À l’heure où l’IA bouleverse autant la défense que l’attaque en cybersécurité, la question n’est plus de savoir si une entreprise sera ciblée mais comment elle y fera face. Dans cette tribune, Étienne Bonhomme, VP et DG de Palo Alto Networks France, plaide pour une cyber résilience « by design », appuyée par l’intelligence artificielle et une véritable cyber solidarité.
Comme le déclarait récemment la Ministre déléguée chargée de l’Intelligence Artificielle et du Numérique Clara Chappaz à l’occasion de l’examen par le Sénat du projet de loi Résilience, en matière de cybersécurité, « la question n’est plus de savoir si vous serez attaqué mais quand ? ». Pour autant, si la question de notre Ministre est légitime, celle à laquelle il nous faut surtout collectivement répondre n’est ni le si, ni le quand mais COMMENT répondre à ces attaques. La réponse tient en trois points : la cyber résilience, j’ajouterais « by design », l’Intelligence Artificielle et la cyber solidarité. Explications.
La cyber résilience à l’épreuve de la réalité du terrain
Au contact des organisations, nous constatons différents faits qui défient leur posture de sécurité et donc leur cyber résilience. Parmi lesquels : une sécurité fragmentée où s’empilent des solutions hétérogènes. Le recours massif à l’Intelligence Artificielle (IA) au multi Cloud, à l’IoT, à la 5G, au travail hybride qui ne fait qu’accroître la surface d’attaque à protéger. Des cyber attaquants professionnels qui recourent à l’IA, rendant leurs attaques toujours plus véloces et complexes à défendre. Ajoutons à cela la pénurie de talents, la pression réglementaire (RGPD, DORA, NIS 2), la réduction des budgets IT. Enfin, l’interdépendance des chaînes d’approvisionnement (Supply Chain) qui complexifie la gestion des risques tiers, en augmentant l’exposition aux failles chez les fournisseurs et partenaires.
En parfaite connaissance de ces faits, être cyber-résilient devrait être une priorité pour les organisations. Paradoxalement, une étude de PwC révèle que seulement 2 % des entreprises ont mis en œuvre une cyber-résilience à l’échelle organisationnelle. Un retard qui peut être préjudiciable en cas d’attaque. Une chose est sûre, cela ne s’improvise pas. Ce n’est ni du bricolage de dernière minute, ni l’association de quelques solutions de sécurité qui le garantissent. Alors comment faire pour être cyber résilient ?
La cyber résilience : une question stratégie et de culture !
La cyber résilience est avant tout une question de stratégie et de culture d’entreprise. Comme la cybersécurité, elle doit être intégrée « by design » à la vie et à la culture de l’entreprise. Car la cyber résilience n’est pas uniquement un sujet technique, de « geek ». C’est bien l’affaire de tous. Cela suppose donc de former aux menaces (phishing, deep fake, etc.), de sensibiliser du comité de direction aux métiers en passant par les employé(e)s, les partenaires et fournisseurs externes.
Car le jour J, aucune place à l’improvisation. Il est crucial de s’exercer à gérer une cyberattaque qui peut impacter la production, la réputation, voire le cours en bourse. Être cyber résilient c’est savoir prévenir bien sûr mais aussi gérer le pendant et l’après d’une cyberattaque. C’est disposer d’une stratégie où les process, la chaîne de décision, la communication, les rôles de chacun sont parfaitement définis.
Faire plus avec moins : la cyber résilience ou l’éloge de la simplicité
Si nous abordons la cyber résilience du point de vue des outils, il est temps de rompre avec une mauvaise habitude. Historiquement, les organisations ont longtemps cru que plus de solutions était égal à plus de sécurité. La réalité du terrain dit tout le contraire. Selon l’étude récente menée par l’Institute for Business Value d’IBM et Palo Alto Networks®, les organisations interrogées dans le monde gèrent en moyenne 83 solutions de sécurité différentes provenant de 29 fournisseurs. Or, 52 % des dirigeants interrogés dans le monde (60% en France) notent que la fragmentation des solutions de sécurité limite leur capacité à faire face aux cybermenaces. De plus, la complexité de la sécurité coûte en moyenne aux organisations 5 % de leur chiffre d’affaires annuel. Le constat est limpide : le « toujours plus » n’est ni tenable, ni rentable.
Nous pouvons faire plus avec moins pour assurer la cyber résilience des organisations. Pour cela, il faut un choc de simplification en s’orientant vers une approche unifiée, plateforme de la sécurité. Ceci permet d’économiser des coûts IT, d’accroître la visibilité, de réduire les angles morts et la surface d’attaque.
L’Intelligence Artificielle au service de la cyber résilience
A mon sens, l’IA, sa puissance de calcul, couplée à l’automatisation, au Machine/Deep Learning, est le chaînon indispensable de toute organisation résiliente. Pour devancer les cyber attaquants et détecter leurs menaces protéiformes alimentées par l’IA une chose est sûre : il faut combattre l’IA avec l’IA.
L’IA analyse des millions de données en temps réel pour détecter les signes annonciateurs d’une cyberattaque, corréler des événements suspects, des activités inhabituelles sur un poste de travail, détecter les erreurs humaines (ex : mot de passe faible, clic sur un lien malveillant). Elle peut détecter les vulnérabilités, les failles de sécurité d’une organisation avant que les hackers les investissent. Elle peut automatiser les audits de l’infrastructure IT (réseaux, cloud, terminaux, postes de travail, etc) et détecter les configurations, les applications à risque, ou bien encore isoler les systèmes infectés pour éviter la propagation de l’attaque. Et dans le cadre de la remédiation, elle va aider à comprendre le schéma d’attaque, mesurer l’impact et appliquer les mesures correctives.
L’Intelligence Artificielle ET humaine sont les garants de la cyber résilience des organisations. L’IA permet de passer d’une approche réactive à une approche proactive de la sécurité. Elle réduit le temps de détection et de réponse aux cyberattaques à quelques secondes. L’IA est le parfait complément à l’action humaine en automatisant, en exécutant différentes tâches en temps réel que l’Homme ne peut réaliser dans un si court délai du fait de la quantité et de la complexité des attaques.
La cyber résilience passe aussi par la cyber solidarité
Enfin, au-delà des considérations technologiques et des bonnes pratiques, un point m’importe beaucoup. Selon moi, il n’y pas de cyber résilience et de sécurité collective sans cyber solidarité. États, entreprises, individus, nous sommes tous concernés. La cyber résilience est à mon sens un projet commun, voire de société. Le Cyber Solidarity ou Cyber Resilience Act, l’IA Act, DORA, NIS 2 en attestent. Dans notre vision et approche de la cybersécurité, la régulation et la réglementation ne sont pas des contraintes. Elles sont l’opportunité d’innover, d’élever collectivement nos standards, de reprendre le pouvoir face aux cyber attaquants et de garantir notre cyber résilience commune. Notre cyber résilience tient dans notre capacité collective à mutualiser les compétences, à partager les bonnes pratiques, à adopter une posture de sécurité moderne et proactive pour (ré)instaurer la confiance.
Par Etienne Bonhomme, VP et DG de Palo Alto Networks France.
