La Sécurité Durable appliquée à la cybersécurité
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
![Image [Fuites de données :] quel bilan après cinq ans de RGPD ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-datacenter-cybersecurite-cybersecurity-885x690.jpg)
(par Charles d’Aumale, fondateur de Trust and Tech)
L’édition du magazine Society du 22 janvier 2016 met en avant l’agacement de Michel Sapin, Ministre du Budget, sur la prolifération des cartes bancaires prépayées. Il est en effet possible d’obtenir une telle carte de façon anonyme en l’alimentant jusqu’à 2500 euros en espèce. Les terroristes du 13 novembre 2015 ont compris l’intérêt et en ont utilisées. Des discussions ont donc lieu au niveau européen pour traiter ce sujet. Mais qu’en est-il des entreprises qui proposent de tels produits ? Ont-elles une démarche sociétale dans leur définition de produit ?
Si le sujet portait sur des enjeux de développement durable, alors une démarche sociétale de ces entreprises seraient désormais naturelle voire attendue. Et c’est bien compréhensible car le développement durable est à la croisée de l’environnement, du social et du développement économique. Cette notion peut tout à fait s’appliquer aux enjeux de sécurité. D’où ce concept de sécurité durable, à la croisée de la sécurité, du social et du développement économique.
Sécurité, social et économie
La notion de sécurité est excessivement large. C’est d’ailleurs le métier de très nombreuses institutions privées et publiques, dont les principales sont les Ministères de l’Intérieur et de la Défense. Cette sécurité porte aussi bien sur la protection des personnes, des infrastructures, des bâtiments, des informations, de la propriété intellectuelle, … Tout comme l’environnement, elle ne se limite pas à nos frontières. Que cela soit pour faire face aux menaces terroristes, aux cyberattaques, aux menaces pour la santé, les réponses sécuritaires sont un mélange de ressources humaines et techniques, de procédures, d’actions et d’état d’esprit.
C’est particulièrement sur cet enjeu d’état d’esprit que le lien avec la société devient important. Les jeunes japonais apprennent depuis leur plus jeune âge à se mettre sous une table lors d’un tremblement de terre. Les jeunes israéliens ont un service militaire mixte et obligatoire. Les jeunes français ont des exercices incendies, NRBC, et certaines initiations aux premiers secours. De leur côté les entreprises ont désormais des directeurs développement durable. Toutes les entreprises cotées ont un chapitre sur le sujet dans leurs rapports annuels. Sur la sécurité, elles sont nombreuses à avoir un directeur de la sécurité, un RSSI, un CHSCT. En fonction des secteurs, elles mettent en avant leurs efforts de sécurité au travail, elles présentent une synthèse de leur analyse de risques, elles souscrivent des assurances sur des menaces particulières.
Application à la cybersécurité
Il y a les fonds développement durable, les fonds Shariah. Pourquoi pas des fonds sécurité durable ou cybersécurité durable ? L’agence de notation Moody’s a annoncé en novembre 2015 que le critère cybersécurité des entreprises commençait à être étudié par les analystes de crédits. Mouvement très intéressant qui se transformera peut-être en critères objectifs et systématiques. Parallèlement, le marché de la cyberassurance se développe. Sujet vaste et complexe. Cela veut dire que les financiers s’intéressent au domaine et c’est sans doute cela qui va faire bouger les gouvernances.
Au niveau technique, l’Etat a très fortement renforcé ses dispositifs et l’industrie se structure. Si la France dispose désormais d’une offre complète en matière de cybersécurité, il convient d’en faire des réussites à l’image de Sophos au Royaume-Uni. Pour cela, c’est du côté de la demande et du mix-marketing qu’il faut travailler. Termes évidemment business, mais c’est bien l’un des piliers de la durabilité.
En revanche, il y a encore trop de dirigeants et trop de particuliers pour qui la cybersécurité n’est pas un enjeu, ou sinon un enjeu de « technicien ». Cet aspect social est primordial pour la durabilité de la démarche. Il y a déjà quelques interventions dans les écoles pour sensibiliser les enfants sur les risques du web mais pas encore de façon globale et récurrente. Le Safe Harbor a été cassé par la Cour de Justice Européenne en octobre 2015 mais aucun changement n’a été constaté par les utilisateurs quant à l’utilisation de leurs données personnelles par les réseaux sociaux nord-américains. Des milliers de sites web de collectivités et d’écoles ont été attaqués suite aux attentats de janvier 2015, et aucun plan d’action national d’urgence n’a été déployé pour leur apporter rapidement des recommandations et des solutions. Les appels d’offres publics ou privés comportent souvent des questions sur le développement durable des participants mais très peu sur les engagements en cybersécurité.
Cybersécurité, une responsabilité collective
Pour asseoir la cybersécurité dans une démarche durable, c’est le volet social qu’il faut désormais renforcer pour que cela devienne l’enjeu de tous. D’où le concept de sécurité durable et le parallèle avec le développement durable.
Nous aurons réussi le jour où nos enfants nous interpelleront sur la faiblesse de nos mots de passe comme certains le font quand on oublie d’éteindre la lumière ou que l’on ne trie pas nos déchets.