De la difficulté d’acheter du temps
En cette année 2022 naissante, et avec le cortège de bonnes résolutions qui l’accompagne, j’ai repensé au constat que l’on a fait sur 2021 : beaucoup des responsables de la cybersécurité que nous avons rencontrés manquent de temps. Voilà. Ils ne manquent pas de technologie (l’offre du moment est pléthorique). Ils manquent de temps et le temps c’est de l’argent … et c’est cohérent puisqu’ils manquent des deux.
Il y a eu une grande révolution culturelle opérée depuis le début des années 2010 sur la gouvernance de la sécurité. Nous avons eu la chance en France d’être au point sur cette dernière et même en avance par rapport à certains autres pays. Mais à bien y regarder, beaucoup de mailles de notre tissu économique sont restées sur la touche. L’accélération des attaques, le degré sans cesse croissant de leur raffinement et les dommages causés grandissant, tout cela rend aujourd’hui particulièrement pénible ce que l’on appellera la dette de cybersécurité.
Petite parenthèse.
Nous avons tous regardé des sports collectifs (à télé, sur le bord d’un terrain etc…) et qu’y avons-nous vu ? Un entraîneur, un coach (rayez la mention inutile) au bord dudit terrain. Ce dernier dispose d’un point de vue unique sur ce qui se passe sur le terrain. Il regarde et analyse le comportement de son équipe et prend des décisions en fonction de cela. Aucun des joueurs sur le terrain, pris dans l’action et privé de cette vue globale, ne peut se targuer d’avoir ce niveau de recul et de compréhension (bon si on chipote on trouvera toujours quelques cadors qui y arrivent). Ainsi, donnant ses consignes depuis le bord du terrain, le coach vérifie la bonne prise en compte de ces dernières, leurs effets et en fonction, corrige le tir.
Oui, vous m’avez vu arriver avec mes gros sabots. Ce que fait le coach c’est du PDCA (aka la Roue de Deming). Le “Plan-Do-Check-Act” c’est la base de toute gouvernance de la sécurité.
Et même avant le match, le coach-entraîneur prend le temps d’analyser le système de jeu de l’équipe adverse : les forces, les faiblesses, les stratégies. Le système de jeu de sa propre équipe va se faire en fonction. Et oui, là aussi vous m’avez vu venir, c’est de la gouvernance.
Le problème aujourd’hui, et pour revenir au propos de départ, c’est que les responsables de la cybersécurité que nous croisons sont sur le terrain et pas à côté. Il faut voir cela comme une équipe qui prend doit se confronter à des équipes de plus en plus fortes et qui n’aurait pas le temps de se trouver un coach ou de prendre un de ces joueurs et de le nommer coach.
En vrai le problème est surtout que les dirigeants du club prennent un joueur de l’équipe (dont la légitimité n’est pas ici à questionner) et lui demandent de faire coach … tout en restant sur le terrain. Il se retrouve donc, ce joueur, à devoir s’entrainer, animer les entrainements, se préparer physiquement, préparer la stratégie, préparer son équipe, et pendant le match, donner les consignes. On est tous d’accord (si vous ne l’êtes pas faites le moi savoir) que ça ne marchera pas : à trop vouloir en faire, rien ne sera fait correctement : ni du point de vue du jeu sur le terrain, ni du point de vue du coaching.
Alors la seule solution recevable est la suivante : On introduit un joueur extérieur dans l’équipe et on permet au joueur choisi par les dirigeants du club de prendre du recul. On lui permet de faire tout ce travail d’analyse, de gouvernance, d’études qui permettront à son club de briller.
Du point de vue d’une entreprise devant garantir sa propre création de valeur, on peut envisager que ce joueur que l’on place au poste de coach saura garantir, par sa connaissance de l’entreprise elle-même, la disponibilité et l’efficacité de sa production au moment de mettre sa sécurité à niveau. Et ce choix, surtout dans un moment économique compliqué, fait entièrement sens. Par contre, le joueur que l’on fait entrer sur le terrain, lui, doit être un hyper spécialiste de son poste. Un pro, quelqu’un d’aguerri, de compétent, d’efficace et quelqu’un de fiable.
Si nous voulons permettre aux responsables de la cybersécurité de prendre ce pas de côté, ce recul, ce temps qui permet de réaliser les activités nécessaires, nous permettons aux organisations de connaître :
- La menace
- Les risques
- Les priorités, etc…
Et sur cette base pourra être enfin construite la stratégie de cyber à mettre en place (le framework, la méthode, les KPI etc…). Et on ne pourra réaliser cela sereinement que si des experts garantissent un niveau maximum de protection pendant ce pas de côté. Ces experts, des hyper spécialistes, doivent mettre à disposition de l’organisation une défense efficace, une veille active et permanente sur la menace en lieu et place des équipes de l’organisation de manière à garantir la sérénité de cette dernière le temps de la mise en place d’une vraie politique de défense cyber. Et peut-être, une fois le tout mis en place sera-t-il décidé de ne plus faire appel à ces experts externes car la stratégie de défense mise en place suffira.
Nous avons conçu chez F-Secure le service Countercept dans cette idée d’être hyper spécialisé dans ces activités de défense et de veille afin d’aider nos clients à divers moments de la vie de leurs organisations, la prise de recul faisant partie de ceux là. De plus, notre puissance de Threat Intelligence et nos activités de Threat Hunting ont pour vocation de compléter une démarche de défense active par une valeur ajoutée pour la posture de sécurité. Donc fournir l’effort humain et technologique de cyber défense nous permet d‘aider nos clients à prendre le recul, se concentrer sur leurs métier et leur chaine de valeur.
Alors au titre de la sérénité que l’on aimerait atteindre en 2022, au titre des bonnes résolutions de cette année naissante, au titre de l’activité et du développement de votre organisation, vous devez avoir le droit de dormir sur vos deux oreilles.
Catégories