Chapitre 1
À mesure que le niveau de menace augmente, des liens de confiance essentiels risquent d’être rompus.
Les conséquences susceptibles d’en découler pour les entreprises et les institutions pourraient être désastreuses, voire aller jusqu’à menacer leur survie même.
Les pertes financières constituent la conséquence la plus évidente des cyberattaques, peu importe qu’elles découlent d’une fraude, de l’obligation de payer une rançon, de l’imposition d’amendes ou d’un manque à gagner et des coûts liés à la perte d’occasions d’affaires. On estime qu’au cours de la dernière année seulement, les cyberattaques dont ont été victimes les entreprises américaines leur ont occasionné des pertes de 654 milliards de dollars US. On s’attend déjà à ce que la situation soit pire cette année.
Néanmoins, les entreprises ne sont pas les seules à être à la merci des cybercriminels. Dans les États modernes, une partie de plus en plus grande des infrastructures publiques est maintenant gérée en ligne, tout en étant étroitement interconnectée, de sorte que ces infrastructures présentent les mêmes vulnérabilités que celles auxquelles font face les entreprises. Les cyberattaques perpétrées contre les systèmes de gestion de ces infrastructures ont la capacité de perturber les activités de toute une région, voire de tout un pays, de provoquer un chaos indescriptible et même de compromettre la sécurité physique de la population. En 2016, des cyberpirates ont réussi à paralyser le réseau électrique de toute une région d’Ukraine, dont quelque 230 000 habitants ont ainsi été privés d’électricité pendant de nombreuses heures.
À l’échelle de la société, le cybercrime et le cyberpiratage peuvent avoir des répercussions significatives, surtout lorsqu’ils prennent la forme de la diffusion volontaire de campagnes de désinformation. Dans l’histoire récente, la dissémination de fausses nouvelles dans le contexte d’événements politiques de premier plan a montré que la désinformation peut avoir de graves conséquences, même lorsqu’elle est véhiculée par des canaux de communication et des contenus peu fiables et, souvent, mal structurés. De telles conséquences peuvent même être aggravées lorsque des canaux de communication légitimes se font le relais de cette désinformation. En 2013, lorsque le compte Twitter de l’Associated Press a été piraté de façon à permettre la publication de la manchette retentissante voulant qu’une bombe ait explosé à la Maison Blanche, blessant le président Barack Obama, une valeur de 136 milliards de dollars US en actions inscrites au Dow Jones s’est envolée presque instantanément.
Au bout du compte, la conséquence la plus grave et la plus durable d’un cyberincident, surtout lorsqu’il n’est pas rapidement pris en charge et corrigé, est la perte du lien de confiance entre une entreprise ou une institution et les personnes qui font appel à elle. Les parties prenantes, les employés, les tiers et les consommateurs, d’une part, et les contribuables et les électeurs, d’autre part, ont tous les mêmes attentes : ils veulent que les organisations leur offrent une performance fiable et uniforme, tout en protégeant leur sécurité aussi bien en ligne que hors ligne. Le lien de confiance bâti au fil des ans peut être perdu en une seule journée en cas d’atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données, ou lorsque les produits et services cessent de répondre aux attentes.
Chapitre 2
Le marché de la cybersécurité, un marché complexe qui profite des crises
Les entreprises s’efforcent de maintenir la transparence, la cohésion et l’efficacité de leur fonction cybersécurité.
Actuellement, en matière de cybersécurité, un trop grand nombre d’entre elles se contentent d’adopter une approche simplement réactive en se dotant de mesures de sécurité seulement après la survenance d’une cyberattaque, la détection d’une défaillance, l’imposition d’amendes ou l’adoption de mesures législatives. Les premières constatations qui ressortent du sondage mondial sur la sécurité de l’information qu’EY a mené en 2020 auprès de presque 1 300 leaders en cybersécurité révèlent que seulement 65 % des entreprises ne s’intéressent à la cybersécurité qu’une fois qu’il est trop tard. Les entreprises ont nettement tendance à adapter les outils de sécurité aux systèmes existants en se contentant seulement d’appliquer une liste de critères de conformité, plutôt que d’intégrer la cybersécurité aux nouveaux produits et services, en prenant en compte les résultats de l’évaluation préalable du risque d’entreprise.
Sondage mondial sur la sécurité de l’information d’EY de 2020
65 %des entreprises ne s’intéressent à la cybersécurité seulement qu’une fois qu’il est trop tard, d’après ce qu’indiquent 1 300 leaders en cybersécurité.
En plus d’être inefficace, cette mentalité de liste de contrôle est à l’origine de bien des problèmes qui entravent le rôle et l’efficacité de la fonction cybersécurité. Premièrement, il y a le fait que les chefs de la sécurité de l’information et les équipes de sécurité sont perçus comme des obstacles au sein des entreprises dont la survie dépend de leur capacité à innover rapidement. Deuxièmement, une telle mentalité a donné lieu à l’émergence d’un marché de la cybersécurité extrêmement fragmenté et complexe, dans lequel évoluent des milliers de fournisseurs qui se livrent concurrence pour obtenir une part des dépenses de cybersécurité. Dans ce contexte, il peut s’avérer incroyablement difficile pour les entreprises de maintenir la transparence, la cohésion et l’efficacité de leur fonction cybersécurité.
Tandis que les administrateurs et les hauts dirigeants commencent à prendre conscience de toute l’importance de cette fonction, ils constatent clairement qu’il est nécessaire d’adopter une nouvelle approche grâce à laquelle ils pourront poursuivre leurs efforts d’innovation en toute confiance, tout en réduisant au minimum les nombreux risques liés à la cybercriminalité et en en effectuant une gestion adéquate.
Chapitre 3
La sécurité dès la conception : préserver les liens de confiance à l’ère de la transformation
Pour assurer la protection efficace des activités et maintenir la confiance à tous les paliers organisationnels, il ne suffit plus d’adopter après coup des mesures de sécurité.
Les équipes de cybersécurité d’EY estiment que le moment est venu de jeter un regard neuf sur la cybersécurité en adoptant une approche proactive, pragmatique et stratégique qui prend en compte les risques et la sécurité dès le commencement de toute initiative, tout en favorisant le maintien des liens de confiance à toutes les étapes. C’est ce qu’on appelle la « sécurité dès la conception ».
La sécurité dès la conception ne se traduit pas par l’évitement des risques, mais plutôt par la facilitation de la confiance dans les systèmes, les conceptions et les données de sorte que les organisations puissent prendre plus de risques, mener le changement transformationnel et innover en toute confiance.
Par exemple, dans le domaine en perpétuelle évolution de l’intelligence artificielle (IA), la nécessité d’adopter une telle approche devient de plus en plus évidente chaque jour. Les deux types d’apprentissage automatique les plus courants sur lesquels repose ce domaine, à savoir l’apprentissage automatique supervisé et non supervisé, sont les principales cibles des tentatives de subversion. Les résultats découlant de l’application de ces approches dépendent naturellement des algorithmes ayant permis de les générer. Pourtant, si les données d’entrée sont elles-mêmes manipulées, même les algorithmes les plus perfectionnés mènent à l’obtention de résultats corrompus.
Actuellement, on ne porte pas assez attention à la protection de l’intégrité des données qui alimentent les systèmes d’apprentissage automatique qui sont au cœur de la production de plus en plus de produits et de services courants. Les cybercriminels en sont conscients et, en principe, pourraient attaquer ces systèmes en supprimant ou en altérant des ensembles de données sous jacentes, ou encore en y intégrant de nouvelles. D’ores et déjà, la plupart des systèmes numériques en place présentent des risques de telles manipulations.
En outre, tandis que l’IA élargit l’étendue des possibilités d’automatisation du processus décisionnel, l’étendue des possibilités de méfaits s’élargit également. Par exemple, prenons le cas des systèmes de contrôle du trafic aérien qui sont programmés pour ajuster automatiquement la vitesse ou l’altitude des avions en fonction de données qui sont potentiellement altérables, ou encore le cas d’un logiciel d’apprentissage automatique conçu pour détecter des problèmes médicaux et alimenté par des données corruptibles pouvant faire en sorte que des algorithmes ignorent les indices de la présence d’un cancer. Seule la mise en œuvre d’un cadre de gouvernance et de protocoles de gestion des identités et des accès adéquats au cœur des systèmes d’IA peut permettre d’éviter l’obtention de tels résultats très indésirables.
Article connexe
L’omniprésence grandissante des dispositifs reposant sur l’internet des objets (IdO) est un autre facteur qui milite en faveur de l’adoption d’une approche intégrant la sécurité dès la conception. De plus en plus, les consommateurs sont tributaires de produits IdO qu’ils laissent entrer dans leurs foyers et qui, souvent, exploitent leurs données à caractère personnel très sensibles. Pourtant, peu de choses inspirent confiance dans la façon dont ces dispositifs sont généralement fabriqués.
L’assemblage des dispositifs IdO se fait en trois étapes distinctes. Ce processus commence par la confection de puces informatiques spécialisées exigeant l’engagement d’un minimum de coûts d’ingénierie ou de coûts indirects, de sorte que les marges déjà très minces ne soient pas grevées davantage. Ces puces sont ensuite acheminées à des fabricants de matériel informatique d’origine, auxquels l’on confie la fabrication de dispositifs reposant sur certaines spécifications et intégrant un ensemble de composantes logicielles libres et de composantes logicielles exclusives. Là encore, le but est de maximiser les marges, et la sécurité ou la performance de telles composantes sont peu prises en compte, au-delà des fonctions requises. Enfin, l’entreprise qui appose sa marque connue des consommateurs sur ses dispositifs y charge sa propre interface, en y apportant tout juste les rajustements requis pour en assurer le bon fonctionnement. À chacune des étapes, la priorité est accordée à la maximisation des bénéfices, et non pas à la préservation de la sécurité ou de l’intégrité des dispositifs.
Une telle approche à courte vue axée sur la recherche de bénéfices est vouée inexorablement à la catastrophe. Ainsi, en 2015, une grande marque d’automobiles a dû rappeler 1,4 million de ses véhicules après que des experts en cybersécurité en eurent piraté le système d’infoloisirs en démontrant que presque n’importe qui pouvait accéder aux principales fonctionnalités de ces véhicules et les contrôler, y compris les freins et la direction. Tandis que, dans le monde entier, les fabricants d’automobiles et les gouvernements déploient des efforts concertés pour promouvoir les voitures et les villes intelligentes reposant sur les technologies IdO, la nécessité d’en renforcer la sécurité devient évidente.
Que ces exemples ont-ils en commun? Il ne s’agit plus simplement d’innovations rattachées à certains créneaux. Il s’agit des systèmes de demain connectés en réseaux à l’échelle mondiale, qui sont destinés à être interconnectés et à constituer de plus en plus le fondement sur lequel reposeront toutes nos activités quotidiennes. Il est d’une urgence capitale que les entreprises et les institutions qui développent et utilisent ces technologies adoptent une approche intégrant la sécurité dès la conception. Ceux qui y renoncent s’exposent à une foule de risques, notamment au risque d’effondrement financier, au risque de chaos structurel et au risque ultime de perte des liens de confiance, laquelle perte s’avère souvent irrémédiable. L’adoption d’une approche proactive, pragmatique et stratégique qui prend en compte les risques dès le départ, plutôt qu’après coup, peut être déterminante quand il s’agit de départager les entreprises qui sont vouées à l’échec de celles qui prospéreront à l’ère de la transformation.
Article connexe
Résumé
Le présent article vise à faire le point sur l’état actuel de l’environnement de cybersécurité dans lequel évoluent les entreprises ainsi qu’à inciter celles-ci à se doter d’une nouvelle approche de gestion de la cybersécurité à l’ère de la transformation. De nos jours, la survie des entreprises dépend de leur capacité d’innover, bien qu’en innovant, elles s’exposent à des menaces de cyberattaques qui vont toujours en s’intensifiant. Étant donné les conséquences désastreuses éventuelles, les entreprises doivent adopter une nouvelle perspective prenant en compte ces risques dès la conception d’un produit ou d’un service, plutôt qu’après coup.
