Vers des pratiques de cybersécurité prudentes, compréhensibles et responsables.
Le 19 juillet 2024, une panne mondiale catastrophique, surnommée dans les médias « Vendredi de l’écran bleu de la mort », s’est produite et a rendu des centaines de milliers de systèmes Microsoft Windows inopérants du fait d’une mise à jour défectueuse du fournisseur de cybersécurité CrowdStrike. Cet incident a eu des répercussions sur des services essentiels dans différents secteurs, de la banque aux transports en passant par les soins de santé et les médias, soulignant la fragilité de notre infrastructure numérique lorsque la cybersécurité est traitée comme une préoccupation purement technique et cloisonnée.
En tant qu’organisation dédiée à la promotion de pratiques de cybersécurité responsables et transparentes, Nord Ouvert estime que cette crise devrait être un signal d’alarme pour les gouvernements et la société civile. Pendant trop longtemps, l’état d’esprit dominant de la « sécurité par l’obscurité » a permis aux fournisseurs et aux entreprises de dissimuler leurs politiques de cybersécurité et leurs vulnérabilités derrière un voile de complexité technique. Cette opacité engendre la méfiance, entrave la collaboration et, en fin de compte, rend notre écosystème numérique plus vulnérable.
Aucun système n’est infaillible. La compétence est un élément clé qui doit aller de pair avec la transparence en matière de cybersécurité. De nouvelles menaces apparaissent et évoluent en permanence. La plupart des logiciels et du matériel utilisés par les gouvernements et la société civile sont construits par une myriade d’entreprises et d’acteurs dans des environnements fragmentés et souvent non coordonnés. Comme le montre l’incident du vendredi de l’écran bleu de la mort, les acteurs malveillants ne sont pas les seuls à pouvoir exploiter les vulnérabilités; des incidents peuvent également survenir de la part des fournisseurs de services de sécurité dans un paysage technologique en constante évolution. C’est pourquoi Nord Ouvert met l’accent sur les compétences en matière de cybersécurité, plutôt que sur la simple littératie. La littératie implique une prise d’information à sens unique. La compétence, en revanche, implique une capacité active, critique et créative d’apprendre, de s’adapter et d’aborder des questions complexes. Les compétences comprennent les aptitudes de base que les individus doivent posséder pour faire face aux risques liés à la cybersécurité, indépendamment de leur rôle ou de leurs capacités existantes.
L’incident du vendredi de l’écran bleu de la mort met en évidence les risques d’une confiance excessive dans des points de défaillance, et d’une externalisation des fonctions de sécurité critiques sans une surveillance adéquate et une planification de la résilience conforme à de bonnes politiques de gouvernance des données. Lorsque la mise à jour d’un fournisseur de cybersécurité peut faire tomber des systèmes à l’échelle mondiale, il est clair que le modèle actuel n’est pas viable. Nous devons défendre une approche plus équilibrée qui concilie l’expertise technique et les principes de prudence, de compréhensibilité et de responsabilité.
Une cybersécurité prudente implique une gestion holistique des risques, la participation de diverses parties prenantes à l’identification des actifs critiques et la prise en compte des risques de violation. Cela signifie qu’il faut investir dans des dispositifs de sauvegarde et de récupération appropriés, effectuer une surveillance rigoureuse et pratiquer régulièrement les mesures d’intervention à appliquer en cas d’incident. La prudence exige des organisations qu’elles sélectionnent les fournisseurs de sécurité tiers sur lesquelles elles s’appuient et qu’elles les tiennent pour responsables de leurs actes. La réaction des différents organismes et gouvernements à l’incident du vendredi de l’écran bleu de la mort montre qu’une panne de masse échappe souvent au contrôle immédiat de ces derniers, quelle que soit leur taille.
La compréhensibilité en matière de cybersécurité exige de rendre les politiques et les pratiques transparentes et accessibles à toutes les parties prenantes. Les concepts techniques doivent être traduits en termes opérationnels clairs. Les employés à tous les niveaux doivent recevoir une formation responsabilisante en matière de cybersécurité qui leur permette de signaler les problèmes. La compréhensibilité favorise une culture d’ouverture et de collaboration essentielle à une gestion efficace des risques.
La responsabilité implique de définir clairement les rôles et les devoirs en matière de cybersécurité au sein des organisations, avec des normes ex ante et ex post solides et des mesures de responsabilisation. Elle implique de cultiver des partenariats externes avec des pairs institutionnels, des collaborateurs de l’industrie et des agences gouvernementales afin de partager des informations sur les menaces et de coordonner les réponses. La responsabilité reconnaît que la cybersécurité est une obligation collective, et pas seulement une fonction des technologies de l’information (TI).
La cybersécurité pour tous
Chez Nord Ouvert, nous mettons en œuvre une approche d’atténuation des risques pour évaluer les besoins d’un partenaire en matière de cybersécurité. Il s’agit notamment de comprendre la nature du partenaire, d’évaluer sa taille, sa maturité technologique et sa capacité financière et de ressources. Chaque environnement de risque est différent; certaines organisations et petits gouvernements peuvent s’appuyer sur des fournisseurs informatiques tiers pour leurs opérations, tandis que d’autres peuvent avoir la capacité d’engager leur propre équipe. D’autres organisations peuvent être tenues par la loi de prendre des précautions supplémentaires pour protéger les données sensibles qu’elles traitent – telles que les données de santé ou les renseignements personnels privés.
Une fois les risques potentiels identifiés, nous travaillons en étroite collaboration avec les principales parties prenantes et les dirigeants des organisations partenaires et des gouvernements afin de recommander des mesures de contrôle, des politiques et des outils appropriés et raisonnables pour réduire la probabilité et l’impact des menaces et des attaques liées à la cybersécurité. La compétence est au cœur de notre travail; notre approche sur mesure et notre processus de collaboration permettent de développer les compétences et les connaissances nécessaires pour élaborer et mettre en œuvre une politique organisationnelle, acquérir les ressources et les outils appropriés et s’engager avec les fournisseurs de services informatiques et de cybersécurité afin d’équilibrer les ressources existantes avec les services nécessaires pour atténuer les risques liés à la cybersécurité.
Vers de meilleures pratiques en matière de cybersécurité
Les gouvernements et les fournisseurs de dispositifs de cybersécurité ont un rôle essentiel à jouer dans l’évolution vers un nouveau paradigme de cybersécurité prudent, compréhensible et responsable. Les décideurs politiques devraient exiger des fournisseurs de cybersécurité une plus grande transparence concernant leurs pratiques, et les tenir pour responsables en cas de négligence. Les règles de passation des marchés devraient obliger les fournisseurs à respecter des normes d’ouverture, de résilience et de responsabilité. Les régulateurs devraient également renforcer les exigences en matière de divulgation des incidents et des risques liés à la cybersécurité.
Parallèlement, les organisations de la société civile telles que Nord Ouvert peuvent continuer à défendre le droit du public à comprendre comment les données sont protégées et à pousser les entreprises à mettre l’accent sur la transparence et la responsabilité. Notre objectif est de favoriser les partenariats, le développement des capacités et l’échange d’informations entre les différents secteurs en matière de cybersécurité, connectant ainsi les silos qui sont si difficiles à démanteler. Il est essentiel que nous cultivions une nouvelle génération de dirigeants en matière de cybersécurité, qui adoptent des pratiques prudentes, compréhensibles et responsables.
La voie à suivre peut sembler intimidante, mais les risques de l’inaction sont trop élevés. L’incident du vendredi de l’écran bleu de la mort constitue un rappel frappant des perturbations en cascade qui peuvent se produire lorsque la cybersécurité est traitée telle une boîte noire. En adoptant un nouveau paradigme de cybersécurité responsable, transparente et inclusive, nous pouvons construire une infrastructure numérique plus résiliente, plus digne de confiance et plus durable. Il est temps d’agir, et ce, avant que le problème ne soit balayé sous le tapis des « incidents strictement techniques ».
Sources :
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
https://www.linkedin.com/pulse/paradox-transparency-cybersecurity-case-study-microsofts-bob-maley
https://enterprisedefence.com/blog/importance-transparent-cyber-attacks-safeguarding-organisations/
https://auth0.com/blog/cybersecurity-shouldnt-be-a-secret
https://noeticcyber.com/cyber-transparency-shining-a-light-on-security
https://www.pwc.com/us/en/executive-leadership-hub/ciso.html