Cyberdéfense active de l'entreprise
Par Olivier Kempf le lundi 24 novembre 2014, 21:51 - CYber et économie - Lien permanent
L'autre jour, je déjeune avec Sébastien Bombal (Réserve Cybercitoyenne, EPITA, etc...: voir son blog) et nous discutons cyber, allez savoir pourquoi. La conversation roule autour des pratiques cyber en entreprise. Nous tombons d'accord sur le diagnostic : trop souvent, ce qu'on appelle "cyberdéfense" (terme à la mode) n'est qu'une cyber protection. C'est très bien, mais probablement insuffisant. D'où ce petit billet qui résume notre pensée.
Le cyberespace entre peu à peu dans les préoccupations stratégiques de l’entreprise. Celle-ci est passée d’une simple sécurité des systèmes d’information (SSI) à des considérations plus larges d’intelligence économique. Rares sont les entreprises qui ont bien lié les deux fonctions. Toutefois, on constate une certaine incertitude en ce qui concerne une stratégie plus intégrée de « cybersécurité de l’entreprise ».
Posons ici quelques définitions, au moins pour le besoin de l’entreprise. La cybersécurité de l’entreprise serait composée de deux piliers : le premier consisterait en une « cyberprotection », le second en une « cyberdéfense ».
La cyberprotection inclurait tous les outils de protection des systèmes informatiques de l’entreprise (SSI élargie). Elle consisterait principalement à établir une certaine enveloppe autour de l’entreprise, considérée comme indépendante de son environnement. Elle vise à protéger les atteintes de cet environnement contre l’entreprise.
La cyberdéfense inclurait toutes les dimensions plus actives de l’action de l’entreprise lorsqu’elle agit avec l’environnement et notamment ses clients mais aussi le public, dans sa compétition économique avec les autres acteurs, dans ses liens enfin avec les différentes autorités publiques. Elle vise à agir sur l’environnement de façon à favoriser l’entreprise.
La cyberprotection est tournée vers l’intérieur, la cyberdéfense vers l’extérieur.
Aujourd’hui, la plupart des fournisseurs offrent des outils de cyberprotection. Très peu offrent des outils de cyberdéfense. En effet, la théorie de la cyberdéfense définit trois types d’agression : espionnage, sabotage et subversion. S’agissant de l’espionnage, il existe bien quelques outils de veille souvent mis en œuvre par les cabinets d’intelligence économique. Très souvent cependant, cette veille n’inclut pas une veille des cyberagressions. De plus la veille n’est pas du renseignement. Le renseignement sur ce segment cherche l’anticipation, l’information traitée où la valeur ajoutée, en particulier sur les menaces et les modes opératoires d’agression. Il n’existe pas d’outils de sabotage pour la simple raison que cette fonction est jugée illégale et que l’entreprise agit dans un cadre légal. Enfin, il n’existe que de rares offres de subversion : très souvent, elles sont assimilées à une nouvelle fonction marketing (community manager) ou à de la communication d’entreprise, très rarement à de vrais outils d’influence organisée.
Les acteurs publics sont de ce point de vue plus avancés. Ainsi, les États annoncent-ils la mise en place de « renseignement d’intérêt cyber », le développement de luttes informatiques offensives (qui demeurent toutefois secrètes), ils s’intéressent enfin à des « actions dans la couche sémantique » (je vous en reparlerai bientôt). L’entreprise n’a pas encore pris conscience de ce besoin. Les spécialistes de cyber protection n’ont pas non plus développé beaucoup d’offres en la matière.
Nous sommes ainsi en présence d’une lacune. Commencer par l’identifier (c’est le but de ce billet) contribuera à réfléchir aux moyens légaux de la combler, selon les trois types d’agression et dans les trois couches du cyberespace (physique, logique et sémantique).
S’agissant de la fonction renseignement, il convient que l’entreprise systématise sa collecte : données sur le marché, l’environnement légal, la veille technologique, l’action des concurrents, l’état des cyberagressions et des menaces. Ces différentes fonctions sont plus ou moins exercées, elles ne sont pas aujourd’hui intégrées, capitalisées et traitées par des analystes.
S’agissant de la fonction sabotage, une agression directe contre un concurrent sort du cadre légal. Toutefois, l’entreprise pourrait réfléchir aux moyens de développer des « pouvoirs de marché » pour entraver les actions des autres : que ce soit par des régimes d’exclusivité, par des bandes passantes, etc.
S’agissant de la fonction subversion, il reste encore beaucoup à faire pour aller au-delà de la simple fonction marketing et imaginer des actions plus offensives et indirectes, mais toujours légales.
Voici trois voies de recherche et de progression nécessaires pour développer une cyberdéfense de l’entreprise et contribuer à une cybersécurité plus intégrée et évidemment stratégique.
O. Kempf
Commentaires
Un billet qui suscite bien des interrogations...
La différence entre cyberprotection et cyberdéfense me paraît un peu artificielle, tout comme l'est d'ailleurs celle entre IE offensive et défensive puisqu'il est fait allusion à l'IE dans ce billet.
Peut-on se protéger sans se défendre et vice-versa ? Une sécurité efficace peut-elle ne prendre en compte que ce qui est intérieur à l'entreprise et négliger l'extérieur ? Ou l'inverse ?
Une telle distinction mène forcément à des conflits de compétence entre ceux qui s'occupent de l'intérieur et ceux qui traitent de l'extérieur, plus encore s'il s'agit de renseignement.
Et n'y a-t-il pas d'offres d'outils de cyberdéfense (espionnage, sabotage et subversion) simplement parce qu'ils n'y a pas d'outils équivalents utilisés par les entreprises dans le monde réel ? On peut identifier l'espionnage et la subversion, le seul moyen efficace de les contrer me semble être l'éradication de ceux qui s'y livrent, mais c'est illégal...
De plus, l'entreprise a-t-elle vraiment les moyens (humains, financiers, etc.) de lutter contre ces méfaits, sachant que les États n'y arrivent déjà pas ?
Pas d'outils de sabotage ? Stuxnet, peut-être. Mais peut-être est-il encore plus facile de saboter manuellement que de le cyber faire ?
Est-il utile de tenter de subvertir la direction d'une entreprise (la subversion -latin subvertere : renverser- désigne un processus par lequel les valeurs et principes d'un système en place, sont contredits ou renversés) alors qu'on peut plus facilement la corrompre ou la "renouveler" en achetant une majorité d'actions ?
Déjà sceptique sur la définition de la cyberdéfense proposée, je le suis encore plus dans son application à l'entreprise. L'entreprise n'a pas à exercer les mêmes fonctions qu'un État, même dans un cadre restreint.
C'est peut-être cette différence d'ailleurs, qui permettra que les États ne perdent pas tous leurs pouvoirs face à certaines entreprises que leur puissance financière a rendu boulimiques.