Le Robert, dictionnaire de la langue française, définit le « risque », comme « un danger éventuel plus ou moins prévisible ». Pour obtenir des résultats, il faut prendre des risques, et ces risques doivent être bien gérés si l’on veut réussir et éviter des conséquences négatives.
Les risques sont impossibles à éviter. Il faut les assumer, cela fait inévitablement partie de la vie, à la fois personnelle et professionnelle, de tout un chacun. En effet, quel que soit le secteur de l’industrie dans lequel elle exerce dans ce monde hautement compétitif d’aujourd’hui, si une entreprise ou une organisation ose prétendre qu’il n’y a aucun risque dans ses activités – proclamant ainsi une absence totale de risque –, non contente de manquer à ses obligations statutaires et légales, elle fera très rapidement faillite et disparaîtra.
Pourtant le risque peut aussi être une force de progrès. Une bonne gestion des risques peut déboucher sur des résultats très positifs et, pour atteindre leurs objectifs, les entreprises doivent prendre des risques. Avant de prendre des décisions stratégiques importantes, les organisations ont besoin d’un peu de certitude et il est essentiel de comprendre que le risque est effectivement l’incidence probable de l’incertitude sur ces décisions. En bref, l’enjeu en matière de risque concerne la gestion des décisions dans un monde déjà complexe, volatil et ambigu, et qui le devient rapidement de plus en plus.
La menace numérique
Cet enjeu est particulièrement vrai en matière de cyber-risque. Dans le cyberespace, lorsqu’il s’agit d’aborder les questions de sécurité au niveau national ou au niveau de l’entreprise, le degré d’incertitude est à chaque fois très élevé. La menace ne tient pas au contexte et aux circonstances du marché, elle vient d’« acteurs malveillants » qui cherchent à lancer des offensives criminelles. Invisibles, ces cyberattaquants sont comme les fantômes et les revenants des légendes populaires, et leur invisibilité ne fait qu’exacerber le sentiment de menace, car ils cherchent à nuire, ont la capacité de le faire, sont agiles et savent s’adapter.
De jour en jour, pour ne pas dire d’heure en heure, la technologie gagne en sophistication. Autrefois, la criminalité industrielle portait par exemple sur le vol de documents laissés négligemment sur un bureau, mais l’ampleur du méfait se limitait au maximum au contenu d’un attaché-case. Maintenant, avec une clé USB ou des techniques d’exfiltration, le même criminel numérique peut s’emparer de giga-octets d’informations dont l’équivalent papier représenterait le contenu d’une pile de valises si haute qu’elle pourrait toucher la lune. Cela ne tient pas seulement au fait que – du papier au numérique – la sophistication du stockage des données a progressé de manière hyper-exponentielle, mais au fait que la nature et l’objectif des données ont aussi changé. Un criminel qui veut mettre la main sur des produits médicaux protégés, par exemple, n’a plus besoin d’entrer par effraction dans un local de stockage, il peut en copier les données au format numérique et cloner le produit avec une imprimante 3D.
Il est absolument évident que les organisations de tout type ont besoin d’une « cyber protection» d’une forme ou d’une autre. Et de surcroît, elles ont également besoin d’un système suffisamment robuste pour les prévenir de toute attaque – réelle ou supposée – aussi rapidement que possible. Dans le cyberespace, il y a deux catégories de menaces : les menaces internes et les menaces externes. Pour concevoir et mettre en place avec succès un système de protection contre les menaces venant de l’extérieur, il faut être attentif aux intentions et aux capacités des éventuels acteurs externes malveillants – établir ce qu’ils recherchent, leur mobile, et les technologies dont ils disposent.
Les organisations doivent se préparer aussi aux menaces de malveillants internes et d’acteurs qui, en interne, ont par imprudence laissé le système vulnérable à d’éventuelles attaques. La négligence dans l’utilisation de données personnelles peut exposer un individu au chantage et au dévoiement par une organisation mal intentionnée. Les organisations peuvent avoir les meilleurs pare-feu du monde, ils ne serviront à rien face à un acteur interne détenteur de niveaux d’accès élevés, capable de voler des informations sans être détecté.
Ce qui compte vraiment
Alors, comment les gouvernements, les entreprises et les individus se protègent-ils face à de telles menaces ? Le comité technique ISO/TC 262, Management du risque, a élaboré la norme ISO 31000 sur le management du risque, qui crée un cadre de principes et de processus pour la gestion des risques en général. Jason Brown, qui est le Président de ce TC, a été, entre autres, chargé de la gestion de l’évaluation et de l’assurance de la cybersécurité au Département australien de la défense. Il explique que, comme pour toute gestion des risques, une organisation qui entend se protéger sérieusement contre les cyber-risques, doit « revenir aux objectifs qu’elle poursuit et se focaliser sur le cœur de ses activités en s’attachant à ce qui compte vraiment, autrement dit bien cerner son capital le plus précieux ».
Les entreprises et les gouvernements doivent évaluer avec soin la valeur et la nature de ce qui leur tient à cœur. Par exemple, si une organisation est gardienne de propriétés intellectuelles techniques de haut niveau sous forme de données, la fuite ou le vol de ces données aura des conséquences dramatiques, conséquences qui seront encore plus dommageables si les données en question sont détenues pour le compte d’autres personnes qui dépendent de cette organisation dans une chaîne logistique, car une brèche dans le système risque d’entraîner la rupture de toute la chaîne. Ce qui compte en premier lieu, c’est donc une vue d’ensemble stratégique du système, et non une évaluation de la technologie proprement dite.
Cette approche fait écho à celle de Donald R. Deutsch, Vice-président et Responsable Normes chez Oracle, en Californie, et Président du sous-comité SC 38, Plateformes et services d’applications distribuées, du comité technique mixte ISO/IEC JTC 1, Technologies de l’information, un groupe d’experts travaillant sous la houlette conjointe de l’ISO et de l’lEC (Commission électrotechnique internationale). Le nuage, et sa position dans la hiérarchie du risque, a peut-être la plus grande importance immédiate pour les consommateurs quotidiens. De nos jours, si nous utilisons un ordinateur, il est très probable que nous allons également utiliser le nuage. Mais l’« informatique en nuage », observe M. Deutsch, « est davantage une stratégie de déploiement et d’affaires qu’une stratégie technologique ». Il y a certainement des améliorations technologiques récentes avec des risques inhérents – comme le provisionnement automatique des ressources de calcul qui sont partagées par plusieurs utilisateurs –, pourtant « les risques sont très semblables à ceux de n’importe quel environnement informatique, mais exacerbés et amplifiés en raison de leur échelle ».
Le prix de la résilience
Les Normes internationales étayent cette approche stratégique du cyber-risque. Comme le souligne Jason Brown, lorsqu’il s’agit d’aborder les cyber-risques, il convient de prendre en compte la série ISO 31000 en même temps que la série ISO/IEC 27000 sur les systèmes de management de la sécurité de l’information (SMSI). Une telle approche met en balance la technologie et les « facteurs humains ». La famille de normes ISO/IEC 27000 aide une organisation à évaluer ses besoins purement technologiques, tandis qu’ISO 31000 l’aide à comprendre la valeur des informations ou des produits qu’elle détient dans le cyberespace, et donc le degré de protection technologique dont elle a besoin pour prévenir les attaques. Pour dire les choses autrement : grâce à une évaluation approfondie des risques à l’aide d’ISO 31000, une organisation quelle qu’elle soit peut s’épargner des dépenses substantielles s’agissant de l’acquisition de sécurité technologique. Une mauvaise évaluation des risques peut tout aussi bien conduire à ne pas payer assez ou à payer trop cher un système de protection.
Ces deux séries de normes ne sont en aucun cas les seules qui peuvent aider à atténuer les risques cybernétiques. La cybersécurité doit également être examinée en termes de continuité d’activité, et la série ISO 22301 relative à la gestion de la continuité d’activité y pourvoit. Cette série vise la mise en place d’un « système de management documenté afin de se protéger des incidents perturbateurs [...] lorsqu’ils surviennent ». Elle permet à une organisation d’évaluer comment son système d’information et de télécommunications soutient ses objectifs et quelles en seraient les conséquences s’il flanchait. L’investissement d’une organisation dans la cybersécurité peut être dicté par le niveau de dépendance au système ; une petite organisation peut être en mesure de continuer à se servir (voire à réutiliser le cas échéant) des pièces justificatives sur papier, tandis qu’un géant comme Amazon dépend littéralement de la connectivité.
De même, les travaux de l’ISO/IEC JTC 1/SC 38 aident les producteurs – et donc en définitive les consommateurs – à parler un langage commun pour l’informatique en nuage. Or, ici, et c’est très important, ce ne sont pas, comme c’est généralement le cas, les producteurs ou les vendeurs eux-mêmes qui ont sollicité l’élaboration de cette série de normes, mais les clients et les acheteurs. En effet, les gouvernements et la société civile ont fait valoir que, chaque producteur utilisant sa propre terminologie, il était impossible de comparer les produits et d’opérer des choix en toute connaissance de cause. C’est cette demande qui a abouti à la publication d’ISO/IEC 17789, Technologies de l’information – Informatique en nuage – Architecture de référence, qui établit une architecture de référence et un cadre de vocabulaire commun. Le sous-comité SC 38 a également supervisé l’élaboration d’ISO/IEC 19086, une norme en quatre parties, dont deux encore en cours d’élaboration, sur les accords du niveau de service entre les fournisseurs de nuage et leurs clients.
Une progression fulgurante
L’impact positif de toutes ces normes sur la cybersécurité en général et sur les cyber-risques en particulier est indéniable. La norme ISO 31000 a été adoptée par une quarantaine de pays comme système national de gestion des risques. Du reste, sur le moteur de recherche de Google, le nombre de résultats pour « ISO 31000 » en 0,54 seconde dépasse les 6,5 millions.
Les technologies évoluent à un rythme toujours plus rapide et les Normes internationales doivent rester en phase. Les outils qui fonctionnent aujourd’hui ne fonctionneront peut-être pas demain. Par exemple, du fait que l’apprentissage automatique évolue vers l’intelligence artificielle, il se peut que le système intègre en matière d’apprentissage à la fois des capacités d’ordre adaptatif et « philosophique » qui n’existent tout simplement pas dans le monde d’aujourd’hui. Les capacités d’analyse des données se développent à tel point que de grandes quantités de données peuvent être analysées pour repérer les questions émergentes qui ne seraient pas détectables autrement. L’avènement de l’informatique quantique augmentera aussi exponentiellement la vitesse de l’informatique. La conjonction de ces trois changements dans le cybermonde sera « probablement la plus grande révolution que nous ayons connue depuis la découverte de l’électricité ou de l’atome », dit Jason Brown. Cela ne prend même pas en compte les nanotechnologies ou l’interconnectivité croissante de tous les objets.
Lorsque ces facteurs finiront par se combiner, l’environnement concurrentiel pour se démarquer en affaires, entre pays, entre rivaux et avec l’adversaire le plus redouté, sera nettement plus rapide. Tant et si bien que nous continuerons certainement encore d’établir le risque en termes d’objectifs, mais notre capacité réelle à faire face au cyberespace sera peut-être négligeable. L’ISO/TC 262 s’attelle actuellement au domaine du « management des risques émergents », en mettant l’accent sur les risques susceptibles d’engendrer les plus graves perturbations. Comme l’indique clairement M. Brown, les consommateurs et les producteurs doivent aborder l’avenir différemment, et nous devrons tous « être beaucoup plus ouverts à ce monde très volatil et très ambigu ».