Stop aux prédictions, mieux vaut se poser les bonnes questions !

décembre 2023 par Morgan Wright, Chief Security Advisor chez SentinelOne

La saison des prédictions est à nouveau ouverte. Les professionnels de tous les secteurs d’activité travaillent, en effet, d’arrache-pied pour fournir des informations sur ce qui nous attend en 2024 et sur la manière de s’y préparer. Pourtant, au fil des années, il apparaît clairement que les prédictions sont rarement nouvelles et ne sont que des variations sur un même thème. Désormais, il suffit d’insérer ses prévisions dans des textes prêts à l’emploi et le tour est joué.

La cybersécurité n’échappe pas à ce travers avec ses projections souvent prévisibles :

En réalité, les prédictions ne servent qu’à indiquer le quoi et le comment. Peu d’entre elles se concentrent sur le quand, le où, le pourquoi et le qui – qui sont pourtant essentiels.

Albert Einstein a déclaré : « Si j’avais une heure pour résoudre un problème et que ma vie dépendait de la solution, je passerais les 55 premières minutes à déterminer la bonne question à se poser. En effet, une fois que je la connais, je peux résoudre le problème en moins de cinq minutes ».

Ses propos sont tout à fait appropriés au domaine de la cybersécurité. Voici quatre questions que devraient se poser toutes les entreprises, pour affronter l’évolution rapide du paysage des menaces :

1. Disposons-nous des connaissances nécessaires pour comprendre correctement le risque ?

Selon un article paru dans le magazine Information Security, le Wall Street Journal a constaté que seuls 2,3 % des membres des conseils d’administration des entreprises du S&P 500 ont une expérience en matière de cybersécurité. Il faut faire preuve d’humilité et ne pas hésiter à demander de l’aide.

2. Nos employés peuvent-ils être manipulés ?

C’est ce qu’a fait Lapsus$, le célèbre groupe de hackers. « …Microsoft affirme que le groupe a obtenu un accès initial de diverses manières, notamment en payant les employés des entreprises ciblées, ou leurs fournisseurs ou partenaires commerciaux, pour avoir accès aux informations d’identification et à l’approbation de l’authentification multifactorielle ». Les hackers n’ont pas besoin d’entrer par effraction lorsqu’ils peuvent passer par l’entrée principale. Il est donc essentiel de mettre les bouchées doubles en matière d’outils et de formations sur la conformité pour parer à cette éventualité.

3. Quel est le moyen le plus étrange utilisé par un cybercriminel pour accéder aux données ?

Combien de fois avons-nous entendu cette expression : "Thinking out of the box (sortir des sentiers battus)" Norman Maier, psychologue industriel américain, est à l’origine de cette expression. En 1930, il a constaté que moins de 5% des étudiants de premier cycle soumis au « problème des neuf points » (qui consiste à relier, sans lever le crayon, les neuf points à l’aide de seulement quatre traits droits qui se touchent) avait trouvé la solution. En effet, la plupart d’entre eux étaient enfermés par le cadre qui leur était imposé et ne jugeaient pas la situation dans son ensemble. Il est donc important de créer un environnement dans lequel l’innovation est encouragée afin d’aider les équipes à voir plus loin et à se projeter dans l’avenir.

4. Faut-il s’attaquer aux menaces les plus importantes ou seulement aux plus urgentes ?

Dwight Eisenhower, l’architecte de l’opération Overlord lors de la Seconde Guerre mondiale, avait une philosophie simple. « J’ai deux types de problèmes : les urgents et les importants. Les problèmes urgents ne sont, en général, pas importants, et les problèmes importants ne sont jamais urgents. ». Son processus décisionnel était explicite : ce qui est urgent doit être effectué le plus rapidement possible, pour éviter des conséquences néfastes et souvent irréversibles. A l’inverse, ce qui est important doit évidemment être fait, mais la réalisation de ces tâches se prévoit à long terme, afin de répondre à des objectifs précis. En définitive, l’idée est de mieux s’organiser pour gagner en priorité. A méditer !

En matière de cybersécurité, il est difficile de prédire ce qui se passera dans les 30 prochaines secondes, alors encore moins dans l’année à venir. A défaut de proposer un flot continu de prédictions pour la fin de l’année, pourquoi ne pas plutôt commencer à se poser les bonnes questions afin d’identifier les lacunes en matière de réflexion et ainsi trouver les bonnes réponses ?