La seule approche sensée de la cybersécurité

Depuis que j'ai commencé à travailler dans ce domaine en 1999, la cybersécurité est passée d'une position très basse sur l'agenda du DSI à figurer régulièrement parmi les principales préoccupations des PDG en matière de risques redoutés. Bien que ce parcours ait été ardu et jalonné de nombreuses pertes en entreprise, il reste particulièrement satisfaisant, notamment pour ceux qui ont fait de leur vocation professionnelle de mettre en garde contre les dangers de négliger cette nécessité. Mais, même si la cybersécurité a clairement dépassé le stade de l'enfance, je crois qu'elle se trouve encore, dans une certaine mesure, à l'adolescence…

Du côté du défenseur, pour ne citer que quelques accrocs, l'OT demeure en grande partie insuffisamment sécurisé, l'écart en compétences et en formation en cybersécurité est loin d'être comblé, et nous n'avons pas encore vu toute la puissance de l'IA déployée. Parallèlement, du côté de l'attaquant, l'évolution de stratagèmes de phishing de plus en plus sophistiqués, l'essor opportuniste du télétravail et de la mobilité qui ne sont pas suffisamment maîtrisés, ainsi que la spécialisation croissante des groupes criminels qui proposent des attaques en tant que service, me font penser que nous n'avons pas encore vu l'impact qu'une attaque massive et à grande échelle peut avoir sur une économie mondialisée.

Investir dans la cybersécurité est aujourd'hui un choix difficile pour les décideurs, déchirés entre les sollicitations de leurs spécialistes techniques, l'apathie des entreprises qui considèrent ces contrôles comme un frein à l'activité, et les appels pressants d'experts externes plaidant pour leur intérêt supérieur.

Mon expérience m'a convaincu qu'il est erroné de s'opposer aux différents piliers de la cybersécurité : sans des capacités solides de détection et de réponse, quel intérêt y a-t-il à disposer d'un cadre de gouvernance opérationnel ?

Sans les résultats d'une bonne gestion des risques liés aux tiers, sur quelles bases peut-on prendre une décision d'investissement éclairée quant au déploiement, par exemple, d'une solution CIAM ?

Pour moi, une approche globale de la cybersécurité est clairement la seule raisonnable.

Matthieu BENNASAR

La capacité d'offrir une vision aussi holistique de la cybersécurité devient le principal élément de différenciation pour les fournisseurs de cybersécurité.

Ainsi, faites attention à qui vous confiez votre cybersécurité : assurez-vous de choisir des entreprises ayant fait leurs preuves en expertise 360°, de peur de recevoir des conseils mal orientés, partiaux et biaisés.