{ Tribune Expert } - Arrêtons de parler de « gestion des risques » en cybersécurité : parlons plutôt de « danger »

En cybersécurité, le terme « gestion des risques » est devenu un mantra. Pourtant cette approche donne une fausse impression de contrôle et de prévisibilité. Un risque se calcule, s'anticipe, se gère. Le danger, lui est immédiat et souvent incontrôlable. Face à des menaces toujours plus sophistiquées, parler de danger plutôt que de risque, c'est reconnaitre l'ampleur du problème et adopter une posture plus proactive.

Il ne s'agit pas seulement d'une question de sémantique : il s'agit d'un changement de mentalité et de stratégie dont nous avons besoin pour combattre des cybercriminels plus motivés et plus compétents que jamais. Ils ne font pas de probabilités, ils agissent et, trop souvent, ils gagnent. Il est temps que nous fassions de même. Nous devons considérer les menaces auxquelles nous sommes confrontés pour ce qu'elles sont : des dangers imminents qui exigent une action immédiate et décisive.

Lorsqu'il s'agit de se défendre contre les cyberattaques, les probabilités importent peu. Seule, l'action compte.

Les failles de la gestion des risques en cybersécurité

Le « risque » est devenu une béquille, un moyen pratique d'atténuer la réalité de des menaces. On l'emprunte à des secteurs comme l'assurance, mais la gestion des risques ne fonctionne pas dans notre domaine. Si les assureurs peuvent compter sur des probabilités pour prédire les résultats avec une précision raisonnable, la cybersécurité n'est pas au même niveau.

Les cybermenaces ne sont pas des pronostics abstraits, mais des dangers imminents alimentés par des attaquants motivés. La gestion des risques invite à accepter, transférer ou atténuer les risques, mais ces réponses échouent face à des adversaires qui agissent avec intention et imprévisibilité. Le pire défaut de la gestion des risques est sa question implicite : « Quel montant êtes-vous prêt à perdre ? »

En pratique, cependant, la gestion des risques peut finir par inciter à l'inaction. Nous baissons les bras, acceptons le risque et partons du principe que les cyberattaques dévastatrices sont inévitables.

Atténuer les risques coûte cher, et les organisations peuvent donc choisir de les accepter. Cela crée une culture où les technologies et processus vulnérables sont autorisés à perdurer si cela semble moins coûteux qu'une éventuelle violation.

Encore une fois, cet état d'esprit est très courant en matière d'assurance, où il constitue souvent un moyen parfaitement raisonnable de gérer les coûts. Mais la différence fondamentale en cybersécurité réside dans le fait que la gestion des risques suppose que l'attaquant se comportera de manière prévisible. Face à un adversaire compétent et déterminé, on ne peut jamais être certain des ruses qu'il utilisera lors d'une attaque, ni de la portée de ses résultats lorsqu'il parviendra à compromettre le réseau.

Pour protéger les organisations, il faut abandonner la logique erronée de la gestion des risques et adopter un état d'esprit qui traite chaque menace comme un danger immédiat nécessitant une action immédiate.

Pourquoi la gestion des dangers est l'avenir

L'un de mes exemples de gestion du danger en action est la préparation militaire, où le succès repose sur la rapidité, la discipline et la persévérance. En cybersécurité, nous sommes confrontés à des adversaires qui n'attendent pas nos évaluations des risques. Ils agissent souvent avec précision et détermination. Traiter les cybermenaces comme des dangers modifie notre façon de réagir, avec la rapidité et la détermination nécessaires pour faire face aux menaces imminentes.

Une stratégie Zero Trust est l'un des moyens les plus efficaces de mettre en pratique la gestion du danger. Comme je le préconise depuis plus de dix ans, après avoir créé ce concept, le Zero Trust part du principe que chaque interaction peut être compromise. Il n'existe aucune probabilité que le risque guide l'action - c'est un véritable dilemme. À tout moment, la probabilité d'une attaque est à la fois de 0 et de 100 %. La vigilance est essentielle.

J'ai récemment discuté avec un membre du conseil d'administration d'une entreprise qui siégeait à son comité des risques. Dans le rapport annuel du DSI, le conseil d'administration a été informé que le risque de subir une attaque majeure était faible. Interrogé sur les mesures prises pour réduire ce risque au cours de l'année écoulée, il a répondu « rien ». Le membre du conseil a ensuite demandé comment il pouvait faire une telle déclaration, ce à quoi le DSI a répondu que le risque avait été réduit « grâce à la baisse de notre prime d'assurance cyber ». Incroyable.

Passer à la gestion des dangers ne se résume pas à un simple Ctrl+F sur tous les documents de politique. Il s'agit d'un changement culturel et opérationnel. En traitant les cybermenaces comme des dangers, nous créons un sentiment d'urgence qui fait souvent défaut aux plus hautes sphères décisionnelles du secteur - et c'est la seule façon de rester en phase avec des attaquants de plus en plus sophistiqués et déterminés.

En cybersécurité, continuer à parler de « gestion des risques » revient à sous-estimer la réalité de la menace. Un risque on l'évalue et on l'accepte, un danger, on le combat.

Adopter le bon langage, c'est déjà adopter la bonne posture et agir !

* John Kindervag est évangéliste en chef chez Illumio