Cyberunited Manifesto

Why this manifesto

Despite a recent upturn in investments and greater public awareness, issues related to cyber are still poorly controlled. For many, it is today a true source of concern: individuals with regards to how they control their private data, businesses and insurance companies unsure about respective responsibilities [Mondelez vs Zurich], or political leaders dealing with foreign interference [U.S. presidential electionsMacron leaks]. The stakes are already high and the transformations will only get bigger: 

  • the digitalization of all economic sectors (services, industry, finance, energy, smart cars, chemistry) and public services (transport, health, media…);
  • the generalization of cutting edge technologies: the cloud, IoT, 5G, AI, drones and robotics;
  • the growing potential of cyberspace to be leveraged as a tool of diplomatic influence;
  • the emergence of cyber-related military interest and threats, as well as the duality of military/civil technology (which is partly open-source) leading to new and increasing threats from parastatal groups, criminals and even terrorists.  

Although “cyber risks” already exist today and are taken into account as part of other types of risks (such as ERM, non-compliance or operational, industrial or fraud risks), tomorrow they will have to be better analyzed and managed with new methods and new tools to achieve a high level of control.  For instance, despite the technological complexity at play, everyone will want to travel safely on autonomous trains and vehicles, which all depend on a solid and up-to-date cyber security system. We must therefore act today. We owe it to our children who will want to live in a safe environment. We can’t rely solely on State intervention, or on international relations or on economic forces because each player has specific interests and constraints. We need to pool our skills and involve everyone.

Les leviers d’action

Nous, signataires du présent Manifeste Cyberunited, sommes convaincus que :

  1. Cyber exceeds computer security. It concerns all the risks associated with the digital aspects of our lives, whether at work or at home, in school, in transportation or in leisure. The cyber issue requires first and foremost a “digital” security, particularly with personal data. But, as the France financial sector authority had already understood in 2017 in the financial area, it also means ensuring “physical” security, with regards to different means of autonomous and non-autonomous modes of transportation (trains, cars, trucks, etc.) or smart cities or connected armed forces. This issue has been present at least since 1994 with the attacks of US hacker Kevin Mitnick, and it was present earlier still in the field of economic intelligence.. Cyber is everywhere.
  2. Cyber requires technical skills as well as businesses skills. Indeed cyber-attackers now combine high technical skills with in-depth knowledge of the businesses and processes that are targeted, as shown in the attack of the Bangladesh Bank  (where 81 million US dollars would still be missing out of an attempted robbery of 1 billion dollars) and the cyber-attack of the Port of Antwerp by drug traffickers [BBC 2013Bloomberg 2015]. Today, in 2019, we firmly believe  that by 2029, cyber proficiency will be a routine and regular responsibility of managers, just like financial management, HR or purchases are today. That’s why it is important right now to understand the business impacts before focusing on the cyber techniques. Dealing with cyber issues too late costs more than if they are addressed in advance. In a growing number of cases, cyber security is even a prerequisite to business opportunities . Aujourd’hui, en 2019, nous faisons le pari qu’en 2029, la cyber sera une compétence courante des managers comme l’est aujourd’hui la gestion financière, les RH ou les achats. Il faut donc dès maintenant apprendre à apprécier les impacts métiers en amont des techniques cyber. Traiter tardivement la cyber coûte beaucoup plus cher que si elle est prise en compte en amont. Dans un nombre croissant de cas, la cyber est même un préalable indispensable aux opportunités d’affairesCyber is business.
  3. La cyber requires multiple angles be properly understood. With new threats developing constantly, in particular in the financial sector, this is too serious and complex a matter to be dealt with separately, whether by scientists, economic actors, or even mainstream media as their business models are often too vulnerable to allow any in-depth treatment. Cyber security and cyber practices must be analyzed and verified by a multi-disciplinary approach that combines : a) technical cyber experts, including scientists and practitioners in the field; b) experts in industries (eg. financial, industrial process), businesses (eg. commercial, productive functions and support) and risks (eg. audit, internal control, insurance companies); c) information experts (media watch, intelligence, journalism). Cyber is multi-faceted.
  4. La cyber est l’affaire de tous. Les attaquants sont pragmatiques, ils ne se préoccupent pas des choix organisationnels ou politiques internes de leurs cibles directes ou indirectes. Comme eux, nous devons mettre en commun les compétences. Dans la presse, d’ici 5 ans, la cyber sera devenue un thème de spécialité en journalisme, au même titre que le sont aujourd’hui l’économie ou la défense. Cyber is for everyone.
  5. La cyber n’est pas un sujet élitiste. Les élites sont les premières personnes à devoir prendre la cyber très au sérieux car elles disposent de forts leviers d’action au travers d’arbitrages quotidiens, c’est pourquoi elles doivent désormais maîtriser le sujet [Forum Economique Mondial, “Davos”] et disposer d’une information de pointe et indépendante. Mais c’est un enjeu qui aujourd’hui touche tout le monde, aussi bien les cadres que les salariés et tous les citoyens, même les enfants [ISSA cahier de vacances cyber]. Chacun est concerné. Cependant l’investissement des entreprises dans les compétences cyber de leurs salariés est aujourd’hui symbolique, représentant entre 1 € et 15 € par an par employé, selon le secteur, la taille et la maturité cyber des entreprises. Il faut faire la chasse aux lieux communs encore propagés dans la communauté cyber tels que « le problème se situe entre la chaise et le clavier », car l’humain peut – et doit – devenir la première ligne de défense activeCyber is for people.
  6. La cyber doit être ouverte aux non initiés. Il n’existe pas de sécurité efficace par le seul secret ou la complexité. La société toute entière doit se mobiliser sur le sujet cyber comme elle le fait avec le changement climatique, car ses enjeux cyber sont globaux et seront de plus en plus graves. La cyber est également un enjeu démocratique dont les citoyens doivent se saisir afin de ne pas perdre le contrôle de très larges aspects de leur vie quotidienne, et dans le même temps les partis politiques doivent anticiper ces dangers afin de ne pas subir les conséquences d’une mauvaise préparation, le tout sans pour autant politiser la cyber. Cyber is transparent.
  7. Nos stratégies cyber ne doivent pas être aveuglées par nos biais stratégiques, tels que la notion de souveraineté numérique [ETH Zurich Center for Security Studies]. Aujourd’hui, face aux risques cyber, il est courant pour les Etats de construire des barrières à l’entrée au marché ou d’envisager de “couper Internet” pour arrêter une cyberattaque. Mais ce faisant, et si nous agissions comme la France de 1928 qui construit la ligne Maginot en misant sur le fait que l’ennemi respectera la neutralité de la Belgique ? Nous pensons qu’il vaut mieux privilégier l’ouverture lucide et déterminée que le repli sur soi. L’Estonie, qui a subi des attaques majeures depuis le 27 avril 2007, possède la première “ambassades de données” à l’extérieur de son territoire, au Luxembourg. Si la souveraineté doit avoir un sens, c’est plus à l’échelle européenne qu’à la seule échelle nationale. Les effets pervers d’une souveraineté restrictive se traduisent par des faiblesses opérationnelles (se priver de solutions résilientes fournies par des sociétés pouvant être étrangères ou de startups nationales), par une illusion de sécurité (la localisation de la donnée n’offre pas de garantie de sa sécurité) et par un faible développement économique (cela freine l’innovation au sein de notre pays, notamment de startups nationales, et freine l’accès aux marchés internationaux). Cyber is international.
  8. Le thème cyber doit inciter à l’action en passant par des analyses poussées et collectives. Nous croyons que le catastrophisme est plus paralysant que mobilisateur. Mais pour que l’action se fasse, les conditions de la confiance doivent être créées. Les étapes doivent être vérifiables afin d’être, si nécessaire, remises en cause. Il faut donc fournir à chacun – dirigeants, salariés, CISOs – les conditions d’une autonomie de décision, en conscience, avec le moins de biais possibles. Cela requiert une information indépendante, vérifiable et à haute valeur ajoutée – c’est la mission de Cyberbrief – ainsi que le renforcement d’une science de la cyber-sécurité [NSA 2012AAAS 2014, Dykstra 2015, Foundational Cybersecurity Research, 2017 ; Sci-Sec 2019]. Cyber is knowledge
Close Menu