En ce qui concerne la communication dans le monde de la cybersécurité, la forme est au moins aussi importante que le fond.

Un cas d’école pour illustrer ce point :

Vous êtes le PDG d’une compagnie pétrolière qui exploite l’un des plus grands pipelines du pays. Vous êtes invité à participer à une note de synthèse sur la cyberveille, car vos analystes ont détecté quelques cybermenaces importantes susceptibles d’avoir un impact sur votre entreprise.

À laquelle de ces deux menaces répondez-vous en priorité ?

Menace 1 : « Un groupe de cybercriminels spécialisés dans les rançongiciels a ciblé des fournisseurs d’énergie en verrouillant des données critiques jusqu’à ce que l’entreprise paie une rançon. Si le même rançongiciel devait compromettre notre réseau, nous estimons qu’il pourrait chiffrer jusqu’à 100 gigaoctets de nos données. »

Menace 2 : « Un logiciel malveillant très agressif a touché plusieurs systèmes d’infrastructures critiques au cours des derniers mois et a paralysé des services essentiels. S’il pénétrait notre réseau, nous estimons que ce logiciel fermerait l’ensemble du pipeline pendant une semaine entière. »

Attention, c’est une question piège. Les deux menaces décrivent la même attaque : l’attaque par rançongiciel du Colonial Pipeline en 2021, la plus grande cyberattaque sur une infrastructure pétrolière de l’histoire des États-Unis. Des pirates informatiques ont fermé le pipeline qui transporte 45 % du carburant de la côte Est du pays et ont fait pression sur les victimes pour qu’elles paient une rançon de 4,4 millions de dollars. (Le Département de la justice a finalement récupéré une partie de cette rançon.)

Notez que, malgré la description de la même attaque, ces rapports de menace ne semblent pas présenter le même caractère d’urgence. La menace 1 semble préoccupante, mais la menace 2 exige une réponse globale et immédiate.

La menace 2 à l’air beaucoup plus urgente, car elle met l’accent sur l’impact commercial de l’attaque plutôt que sur des détails techniques. Malheureusement, les analystes des menaces inversent souvent les priorités, ce qui crée un profond fossé de communication entre les services de cybersécurité et la direction.

Et ce fossé est bien plus qu’un simple inconvénient. Il peut provoquer l’exposition de l’entreprise à toutes sortes d’attaques.