L’intérêt pour le risque de cybersécurité est croissant à l’échelle globale, et ce depuis plusieurs années. En ce début d’année 2023, nous avons été exposés à de nouvelles enquêtes dont les points clés confirment cette réalité :
- Le dixième rapport annuel de la Risk Management Association (anciennement Robert Morris Association), qui a interrogé une centaine de top executives des institutions bancaires membres, place le risque de cybersécurité en tête, avec 85 % de suffrages, devant le risque de crédit 84 % et le risque opérationnel 65 %.
- La Global Risks Report 2023 du Forum Economique Mondial (WEF) place le risque de cybersécurité comme unique risque d’origine technologique parmi le top 10 des risques à fort impact estimé pour les 2, et même 10 prochaines années.
Ce dernier classement revêt un caractère plus que symbolique, puisque le WEF est une organisation à l’origine économique, mais qui fédère aujourd’hui d’une part les plus puissantes entreprises du monde, et d’autre part les chefs d’états et décideurs les plus influents : une sorte de GX de nature juridiquement apolitique.
Une position durable inscrite dans l’ère du temps
Vu du monde de la cyber, de telles données ne sont pas surprenantes. Elles ne sont pas non plus nouvelles à l’échelle des 5 ou 10 dernières années. En effet, ces montées sont pilotées objectivement par,
- La digitalisation couplée à l’extension géographique – par le télétravail – des systèmes d’information des institutions,
- La professionnalisation de la cybercriminalité.
Ces deux éléments impliquent respectivement et très concrètement l’augmentation de la surface d’attaque et des vulnérabilités, et l’intensification de la menace.
Éviter le syndrome de la grenouille dans l’eau chaude
Il convient cependant de relever le risque d’évanescence de la conscience du danger, qui découle de l’extension dans le temps – même avec intensification – d’alertes répétées. C’est un effet particulièrement connu et observé dans les centres opérationnels de… cybersécurité. La répétition d’alertes (qui particulièrement n’aboutissent pas à un événement redouté d’intensité prépondérante) peut à terme – par une sorte de fatigue, émousser la vigilance de l’opérateur, et devenir le terreau d’un événement redouté non détecté d’impact autrement plus dévastateur.
C’est donc ici, vers son équivalent macro et systémique que nous souhaiterions faire pointer l’attention du lecteur : puisse l’abondance des signaux lumineux ne pas réduire notre sensibilité visuelle !
La réponse existante doit s’intensifier
Ceci étant dit, la défense s’organise et se structure autour de deux points majeurs que sont :
- La formation de professionnels qualifiés,
- La sensibilisation des masses – civiles et professionnelles.
Le renforcement de ces deux piliers ne peut se permettre d’attendre la cyberattaque majeure – pour traduire les termes du président du WEF ; et les efforts de la communauté sont importants, et doivent s’intensifier avec des appuis politiques importants et inclusifs. La nouvelle réglementation supranationale NIS2 produira-t-elle l’électrochoc salvateur ?
Article publié le 24/01/2023
