Globalement la cybersécurité regroupe l’ensemble des problématiques et la cyberdéfense est un volet de la cybersécurité.

En matière de cybersécurité il y aura toujours derrière une notion de malveillance, une notion d’attaque. Je veux faire du mal à quelqu’un ou quelque chose, contrairement à la SSI²⁾, où on va plutôt être sur le registre du dysfonctionnement, de l’erreur ou de la négligence.

La cybersécurité, c’est la protection des données numériques (et rappelez-vous, nous sommes nous-mêmes en train de devenir des données numériques et nous valons ce que valent nos données). Si vous voulez une définition encore plus simple, alors cybersécurité = sécurité numérique.

Dans tous les cas, derrière la notion de cybersécurité, il y aura toujours un aspect de prévention, où on va essayer de prévenir les attaques.

Si l’on passe maintenant à la cyberdéfense, il y a d’abord une notion d’organisation: comment est-ce qu’on s’organise pour assurer la défense face à la menace cyber (technologies du numérique) et pour l’assurer correctement il faut un monitoring permanent de ses systèmes ou de son outil de production.

Donc avec la cyberdéfense, on va plutôt être dans la réaction: je suis attaqué, qu’est-ce que je fais face à l’attaque et comment je suis organisé pour réagir face à celle-ci.

• “Le monde se divise en deux catégories”, cette réplique culte du cinéma s'applique parfaitement en matière de cybersécurité. Il y a d’un côté des gens qui veulent vous attaquer, et ils sont de plus en plus nombreux, et de l’autre ceux qui veulent vous protéger. Dans le jargon, on parle de « black hats », les chapeaux noirs ou attaquants et les « white hats », les chapeaux blancs, ceux qui veulent vous protéger.

• Un truisme pour continuer : « Nous sommes sûrs de deux choses » :
  1. nous mourrons ;
  2. Nous avons, nous sommes et nous serons encore attaqués.

La cybersécurité constitue une nouvelle problématique qu'il nous faut appréhender et affronter. Face à une nouvelle problématique et la cybersécurité est clairement une problématique émergente, il y aura toujours trois étapes :

1. « c’est inutile » : La cybersécurité, je ne sais pas ce que c’est, je ne veux pas en entendre parler, ça m’embête, ça m’énerve, c’est un problème d’informaticiens, je ne veux pas le savoir.
2. « c’est dangereux » : je sais qu’il y a une menace, je sais qu’il y a un problème, mais je ne sais pas comment réagir, je ne sais pas comment m’organiser face à cette nouvelle menace;
3. « c’est évident » : j’ai compris qu’il y a un problème et je me suis organisé en conséquence. J’ai complètement intégré la cybersécurité dans mon process de travail.

Si l'on fait le parallèle avec la démarche qualité, il y a 30 ans, le problème de la qualité était considéré par les entreprises comme un facteur de lenteur qui ne servait à rien. Aujourd’hui la démarche qualité est complètement intégrée dans le process de nos entreprises.

C’est la même chose pour la cybersécurité, lorsqu’on regarde les entreprises en France, globalement les petites et moyennes entreprises sont en train de passer de « c’est inutile » à « c’est dangereux » et les grandes entreprises de « c’est dangereux » à « c’est évident ».

Enfin, par rapport aux trois étapes il faut avoir à l’esprit la notion de coût de la non-qualité. En simplifiant à l’extrême, ce coût de la non-qualité il faut l’évaluer à environ 10% d’un projet, parce que maintenant tout, absolument tout est numérique et possède un volet cybersécurité, qu’il faut bien prendre en compte dès la genèse, d’un nouveau projet.

◁ Précédent | ⌂ Sommaire | Suivant ▷