Intégrer la cyberrésilience au sein de votre entreprise
À l’ère de la désinformation et des infox dans un monde où le numérique continue de gagner du terrain, inspirer confiance dans les technologies elles-mêmes reste un véritable défi.
Qui aujourd’hui ignorent encore l’importance de la cybersécurité et la menace que représentent les cyberattaques pour nos ordinateurs, smartphones et autres appareils. Il nous est sans cesse rappelé qu’il ne faut jamais dévoiler nos mots de passe, que nous devons nous méfier des spams et des tentatives d’hameçonnage qui cherchent à nous manipuler pour nous amener à divulguer nos données personnelles, qu’il s’agisse de nos mots de passe, coordonnées bancaires, données médicales ou encore de notre numéro de sécurité sociale.
Ces tentatives d’usurpation d’identité, bien qu’inquiétantes, s’avèrent d’autant plus préoccupantes lorsqu’elles visent nos gouvernements et autres institutions de premier plan. Or, comme le rappelle une série britannique à succès, The Capture, diffusée sur la BBC, les apparences sont souvent trompeuses. Ainsi, cette série met en lumière l’impact du deepfake, une des technologies du XXIe siècle surpassant très largement les capacités offertes jusqu’ici par les logiciels de retouche d’images, susceptible désormais de constituer une menace pour la sécurité nationale, d’ébranler les fondements d’un État, de saper la confiance et de nous amener à douter de la réalité.
Cela peut sembler quelque peu tiré par les cheveux. Pourtant, alors même que nous entrons pleinement dans l’ère de la Quatrième révolution industrielle, cette série met en lumière les menaces et risques potentiels associés à des technologies toujours plus sophistiquées qui évoluent rapidement.
Le coût global de la cybercriminalité s’élèvera à USD 10 500 milliards par an d’ici 2025.
Hiérarchiser les risques
Selon un rapport du Forum économique mondial intitulé Global Cybersecurity Outlook 2022, la défaillance des infrastructures à la suite d’une cyberattaque est la préoccupation première des cyberdirigeants, devant l’usurpation d’identité. Ce rapport indique par ailleurs que si 85 % des cyberdirigeants estiment que la cyberrésilience est une priorité au sein de leur organisation, obtenir l’adhésion des décideurs au moment de hiérarchiser ces risques par rapport à bien d’autres risques reste un défi de taille. Il convient cependant de ne pas prendre ce défi à la légère. Ainsi, comme l’affirme le magazine CyberCrime, les cyberattaques peuvent potentiellement mettre en péril l’économie d’une ville, d’une région, voire d’un État. Toujours selon ce magazine, le coût global de la cybercriminalité s’élèvera à USD 10 500 milliards par an d’ici 2025.
Le concept de cybersécurité n’est pas nouveau, mais dons un monde toujours plus interconnecté – et fragmenté –, les risques associés aux cyberattaques n’ont jamais été aussi importants, que ce soit pour les individus, les organisations, les services ou les systèmes. Les technologies continuent de gagnent en sophistication, tout comme les cybercriminels. L’incertitude règne et, de ce fait, il est de plus en plus difficile d’inspirer confiance. Avoir la certitude que nos systèmes sont sûrs est désormais une exigence fondamentale. Or, deux Normes internationales – ISO/IEC 15408 et ISO/IEC 18045 pour les technologies de l’information (TI) – peuvent contribuer à rétablir cette confiance.
Selon Miguel Bañón, expert de l’évaluation et de la certification dans le domaine de la cybersécurité, et Animateur du groupe de travail chargé de l’évaluation de la sécurité, des essais et des spécifications, sous la houlette de l’ISO et de la Commission électrotechnique internationale (IEC), ces normes sont indissociables, « tout comme les pédales d’une bicyclette ». En effet, ISO/IEC 15408 définit des critères d’évaluation pour la sécurité des TI, tandis qu’ISO/IEC 18405, qui vient compléter cette norme, définit la méthodologie pour l’évaluation de la sécurité des TI. Dans la pratique, elles portent néanmoins sur la même chose.
Pour être compétitif sur le marché, vous devez gagner la confiance de vos clients.
Une révision à point nommé
La récente révision de ces normes ne pouvait pas tomber plus à propos, puisqu’elle a permis de répondre aux besoins nouveaux et complexes de notre époque. « Le groupe de travail se concentre sur l’assurance technologique, la certification des essais et l’élaboration de normes visant à s’assurer que les technologies elles-mêmes sont sûres », explique M. Bañón. « La solution repose en grande partie sur cette démarche. » Ces normes aident également à gérer l’information et à privilégier une approche holistique. La sécurité des technologies reste cependant un aspect fondamental.
Pour être compétitif sur le marché, vous devez gagner la confiance de vos clients. Cela vaut pour les technologies comme pour tout autre produit. Un large éventail de nouveaux produits arrive rapidement sur le marché, comme les véhicules connectés. Dès lors, comment pouvez-vous faire confiance à un véhicule autonome si vous n’avez par la certitude que ce dernier fonctionnera correctement ?
Comme le souligne M. Bañón, avec ISO/IEC 15408 et ISO/IEC 18045, « nous proposons une méthodologie unique et de grande qualité, convenue à l’échelon international, pour vérifier et évaluer la sécurité des produits et des systèmes ». Il précise que ce qui était auparavant une niche de marché s’impose désormais comme un courant dominant et que la cybersécurité est à présent une exigence de tout premier plan sur le marché. Les décideurs et les dirigeants doivent dès lors prendre les devants et donner la priorité aux cyber-risques.
La cybersécurité est à présent une exigence de tout premier plan sur le marché.
Renforcer la résilience
Auparavant, pour certifier la sécurité d’un produit, il vous fallait le faire sur la base des systèmes nationaux », explique-t-il. « Désormais, et c’est une première, un schéma paneuropéen de certification sera mis en œuvre pour les produits et ce nouveau schéma repose sur ISO/IEC 15408. »
Comme le rappelle M. Bañón, la sécurité des TI n’est pas une nouveauté et, par le passé, l’application des normes a eu une incidence positive sur les produits disponibles sur le marché. Selon lui, « les produits jugés conformes aux normes de manière générale, comme les systèmes d’exploitation ou les périphériques réseau, ont évolué et sont plus perfectionnés, au point que les pirates informatiques n’ont d’autre choix que de se rabattre sur des produits/surfaces d’attaque jugés « plus simples » ».
La conformité à la norme ISO/IEC 15408 exige un degré élevé de maturité et un haut niveau de résistance aux attaques. Selon lui, désormais, lorsque l’on entend parler de nouvelles failles majeures en termes de cybersécurité, il y a de fortes chances que les pirates exploitent des produits n’ayant pas été certifiés ou évalués selon cette norme. « Un pirate aura tendance à chercher le maillon le plus faible de la chaîne, et actuellement, le chemin le plus aisé passe par des produits qui n’ont pas été certifiés selon cette norme. »
Un processus indépendant et impartial
Tout est une question de confiance. « Dans nos normes, la confiance est bâtie sur un examen particulièrement rigoureux, mené de manière indépendante et impartiale sur un produit, au terme d’un processus d’évaluation et de certification. » Vous ne pouvez pas, et ne voudriez pas, acheter une machine à laver qui ne répondrait pas aux exigences de sécurité. Il en va de même pour la conformité à ces normes, « lesquelles sont déterminées par les besoins du marché et constituent le fondement des schémas les plus efficaces en termes de cybersécurité, partout dans le monde ». Celle-ci vous offre une protection contre les mauvaises surprises et vous permet d’avoir l’esprit tranquille.