit travail, elle n’est pas évidente.

Le repli sur soi biologique a pour objectif de préserver l’organe vital fondamental : le cerveau.

Pour l’entreprise, le travail à mener consiste à identifier le ou les organes vitaux pour les préserver en priorité. Tout décideur, entrepreneur, manager doit s’interroger sur le cœur stratégique de son activité, et être certain qu’il est sécurisé. Tant que cette certitude n’est pas acquise et maintenue, ilest inutile d’élargir le spectre des mesures de protection. Qui perdrait du temps à mettre un plâtre sur la cheville d’un patient en arrêt cardiaque ? La priorité, c’est la survie de l’entreprise.

Les personnes qui aiment la technique ne sont pas toujours les meilleurs communicants. Mais rares sont les dirigeants d’entreprise qui ne sachent pas dire où réside la survie de leur entreprise, ce dont ils ont besoin pour maintenir leur activité et ce qu’ils mettent en œuvre pour améliorer la performance de leur entreprise.