Manifeste Cyberunited

Pourquoi ce manifeste

Malgré les investissements et la prise de conscience récente, l’aléa cyber est mal maîtrisé. Pour beaucoup, c’est même aujourd’hui une source d’inquiétude : les particuliers face à la maîtrise de leurs données privées, les entreprises assurées et assureurs face à l’incertitude de leurs responsabilités respectives [Mondelez vs Zurich] ou encore les dirigeants politiques face aux ingérences étrangères [Présidentielles américaines, Macron leaks]. Les enjeux sont déjà majeurs et les bouleversements vont s’accélérer : 

  • la digitalisation de tous les secteurs économiques (services, industrie, finance, énergie, smart-manufacturing automobile, chimie…) et des services publics (transports, santé, média…);
  • la généralisation des technologies du cloud, de l’IoT, de la 5G, de l’IA, des drones et de la robotique;
  • le potentiel croissant de la cyber comme moyen d’influence diplomatique;
  • l’apparition d’enjeux et de menaces militaires en matière cyber, ainsi que la dualité militaire et civile des technologies cyber (en partie open-source) amenant à une prolifération au sein de groupes para-étatiques, criminels voire terroristes.

Bien que les « risques cyber » existent déjà aujourd’hui et soient pris en compte au sein d’autres types de risques (tels que les risques d’entreprise ERM, les risques de non-conformité ou les risques opérationnels, industriels ou de fraude) – demain ils devront être mieux pris en compte et gérés avec de nouvelles méthodes et nouveaux outils pour aboutir à un fort niveau de maîtrise.  En effet, malgré la complexité technologique en jeu, chacun voudra faire confiance, par exemple, à la circulation des trains ou des véhicules autonomes, qui dépendent chacun d’une cyber sécurité en constante évolution. Nous devons donc agir dès aujourd’hui. Nous le devons à nos enfants, qui demain voudront vivre dans un environnement sûr. On ne peut pas se reposer uniquement sur les interventions étatiques, les relations internationales ou les acteurs économiques car chacun défend une vision qui lui est spécifique. Il faut une mise en commun de compétences et l’implication de tous.

Les leviers d’action

Nous, signataires du présent Manifeste Cyberunited, sommes convaincus que :

  1. La cyber dépasse la sécurité informatique. Elle concerne tous les risques liés au numérique dans nos vies, au travail comme à domicile, à l’école, dans les transports et les loisirs. La cyber, c’est d’abord une sécurité « digitale » au travers notamment des données personnelles mais, comme l’a bien compris l’ACPR dès 2017 dans le domaine financier, c’est aussi une sécurité « physique », que ce soit les différents modes de transports, autonomes ou non (trains, voitures, camions, etc.) ou les smart cities et les forces armées connectées. Cet enjeu est présent depuis au moins 1994 avec les agissements de Kevin Mitnick alors hacker aux USA ou encore depuis bien plus longtemps dans le monde de l’intelligence économique et du renseignement. Cyber is everywhere.
  2. La cyber nécessite une approche autant métier que technique. En effet les attaquants combinent désormais un savoir-faire cyber très technique avec une connaissance poussée des métiers et des processus qui sont ciblés, comme l’illustrent les cas de l’attaque de la Banque du Bangladesh (où 81 millions de dollars US seraient toujours manquants sur une tentative de vol de près de 1 milliard de dollars US) et de l’attaque cyber du Port d’Anvers par des trafiquants de drogue [BBC 2013, Bloomberg 2015]. Aujourd’hui, en 2019, nous faisons le pari qu’en 2029, la cyber sera une compétence courante des managers comme l’est aujourd’hui la gestion financière, les RH ou les achats. Il faut donc dès maintenant apprendre à apprécier les impacts métiers en amont des techniques cyber. Traiter tardivement la cyber coûte beaucoup plus cher que si elle est prise en compte en amont. Dans un nombre croissant de cas, la cyber est même un préalable indispensable aux opportunités d’affairesCyber is business.
  3. La cyber nécessite des angles multiples pour être correctement comprise. Face à l’accélération des enjeux, notamment financiers, c’est une affaire trop sérieuse et complexe pour être traitée séparément, que ce soit par les informaticiens, par les acteurs économiques ou encore par la presse générale dont le modèle économique est souvent trop fragile pour permettre un traitement en profondeur. La cyber et ses pratiques doivent être analysées et vérifiées par une vision croisée : a) des experts techniques cyber, y compris scientifiques, et des praticiens de terrain; b) des experts sectoriels (eg. processus financiers, industriels) et métiers de l’entreprise (eg. fonctions commerciales, productives et support), des métiers du risque (audit, contrôle interne, commissaires aux comptes, assureur) ; c) des experts de l’information (veille et renseignement, journalisme). Cyber is multi-faceted.
  4. La cyber est l’affaire de tous. Les attaquants sont pragmatiques, ils ne se préoccupent pas des choix organisationnels ou politiques internes de leurs cibles directes ou indirectes. Comme eux, nous devons mettre en commun les compétences. Dans la presse, d’ici 5 ans, la cyber sera devenue un thème de spécialité en journalisme, au même titre que le sont aujourd’hui l’économie ou la défense. Cyber is for everyone.
  5. La cyber n’est pas un sujet élitiste. Les élites sont les premières personnes à devoir prendre la cyber très au sérieux car elles disposent de forts leviers d’action au travers d’arbitrages quotidiens, c’est pourquoi elles doivent désormais maîtriser le sujet [Forum Economique Mondial, “Davos”] et disposer d’une information de pointe et indépendante. Mais c’est un enjeu qui aujourd’hui touche tout le monde, aussi bien les cadres que les salariés et tous les citoyens, même les enfants [ISSA cahier de vacances cyber]. Chacun est concerné. Cependant l’investissement des entreprises dans les compétences cyber de leurs salariés est aujourd’hui symbolique, représentant entre 1 € et 15 € par an par employé, selon le secteur, la taille et la maturité cyber des entreprises. Il faut faire la chasse aux lieux communs encore propagés dans la communauté cyber tels que « le problème se situe entre la chaise et le clavier », car l’humain peut – et doit – devenir la première ligne de défense activeCyber is for people.
  6. La cyber doit être ouverte aux non initiés. Il n’existe pas de sécurité efficace par le seul secret ou la complexité. La société toute entière doit se mobiliser sur le sujet cyber comme elle le fait avec le changement climatique, car ses enjeux cyber sont globaux et seront de plus en plus graves. La cyber est également un enjeu démocratique dont les citoyens doivent se saisir afin de ne pas perdre le contrôle de très larges aspects de leur vie quotidienne, et dans le même temps les partis politiques doivent anticiper ces dangers afin de ne pas subir les conséquences d’une mauvaise préparation, le tout sans pour autant politiser la cyber. Cyber is transparent.
  7. Nos stratégies cyber ne doivent pas être aveuglées par nos biais stratégiques, tels que la notion de souveraineté numérique [ETH Zurich Center for Security Studies]. Aujourd’hui, face aux risques cyber, il est courant pour les Etats de construire des barrières à l’entrée au marché ou d’envisager de “couper Internet” pour arrêter une cyberattaque. Mais ce faisant, et si nous agissions comme la France de 1928 qui construit la ligne Maginot en misant sur le fait que l’ennemi respectera la neutralité de la Belgique ? Nous pensons qu’il vaut mieux privilégier l’ouverture lucide et déterminée que le repli sur soi. L’Estonie, qui a subi des attaques majeures depuis le 27 avril 2007, possède la première “ambassades de données” à l’extérieur de son territoire, au Luxembourg. Si la souveraineté doit avoir un sens, c’est plus à l’échelle européenne qu’à la seule échelle nationale. Les effets pervers d’une souveraineté restrictive se traduisent par des faiblesses opérationnelles (se priver de solutions résilientes fournies par des sociétés pouvant être étrangères ou de startups nationales), par une illusion de sécurité (la localisation de la donnée n’offre pas de garantie de sa sécurité) et par un faible développement économique (cela freine l’innovation au sein de notre pays, notamment de startups nationales, et freine l’accès aux marchés internationaux). Cyber is international.
  8. Le thème cyber doit inciter à l’action en passant par des analyses poussées et collectives. Nous croyons que le catastrophisme est plus paralysant que mobilisateur. Mais pour que l’action se fasse, les conditions de la confiance doivent être créées. Les étapes doivent être vérifiables afin d’être, si nécessaire, remises en cause. Il faut donc fournir à chacun – dirigeants, salariés, CISOs – les conditions d’une autonomie de décision, en conscience, avec le moins de biais possibles. Cela requiert une information indépendante, vérifiable et à haute valeur ajoutée – c’est la mission de Cyberbrief – ainsi que le renforcement d’une science de la cyber-sécurité [NSA 2012AAAS 2014, Dykstra 2015, Foundational Cybersecurity Research, 2017 ; Sci-Sec 2019]. Cyber is knowledge
Fermer le menu