Les équipes de cybersécurité et les chefs d’entreprise ont souvent des priorités antagonistes en matière de gestion des menaces et d’atténuation. Combler le fossé de communication peut s’avérer utile.
En ce qui concerne la communication dans le monde de la cybersécurité, la forme est au moins aussi importante que le fond.
Un cas d’école pour illustrer ce point :
Vous êtes le PDG d’une compagnie pétrolière qui exploite l’un des plus grands pipelines du pays. Vous êtes invité à participer à une note de synthèse sur la cyberveille, car vos analystes ont détecté quelques cybermenaces importantes susceptibles d’avoir un impact sur votre entreprise.
À laquelle de ces deux menaces répondez-vous en priorité ?
Menace 1 : « Un groupe de cybercriminels spécialisés dans les rançongiciels a ciblé des fournisseurs d’énergie en verrouillant des données critiques jusqu’à ce que l’entreprise paie une rançon. Si le même rançongiciel devait compromettre notre réseau, nous estimons qu’il pourrait chiffrer jusqu’à 100 gigaoctets de nos données. »
Menace 2 : « Un logiciel malveillant très agressif a touché plusieurs systèmes d’infrastructures critiques au cours des derniers mois et a paralysé des services essentiels. S’il pénétrait notre réseau, nous estimons que ce logiciel fermerait l’ensemble du pipeline pendant une semaine entière. »
Attention, c’est une question piège. Les deux menaces décrivent la même attaque : l’attaque par rançongiciel du Colonial Pipeline en 2021, la plus grande cyberattaque sur une infrastructure pétrolière de l’histoire des États-Unis. Des pirates informatiques ont fermé le pipeline qui transporte 45 % du carburant de la côte Est du pays et ont fait pression sur les victimes pour qu’elles paient une rançon de 4,4 millions de dollars. (Le Département de la justice a finalement récupéré une partie de cette rançon.)
Notez que, malgré la description de la même attaque, ces rapports de menace ne semblent pas présenter le même caractère d’urgence. La menace 1 semble préoccupante, mais la menace 2 exige une réponse globale et immédiate.
La menace 2 à l’air beaucoup plus urgente, car elle met l’accent sur l’impact commercial de l’attaque plutôt que sur des détails techniques. Malheureusement, les analystes des menaces inversent souvent les priorités, ce qui crée un profond fossé de communication entre les services de cybersécurité et la direction.
Et ce fossé est bien plus qu’un simple inconvénient. Il peut provoquer l’exposition de l’entreprise à toutes sortes d’attaques.
Tous.
Le problème est que nous, professionnels de la cybersécurité, ne formulons pas toujours nos rapports avec des termes qui seront facilement compris dans le reste de l’entreprise. Nous adoptons souvent une approche plus technique en mettant l’accent sur l’essentiel : les noms des acteurs de la menace et des souches de logiciels malveillants, les IOC et les scores CVE et CVSS, toute une barrière impénétrable d’acronymes spécialisés.
Si ces éléments nous tiennent à cœur en tant que professionnels, ils sont peu compréhensibles pour les dirigeants que nous voulons sensibiliser à la cybersécurité.
D’autre part, ces mêmes chefs d’entreprise peuvent avoir des idées fausses sur le rôle de la cybersécurité et sur sa valeur réelle. La cybersécurité est souvent considérée comme un exercice de vérification, qui consiste à se conformer à une règle pour éviter une amende ou obtenir une certification.
Avec cette mentalité, la sécurité n’est rien de plus qu’un poste supplémentaire dans le budget, un centre de coûts plutôt qu’une occasion de faire des économies ou un avantage concurrentiel.
Lorsque nous sommes assis autour de la table de conférence, la discussion tourne souvent au dialogue de sourds. Et ce n’est pas sans conséquences. Si les services de sécurité sont incapables d’expliquer les menaces dans un langage que la direction comprend, celle-ci risque de sous-estimer les risques ou de refuser certains investissements sous le prétexte que leur utilité n’est pas démontrée.
Jusqu’au moment où une catastrophe se produit.
Mais dans ce cas, personne n’aime entendre des remarques comme « Je vous avais prévenus ». C’est le genre de propos qui ne vous attirera pas les bonnes grâces de la direction.
Encore une fois, les professionnels de la cybersécurité ne sont pas entièrement responsables de ce défaut de communication. Mais il faut garder à l’esprit que nous sommes en position d’y remédier.
En communiquant avec des termes que les chefs d’entreprise comprennent, nous pouvons contribuer à l’alignement de l’entreprise sur les priorités de gestion des menaces et les contrôles de sécurité.
Cet alignement, en retour, permet à l’équipe de sécurité de faire valider plus facilement ses recommandations. Au fil du temps, à mesure que ces investissements de sécurité portent leurs fruits, l’entreprise commence à considérer la sécurité comme un créateur de valeur à part entière.
Voici quatre changements sur lesquels les équipes de cybersécurité peuvent travailler pour réduire ce fossé de communication :
Il est facile de se concentrer sur ce qui est de l’ordre du possible : des attaques susceptibles de se matérialiser, des systèmes potentiellement vulnérables, des acteurs malveillants qui peuvent émerger.
Les chefs d’entreprise ont tendance à s’intéresser davantage à ce qui est advenu : les attaques que nous avons prédites et les vulnérabilités que nous avons corrigées.
À première vue, c’est une bonne chose. D’une part, c’est un signe de confiance envers l’équipe chargée de la sécurité. Les chefs d’entreprise n’ont pas besoin de connaître toutes les possibilités, car ils nous font confiance pour prévenir la plupart d’entre elles, voire toutes.
Cela nous permet également de mettre en avant nos victoires et de prouver notre valeur en expliquant comment nous avons réussi à protéger l’entreprise du danger.
Cela dit, il y a ici un équilibre délicat à trouver. Si nous souhaitons bien-sûr insister sur le réel, nous ne pouvons pas ignorer ce qui est possible. Après tout, une partie de notre mission consiste à identifier les nouvelles cybermenaces et à mettre en place des mesures de sécurité appropriées pour les arrêter.
Voici une approche qui doit permettre d’équilibrer ces facteurs :
Lorsqu’une nouvelle cybermenace apparaît, déterminez la probabilité qu’elle vous touche et son impact potentiel. Identifiez ensuite les mesures que vous pouvez prendre pour répondre à la menace sans avoir besoin d’une autorisation ou de nouvelles ressources, puis mettez-les en œuvre. Évaluez comment ces mesures réduisent la probabilité et l’impact de ladite menace, puis déterminez son niveau de risque global.
Les menaces à haut risque nécessitent probablement plus de ressources et doivent être portées à l’attention des chefs d’entreprise. Les menaces à faible risque peuvent être regroupées dans une liste annexe, mentionnées en passant, mais elles n’ont pas vocation à être abordées pendant les réunions.
À propos de l’impact des menaces : il est préférable d’étayer les rapports et les estimations d’impact à l’aide de chiffres concrets et de conséquences réelles pour l’activité.
Nous, professionnels de la sécurité, partons souvent du principe que les vulnérabilités sont problématiques en soi. S’il y a une faille dans un système, elle doit être corrigée par principe.
Mais en dehors du domaine de la sécurité, la présence d’une vulnérabilité n’appelle pas forcément une réaction.
Cela s’explique en partie par le fait que nous parlons souvent des vulnérabilités dans des termes abstraits : « Notre système est vulnérable à de nouvelles souches de rançongiciels qui contournent un certain nombre de nos contrôles existants. Nous proposons de mettre en place de nouvelles protections contre les rançongiciels pour un coût de 200 000 USD. »
Une recommandation tout ce qu’il y a de raisonnable, mais 200 000 USD est une somme conséquente. Les décideurs peuvent se montrer réticents face à un tel investissement, surtout si la seule justification est quelque chose d’aussi peu précis que de « stopper le rançongiciel ».
Tournez les choses d’une autre façon : « Notre système est vulnérable à de nouvelles souches de rançongiciels. Nous avons analysé des incidents dans des entreprises comparables à la nôtre, et ces attaques coûtent en moyenne 2 millions de dollars par jour en raison de la perte d’activité et du prix de résolution. Nous proposons de mettre en place de nouvelles protections contre les rançongiciels pour un coût de 200 000 USD. »
Il s’agit de dépenser 200 000 USD non plus pour « stopper le rançongiciel », mais pour empêcher l’entreprise de perdre 2 millions de dollars par jour. Un bon compromis, semble-t-il.
Nous, les professionnels de la cybersécurité, péchons souvent par excès de prudence. Mais pour de nombreuses entreprises, le meilleur niveau de risque n’est pas zéro.
Prenons les trois aspects clés de la sécurité des informations mis en avant par la CIA. L’organisation prétend qu’un système d’information sécurisé repose sur la confidentialité, l’intégrité et la disponibilité.
En d’autres termes, les données et les systèmes sensibles doivent être protégés, mais pas aux dépends de l’accessibilité pour les employés. C’est un équilibre difficile à trouver. Des protections strictes permettent de sécuriser les systèmes, mais il faut mettre cela en balance avec l’impact sur la productivité.
Par exemple, un membre de notre équipe travaillait dans une société de médias qui préférait des restrictions peu contraignantes sur les technologiques utilisées par les employés. Cette politique a favorisé le shadow IT non géré et la navigation à risque, mais elle a également permis aux employés de rechercher rapidement et dynamiquement des reportages qui étaient en cours d’élaboration. Ce type de recherche étant au cœur du modèle de l’entreprise, celle-ci a considéré que les risques encourus étaient acceptables.
Avec une compréhension partagée de la nature des risques, les équipes de cybersécurité peuvent développer des tactiques et des outils qui répondent aux besoins de sécurité sans perturber les opérations métier.
Notez que s’aligner sur un certain niveau de tolérance aux risques ne signifie pas que la cybersécurité se plie toujours aux exigences de la direction. Les équipes de cybersécurité peuvent et doivent utiliser leur expertise pour influencer la compréhension des risques par les décideurs.
L’un d’entre nous se souvient d’une note de synthèse sur les menaces. La note avait présenté une attaque spécifique comme étant à faible risque, mais un cadre en a décidé autrement. Il pensait que le niveau de risque était forcément plus élevé, car l’entreprise avait déjà connu une violation similaire dans le passé.
L’équipe chargée de la cyberveille a souligné que le paysage des menaces avait changé depuis lors. Par ailleurs, l’entreprise avait mis en place des mesures de protection capables de réduire la probabilité et la gravité d’une telle attaque. Et la menace n’avait pas ciblé d’entreprises comparables dans le temps récent.
Le dirigeant a entendu les arguments et a finalement validé l’évaluation du risque comme faible. Si nous n’avions pas pris le temps de nous aligner précisément sur les risques, nous aurions fini par consacrer du temps et des ressources à une menace mineure.
Ce dernier point est simple, mais c’est peut-être le plus important. Il n’implique ni changement d’état d’esprit ni réorientation stratégique. Il s’agit plutôt d’un changement mineur qui concerne la façon dont nous rédigeons les rapports.
Nous parlons de la technique « l’essentiel d’abord » (méthode « BLUF » pour « bottom line up front »), qui consiste à présenter d’emblée l’enjeu principal.
Dans le domaine de la cyberveille en particulier, nous avons l’habitude de produire des rapports longs et détaillés qui s’étendent sur 20 voire 30 pages, et qui contiennent des analyses approfondies de toutes les nouvelles informations que nous avons à partager.
Le rapport peut être passionnant pour les analystes que nous sommes, mais il risque fortement de décourager les membres de la direction.
Lorsque vous utilisez la méthode BLUF, vous commencez par le résultat : « Voici ce qui s’est passé. Voici ce dont il faut se préoccuper. Voici notre évaluation de la situation, et les mesures que nous pensons nécessaires.
Le reste du rapport peut comporter une analyse approfondie du problème pour tous ceux qui se sentent d’attaque. Mais une synthèse claire et lisible, étayée par des détails pertinents et concrets, suffit souvent aux dirigeants pour prendre une décision éclairée.
Pour combler le fossé de communication qui existe entre la cybersécurité et le reste de l’entreprise, il nous faut avant tout traduire les termes techniques de notre domaine en un langage d’urgence et d’impact, qui trouve un écho auprès des dirigeants.
En ajustant notre approche de la communication, nous pouvons également changer la perception de la sécurité dans l’entreprise. Plutôt qu’un poste de dépenses comme un autre, elle peut devenir un investissement critique qui aide l’organisation à fonctionner, à innover et à prospérer.
