Collaborer n’est plus une option !

La cybermenace n’est pas une vue de l’esprit et elle ne se discute plus comme une hypothèse mais comme une certitude. La catastrophe s’impose tous les jours, à grand renfort de publications fracassantes : data breach, spear phishing, ransomwares et de déclarations de crise lénifiantes : « Nous avons la situation sous contrôle et nous investiguons », « Nous avons fait appel aux meilleurs experts », « La mesure de l’impact montre que l’entreprise n’est pas touchée dans ses œuvres vives », « Aucune donnée n’a été impactée ».

Les entreprises ont bien entendu ajouté le risque de cyber-attaque dans leur panel de gouvernance. Elles ont engagé une réforme d’organisation et recruté des profils adaptés incluant des responsables chargés de défendre, le plus souvent associés à des équipes d’experts, les informations et les actifs contre ces cybermenaces.

Le RSSI est, au sein de son entreprise et de son organisation privée ou publique, le principal référent en matière de cybersécurité, celui vers qui tout le monde se tourne. Il porte la responsabilité de comprendre les menaces, définir les stratégies adéquates, mettre en œuvre les bonnes tactiques et parfois diriger les opérations pour préserver son entreprise ou son entité du risque cyber.

Certes, les éditeurs de solutions, les fournisseurs et les experts du domaine ont élaboré des outils techniques permettant de répondre aux enjeux, un processus de certification et de labellisation permettant même de qualifier les solutions les plus fiables pour un usage militaire, étatique ou correspondant aux catégories d’entreprise susceptibles de participer à la résilience de la nation. Enfin, pour certains dans une approche collective, des normes, des bonnes pratiques, des méthodes et des standards sont devenus de fait des incontournables.

Chacun ayant conscience du risque, ayant pris la mesure de la menace, ayant mis en œuvre (autant que possible) les meilleures pratiques, tout serait-il donc parfait ?

Tout devrait être parfait et tendre à la perfection comme le geste d’un artisan qui au fil du temps s’affine et atteint l’excellence. Malheureusement ce n’est pas le cas. Dans un environnement compétitif qui devient mondial et se durcit, crise après crise, la situation évolue et, parmi d’autres points de faiblesse donnant prise aux cyber menaces, les entreprises se complexifient, s’agrandissent ou fusionnent, leur vigilance peut baisser, leur appétence au risque être trop élevée, les outils informatiques devenir obsolètes (ne sont pas toujours fiables mais de plus en plus souvent vulnérables).

A l’instar de la ligne Maginot qui n’a pas eu l’effet décisif attendu et dans cet environnement en évolution, la politique de sécurité la plus affutée, les meilleures pratiques, les outils de sécurité les plus innovants et les équipes les plus expertes ne suffisent plus. Il n’y a qu’à voir l’actualité pour comprendre que cela est nécessaire, mais pas suffisant.

Si les moyens, outils et méthodes traditionnels ne suffisent plus, alors il convient de changer de posture et de paradigme pour adopter de nouvelles méthodes plus collaboratives.

La collaboration en matière de cybersécurité n’est pas une idée nouvelle. Guillaume Poupard, Directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) a appelé à de très nombreuses reprises à une collaboration en matière de cybersécurité. C’était le cas à Monaco lors des Assises de la Sécurité 2017 avec son discours « Agir ensemble », appel réitéré lors de cette même manifestation en 2018 « Anticiper pour ne plus subir ».

Le Président de la République, Emmanuel Macron, a enfoncé le clou et lancé l’Appel de Paris pour la confiance et la sécurité dans le cyberespace en novembre 2018 à l’occasion de la réunion à l’UNESCO du Forum de gouvernance de l’Internet (FGI).

Cette notion apparaît aussi dans le rapport « Cybermenace : avis de tempête » publié en novembre 2018 par l’Institut Montaigne qui souligne « un besoin vital de coopération et de solidarité entre acteurs privés d’une part, et publics d’autre part ».

Enfin, Guillaume Poupard a formellement renouvelé et élargi son propos à un engagement collectif lors du FIC (Forum International de la Cybersécurité) en janvier 2019.

Un proverbe africain dit : « Il faut tout un village pour élever un enfant ». L’idée est lancée et le principe est là : collaborer pour se protéger du risque cyber alors que les entreprises sont isolées face à une menace diffuse, omniprésente et pouvant à tout moment impacter l’outil de production.

Les agresseurs se partagent des codes malveillants, se vendent des services d’attaque, en bref collaborent déjà entre eux.

C’est aussi un principe utilisé dans les programmes de lanceurs d’alerte ou de bug bounty. Celui qui connaît une vulnérabilité informe la potentielle victime ou une organisation tierce de confiance.

C’est désormais également le cas du Cyber Campus où les grands éditeurs et sociétés de services cyber se regroupent.

CIX-A propose depuis 3 ans une manière complémentaire d’aborder la cybersécurité. Ensemble.

La collaboration n’a évidemment pas pour objectif de remplacer toutes les méthodes traditionnelles qui, rappelons-le, sont absolument indispensables, ni de faire contribuer directement une entreprise à la protection d’une autre qui serait plus faible.

Elle a pour objectif, dans un cercle de confiance, de partager des informations essentielles opérationnelles ou tactiques des analyses tactiques ou stratégiques, qu’on ne partage habituellement pas et qui par conséquent ne bénéficient qu’à ceux qui les détiennent, pour prévenir, détecter, remédier et améliorer la résilience d’une entreprise et de son périmètre étendu contre les cyberattaques.

Dans ses grands principes, choisir de rejoindre CIX-A c’est choisir :

• D’être acteur et de changer de paradigme pour s’engager et répondre présent aux enjeux d’aujourd’hui en matière de cybersécurité,
• D’agir ensemble et de tracer de nouvelles voies pour contribuer à améliorer la situation du cyberespace et les capacités de chacun des membres,
• De bâtir un cercle de confiance et de construire des outils de collaboration pour relever le défi de partager des informations essentielles pour se défendre contre les cyberattaques.

C’est un projet qui permet aussi de partager ses points forts, faire progresser techniquement chacun des membres et leur permettre de partager l’information nécessaire au sein de leur supply chain.

Depuis notre création, nous avons outillé les canaux d’échanges, le partage des données opérationnelles (indicateurs, chemins d’attaque, opportunité de détection), moyens tactiques (outillages, méthodes et procédures) et stratégiques et travaillé ensemble pour la cyberdéfense de chacun de nos membres.