Vers des pratiques de cybers\u00e9curit\u00e9 prudentes, compr\u00e9hensibles et responsables.<\/p>\n\n\n\n
Le 19 juillet 2024, une panne mondiale catastrophique, surnomm\u00e9e dans les m\u00e9dias \u00ab Vendredi de l\u2019\u00e9cran bleu de la mort \u00bb, s’est produite et a rendu des centaines de milliers de syst\u00e8mes Microsoft Windows inop\u00e9rants du fait d’une mise \u00e0 jour d\u00e9fectueuse du fournisseur de cybers\u00e9curit\u00e9 CrowdStrike. Cet incident a eu des r\u00e9percussions sur des services essentiels dans diff\u00e9rents secteurs, de la banque aux transports en passant par les soins de sant\u00e9 et les m\u00e9dias, soulignant la fragilit\u00e9 de notre infrastructure num\u00e9rique lorsque la cybers\u00e9curit\u00e9 est trait\u00e9e comme une pr\u00e9occupation purement technique et cloisonn\u00e9e.<\/p>\n\n\n\n
En tant qu’organisation d\u00e9di\u00e9e \u00e0 la promotion de pratiques de cybers\u00e9curit\u00e9 responsables et transparentes, Nord Ouvert estime que cette crise devrait \u00eatre un signal d’alarme pour les gouvernements et la soci\u00e9t\u00e9 civile. Pendant trop longtemps, l’\u00e9tat d’esprit dominant de la \u00ab s\u00e9curit\u00e9 par l’obscurit\u00e9 \u00bb a permis aux fournisseurs et aux entreprises de dissimuler leurs politiques de cybers\u00e9curit\u00e9 et leurs vuln\u00e9rabilit\u00e9s derri\u00e8re un voile de complexit\u00e9 technique. Cette opacit\u00e9 engendre la m\u00e9fiance, entrave la collaboration et, en fin de compte, rend notre \u00e9cosyst\u00e8me num\u00e9rique plus vuln\u00e9rable.<\/p>\n\n\n\n
Aucun syst\u00e8me n’est infaillible. La comp\u00e9tence est un \u00e9l\u00e9ment cl\u00e9 qui doit aller de pair avec la transparence en mati\u00e8re de cybers\u00e9curit\u00e9. De nouvelles menaces apparaissent et \u00e9voluent en permanence. La plupart des logiciels et du mat\u00e9riel utilis\u00e9s par les gouvernements et la soci\u00e9t\u00e9 civile sont construits par une myriade d’entreprises et d’acteurs dans des environnements fragment\u00e9s et souvent non coordonn\u00e9s. Comme le montre l’incident du vendredi de l\u2019\u00e9cran bleu de la mort, les acteurs malveillants ne sont pas les seuls \u00e0 pouvoir exploiter les vuln\u00e9rabilit\u00e9s; des incidents peuvent \u00e9galement survenir de la part des fournisseurs de services de s\u00e9curit\u00e9 dans un paysage technologique en constante \u00e9volution. C’est pourquoi Nord Ouvert met l’accent sur les comp\u00e9tences en mati\u00e8re de cybers\u00e9curit\u00e9, plut\u00f4t que sur la simple litt\u00e9ratie. La litt\u00e9ratie implique une prise d’information \u00e0 sens unique. La comp\u00e9tence, en revanche, implique une capacit\u00e9 active, critique et cr\u00e9ative d’apprendre, de s’adapter et d’aborder des questions complexes. Les comp\u00e9tences comprennent les aptitudes de base que les individus doivent poss\u00e9der pour faire face aux risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9, ind\u00e9pendamment de leur r\u00f4le ou de leurs capacit\u00e9s existantes.<\/p>\n\n\n\n
L’incident du vendredi de l\u2019\u00e9cran bleu de la mort met en \u00e9vidence les risques d’une confiance excessive dans des points de d\u00e9faillance, et d’une externalisation des fonctions de s\u00e9curit\u00e9 critiques sans une surveillance ad\u00e9quate et une planification de la r\u00e9silience conforme \u00e0 de bonnes politiques de gouvernance des donn\u00e9es. Lorsque la mise \u00e0 jour d’un fournisseur de cybers\u00e9curit\u00e9 peut faire tomber des syst\u00e8mes \u00e0 l’\u00e9chelle mondiale, il est clair que le mod\u00e8le actuel n’est pas viable. Nous devons d\u00e9fendre une approche plus \u00e9quilibr\u00e9e qui concilie l’expertise technique et les principes de prudence, de compr\u00e9hensibilit\u00e9 et de responsabilit\u00e9.<\/p>\n\n\n\n
Une cybers\u00e9curit\u00e9 prudente implique une gestion holistique des risques, la participation de diverses parties prenantes \u00e0 l’identification des actifs critiques et la prise en compte des risques de violation. Cela signifie qu’il faut investir dans des dispositifs de sauvegarde et de r\u00e9cup\u00e9ration appropri\u00e9s, effectuer une surveillance rigoureuse et pratiquer r\u00e9guli\u00e8rement les mesures d’intervention \u00e0 appliquer en cas d’incident. La prudence exige des organisations qu’elles s\u00e9lectionnent les fournisseurs de s\u00e9curit\u00e9 tiers sur lesquelles elles s\u2019appuient et qu’elles les tiennent pour responsables de leurs actes. La r\u00e9action des diff\u00e9rents organismes et gouvernements \u00e0 l’incident du vendredi de l\u2019\u00e9cran bleu de la mort montre qu’une panne de masse \u00e9chappe souvent au contr\u00f4le imm\u00e9diat de ces derniers, quelle que soit leur taille.<\/p>\n\n\n\n
La compr\u00e9hensibilit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9 exige de rendre les politiques et les pratiques transparentes et accessibles \u00e0 toutes les parties prenantes. Les concepts techniques doivent \u00eatre traduits en termes op\u00e9rationnels clairs. Les employ\u00e9s \u00e0 tous les niveaux doivent recevoir une formation responsabilisante en mati\u00e8re de cybers\u00e9curit\u00e9 qui leur permette de signaler les probl\u00e8mes. La compr\u00e9hensibilit\u00e9 favorise une culture d’ouverture et de collaboration essentielle \u00e0 une gestion efficace des risques.<\/p>\n\n\n\n
La responsabilit\u00e9 implique de d\u00e9finir clairement les r\u00f4les et les devoirs en mati\u00e8re de cybers\u00e9curit\u00e9 au sein des organisations, avec des normes ex ante et ex post solides et des mesures de responsabilisation. Elle implique de cultiver des partenariats externes avec des pairs institutionnels, des collaborateurs de l’industrie et des agences gouvernementales afin de partager des informations sur les menaces et de coordonner les r\u00e9ponses. La responsabilit\u00e9 reconna\u00eet que la cybers\u00e9curit\u00e9 est une obligation collective, et pas seulement une fonction des technologies de l’information (TI).<\/p>\n\n\n\n
Chez Nord Ouvert, nous mettons en \u0153uvre une approche d’att\u00e9nuation des risques pour \u00e9valuer les besoins d’un partenaire en mati\u00e8re de cybers\u00e9curit\u00e9. Il s’agit notamment de comprendre la nature du partenaire, d’\u00e9valuer sa taille, sa maturit\u00e9 technologique et sa capacit\u00e9 financi\u00e8re et de ressources. Chaque environnement de risque est diff\u00e9rent; certaines organisations et petits gouvernements peuvent s’appuyer sur des fournisseurs informatiques tiers pour leurs op\u00e9rations, tandis que d’autres peuvent avoir la capacit\u00e9 d’engager leur propre \u00e9quipe. D’autres organisations peuvent \u00eatre tenues par la loi de prendre des pr\u00e9cautions suppl\u00e9mentaires pour prot\u00e9ger les donn\u00e9es sensibles qu’elles traitent – telles que les donn\u00e9es de sant\u00e9 ou les renseignements personnels priv\u00e9s. <\/p>\n\n\n\n
Une fois les risques potentiels identifi\u00e9s, nous travaillons en \u00e9troite collaboration avec les principales parties prenantes et les dirigeants des organisations partenaires et des gouvernements afin de recommander des mesures de contr\u00f4le, des politiques et des outils appropri\u00e9s et raisonnables pour r\u00e9duire la probabilit\u00e9 et l’impact des menaces et des attaques li\u00e9es \u00e0 la cybers\u00e9curit\u00e9. La comp\u00e9tence est au c\u0153ur de notre travail; notre approche sur mesure et notre processus de collaboration permettent de d\u00e9velopper les comp\u00e9tences et les connaissances n\u00e9cessaires pour \u00e9laborer et mettre en \u0153uvre une politique organisationnelle, acqu\u00e9rir les ressources et les outils appropri\u00e9s et s’engager avec les fournisseurs de services informatiques et de cybers\u00e9curit\u00e9 afin d’\u00e9quilibrer les ressources existantes avec les services n\u00e9cessaires pour att\u00e9nuer les risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9. <\/p>\n\n\n\n
Vers de meilleures pratiques en mati\u00e8re de cybers\u00e9curit\u00e9<\/strong><\/p>\n\n\n\n Les gouvernements et les fournisseurs de dispositifs de cybers\u00e9curit\u00e9 ont un r\u00f4le essentiel \u00e0 jouer dans l’\u00e9volution vers un nouveau paradigme de cybers\u00e9curit\u00e9 prudent, compr\u00e9hensible et responsable. Les d\u00e9cideurs politiques devraient exiger des fournisseurs de cybers\u00e9curit\u00e9 une plus grande transparence concernant leurs pratiques, et les tenir pour responsables en cas de n\u00e9gligence. Les r\u00e8gles de passation des march\u00e9s devraient obliger les fournisseurs \u00e0 respecter des normes d’ouverture, de r\u00e9silience et de responsabilit\u00e9. Les r\u00e9gulateurs devraient \u00e9galement renforcer les exigences en mati\u00e8re de divulgation des incidents et des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n Parall\u00e8lement, les organisations de la soci\u00e9t\u00e9 civile telles que Nord Ouvert peuvent continuer \u00e0 d\u00e9fendre le droit du public \u00e0 comprendre comment les donn\u00e9es sont prot\u00e9g\u00e9es et \u00e0 pousser les entreprises \u00e0 mettre l\u2019accent sur la transparence et la responsabilit\u00e9. Notre objectif est de favoriser les partenariats, le d\u00e9veloppement des capacit\u00e9s et l\u2019\u00e9change d\u2019informations entre les diff\u00e9rents secteurs en mati\u00e8re de cybers\u00e9curit\u00e9, connectant ainsi les silos qui sont si difficiles \u00e0 d\u00e9manteler. Il est essentiel que nous cultivions une nouvelle g\u00e9n\u00e9ration de dirigeants en mati\u00e8re de cybers\u00e9curit\u00e9, qui adoptent des pratiques prudentes, compr\u00e9hensibles et responsables.<\/p>\n\n\n\n La voie \u00e0 suivre peut sembler intimidante, mais les risques de l’inaction sont trop \u00e9lev\u00e9s. L’incident du vendredi de l\u2019\u00e9cran bleu de la mort constitue un rappel frappant des perturbations en cascade qui peuvent se produire lorsque la cybers\u00e9curit\u00e9 est trait\u00e9e telle une bo\u00eete noire. En adoptant un nouveau paradigme de cybers\u00e9curit\u00e9 responsable, transparente et inclusive, nous pouvons construire une infrastructure num\u00e9rique plus r\u00e9siliente, plus digne de confiance et plus durable. Il est temps d’agir, et ce, avant que le probl\u00e8me ne soit balay\u00e9 sous le tapis des \u00ab incidents strictement techniques \u00bb.<\/p>\n\n\n\n Sources <\/strong>:<\/p>\n\n\n\n https:\/\/blog.qualys.com\/vulnerabilities-threat-research\/2024\/07\/19\/global-outage-alert-windows-bsod-crisis-following-crowdstrike-update-recovery-steps-qualys-assurance<\/a><\/p>\n\n\n\n https:\/\/www.theverge.com\/2024\/7\/19\/24201717\/windows-bsod-crowdstrike-outage-issue<\/a><\/p>\n\n\n\n https:\/\/www.imf.org\/en\/Blogs\/Articles\/2024\/04\/09\/rising-cyber-threats-pose-serious-concerns-for-financial-stability<\/a><\/p>\n\n\n\n https:\/\/www.nist.gov\/blogs\/cybersecurity-insights\/importance-transparency-fueling-trust-and-security-through<\/a><\/p>\n\n\n\n https:\/\/www.linkedin.com\/pulse\/paradox-transparency-cybersecurity-case-study-microsofts-bob-maley<\/a><\/p>\n\n\n\n https:\/\/www.forbes.com\/sites\/forbestechcouncil\/2022\/11\/08\/coming-clean-why-cybersecurity-transparency-is-a-strength-not-a-weakness<\/a><\/p>\n\n\n\n https:\/\/enterprisedefence.com\/blog\/importance-transparent-cyber-attacks-safeguarding-organisations\/<\/a><\/p>\n\n\n\n https:\/\/auth0.com\/blog\/cybersecurity-shouldnt-be-a-secret<\/a><\/p>\n\n\n\n https:\/\/noeticcyber.com\/cyber-transparency-shining-a-light-on-security<\/a><\/p>\n\n\n\n