Le Forum International de la Cybersécurité ouvre les portes de sa 12ème édition aujourd’hui à Lille pour trois jours de conférences, débats, tables rondes et de rencontres entre acheteurs et fournisseurs de solutions. Avec comme thématique centrale cette année, replacer l’humain au cœur de la cybersécurité.
Au fil des ans, le Forum International de la Cybersécurité (FIC) s’est imposé comme un événement européen sans équivalent. À la fois forum de rencontres et salon d’exposants autour de la cybersécurité, il mêle réflexion au business et accueille pendant trois jours plus de 10 000 visiteurs venus de 80 pays et près de 400 exposants. Fort de son succès, cette douzième édition du FIC s’étend désormais sur trois jours (du 28 au 30 janvier 2020) au lieu de deux.
Le FIC réunit ainsi à Lille, tous les acteurs de la confiance numérique : représentants de la société civile, offreurs de services et de solutions de sécurité de confiance, utilisateurs finaux, monde public et sphère académique, RSSI-DSI, avocats, hackers éthiques, enquêteurs de la Gendarmerie, enseignants-chercheurs, étudiants, chefs d’entreprise, directeurs métier…
Un vieil adage veut qu’en matière de sécurité le maillon faible se situe entre la chaise et l’écran autrement dit l’utilisateur. Les émotions humaines et les comportements humains sont autant de brèches exploitées par les cyberattaquants et conduisent à l’échec systématique des mesures techniques mises en place.
Vers une sécurité Human Centric
Et alors que l’univers de la sécurité prône désormais une sécurité « sans confiance » où la méfiance prévaut grâce aux nouvelles architectures « Zero Trust », le FIC 2020 choisit par défiance de voir l’utilisateur non plus comme une menace mais comme l’une des réponses aux défis posés par la cybersécurité.
Les organisateurs invitent ainsi tous les acteurs à se demander s’il ne serait pas plus efficace, et moins onéreux, de redonner à l’utilisateur une place centrale en faisant de lui un véritable acteur de la cybersécurité de son organisation.
Une approche qui impose de repenser les interactions « homme – machine » afin de rendre la sécurité plus intuitive mais aussi mieux intégrée par défaut dans les processus et les usages.
Bref, arrêtons de vivre la sécurité comme une contrainte et une rustine que l’on applique à un existant, et pensons-la non plus en termes de technologie mais d’expérience utilisateur.
Aujourd’hui, « la cybersécurité a besoin de juristes, de sociologues, de philosophes, d’historiens, etc. pour garantir une sécurité de tous au service de la liberté de chacun. Il est temps de replacer l’humain au cœur du discours et de l’action » rappelle ainsi le Général Marc Watin-Augouard, fondateur du Forum International de la Cybersécurité.
Comme le rappelle Guillaume Tissier, Président du CEIS, dans une tribune publiée dans le numéro 2246 d’IT for Business, dans cette affaire, l’humain est à la fois :
– un utilisateur maltraité à qui l’on demande de mémoriser 100 identifiants et mots de passe,
– une victime souvent ignorante et parfois négligente,
– un défenseur de plus en plus souvent augmenté par l’IA mais débordé (car il manque 4 millions d’experts cyber dans le monde),
– un développeur à qui l’on demande de créer des solutions à la fois ultra-conviviales et ultra-sécurisées par défaut,
– et un citoyen qui doit aujourd’hui voir comme un devoir de se sensibiliser aux profondes mutations qu’engendre le développement de l’espace numérique (de la sécurité de ses informations à l’impact des Deepfakes sur son information).
De l’importance de la formation
La cybersécurité de l’entreprise est un sujet transversal qui implique tous ses collaborateurs de la direction générale aux utilisateurs finaux en passant par les équipes IT et les développeurs. Elle est affaire d’organisation et de compétences mais elle est aussi et peut-être surtout affaire de sensibilisation.
« Un utilisateur sensibilisé et responsabilisé ne cherche plus systématiquement à contourner les règles de sécurité », rappellent les organisateurs du FIC.
La plupart des attaques démarrent par des compromissions de compte et des vols d’identifiants obtenus à partir d’un email malveillant, d’un coup de fil usurpateur, d’un clic inattentif sur un lien. D’où l’importance primordiale de la formation de tous les collaborateurs de l’entreprise à la diversité et la perversité des attaques. « Au-delà de la formation, il faut plutôt parler de sensibilisation », rappelle Nicolas Verdier, directeur de l’agence Centre-Val de Loire chez Metsys. « Et cette dernière doit être personnalisée en fonction de l’entreprise. Une campagne de sensibilisation doit être adaptée à sa cible autrement dit proche de chaque utilisateur ou catégorie d’utilisateurs. Et ces campagnes de sensibilisation doivent être régulièrement rééditées, car le rabâchage est essentiel pour que les messages passent et que les bonnes habitudes s’installent ».
Une IA pour augmenter l’humain
Face à la diversité des menaces, l’humain sera cependant de moins en moins démuni grâce à l’intelligence artificielle. Ne perdons pas de vue que celle-ci est encore naissante. Mais elle commence déjà à être employée pour alerter l’utilisateur lorsqu’il clique sur un lien potentiellement risqué, pour faire le tri dans les emails des collaborateurs, pour détecter les comportements atypiques au sein du système d’information, pour seconder les développeurs en pointant des lignes de code susceptibles de se transformer en vulnérabilités.
« En 2019, nous avons vu la première IA capable de surveiller un réseau informatique, d’enquêter sur des menaces potentielles et de produire des rapports écrits de qualité, adaptés aux besoins humains. En l’occurrence, l’IA est capable de faire ce travail neuf fois plus vite qu’un humain » rappelle également Emmanuel Mériot, Country Manager France et Espagne de DarkTrace. Pour lui, il va falloir « dire adieu » à l’analyste de sécurité tel qu’on le connaît pour faire connaissance avec des analystes augmentés. « En 2020, de plus en plus d’enquêtes de sécurité seront menées en partie par l’IA explique-t-il. Celle-ci fera le gros du travail, en passant rapidement en revue tout le contexte entourant une menace, puis en rassemblant toutes les pièces du puzzle dans un rapport précis, lisible et compréhensible par tout individu. L’humain, ainsi libéré de ce travail d’analyse chronophage, pourra se concentrer sur la communication d’entreprise et les plans de remédiation, dans le but de rendre l’environnement global plus résilient à l’avenir ».
Ce partenariat entre l’homme et l’intelligence artificielle est amené à devenir le fondement de la cybersécurité. D’autant que l’IA permet de concevoir des technologies plus « empathiques » s’adaptant aux besoins des utilisateurs et mettant l’accent sur la sécurité des données au plus près de l’utilisateur.
Comme le rappelle Guillaume Tissier, face à des menaces toujours plus sophistiquées et sournoises, et face à des cyberarmes toujours plus dévastatrices, « la priorité est donc plus que jamais d’améliorer de façon encore plus résolue non seulement la résilience technique de nos réseaux et systèmes d’information, mais aussi la résilience humaine ».