Stratégie cyber : de l’art de bien choisir ses outils

Lorsqu’une entreprise renouvelle un de ses équipements ou s’équipe d’un nouvel outil, le choix du fournisseur et du matériel est crucial. Les conséquences à moyen et long terme sont importantes et requièrent une étude attentive des risques, aussi bien en termes de cybersécurité qu’en termes de stratégie de l’entreprise.

Mesurer les risques liés à la non-évolution du matériel

Le premier point à prendre en compte est la durée de vie prévue du matériel. En effet, les technologies sont en continuelle évolution et requièrent que le matériel associé le soit aussi. L’époque où un contrôle de chaîne de montage dans une usine devait avoir une durée de vie de 15 ans sans intervention est révolue.

Les risques propres à la non évolution du matériel sont de plusieurs types :

  • Risque matériel – le MTBF (mean time between failures, le temps moyen entre les pannes, NDLR) du matériel est-t-il adapté ? Que faire en cas de faille du matériel (faille liée au processeur, spectre, meltdown, ...) ?

  • Risque lié au remplacement – ce matériel sera-t-il toujours disponible dans X ans ?

  • Risque logiciel – existera-t-il toujours un logiciel/firmware fiable compatible et dont le niveau de sécurité est maintenu dans X ans ?

  • Risque de compatibilité – l’API d’accès au matériel sera-t-elle toujours compatible et sécurisée dans X ans ?

Prendre en compte le contexte macro-économique et concurrentiel

À ces risques, il faut maintenant rajouter les risques liés à la politique internationale. Les événements Huawei/Google nous montrent la fragilité d’un écosystème dans l’arène de la politique internationale. Que faire des équipement touchés par cette crise, qui ne seraient plus maintenus et dont les failles de sécurité se cumuleront au cours du temps ? Certains proposeront des solutions de contournements, permettant de continuer à utiliser le matériel avec des firmwares de “contrebande”.

Mais quid de la sécurité, de la fiabilité, et plus généralement du maintien en conditions opérationnelles ?

Il est dangereux de trop se lier à une solution et d’en devenir, par ce fait, dépendant. Il serait également dangereux de ne se reposer que sur des solutions réputées, dont on estime le niveau de fiabilité dans le temps important, et le risque faible. En effet, un tel fournisseur, en position dominante, imposerait des conditions draconiennes qui mèneraient inévitablement à un risque de cybersécurite lié à la simplicité et au coût d’entretien.Prenons le cas des tracteurs John Deer. L’entreprise a équipé ses tracteurs de firmware avancé dans l’objectif d’imposer que seul un réparateur agréé puisse les réparer.

Conclusion : pour réparer librement leur tracteur ou éviter que John Deer ne le bloque à distance, les fermiers américains installent des firmwares ukrainiens piratés.

Maintenir un équilibre entre plusieurs solutions pour réduire la dépendance à une seule

L’histoire de la cybersécurite (je pense en particulier au cas HBGary, qui est bien documenté sur ces faits) nous montre que, dans la plupart des cas, un logiciel piraté est équipé de backdoors, permettant à des pirates d’effectuer leurs œuvres. La prise en compte de la sensibilisation des utilisateurs est de ce fait, importante ; ils restent les premiers à contourner les règles dans l’unique objectif de pouvoir accomplir leur mission au mieux, souvent sans se rendre compte des risques qu’ils font prendre à l’entreprise.

La solution, comme souvent, semble dans le juste équilibre entre plusieurs solutions, des standards assurant une rétrocompatibilité, et la sensibilisation des utilisateurs.

L’évolution permanente et l’étalement des investissements matériels doivent se faire au profit de matériels différents, permettant de réduire les risques de dépendance tout en assurant le respect de la mission de l’entreprise.

Et bien sûr, sensibiliser les utilisateurs… et les décideurs !

Les utilisateurs, quant à eux, doivent être sensibilisés régulièrement, comme l’on sensibilise aux gestes de premiers secours ou aux exercices d’incendie.

Dans la plupart des cas, plusieurs technologies existent sur le marché pour répondre aux besoins des entreprises, il est nécessaire d’avoir une vision d’ensemble de la situation sur le moyen et long terme.

Ces choix stratégiques doivent, de ce fait, être pris en concertation avec le plus haut niveau de l’entreprise, dans une stratégie globale qui doit dépasser la simple gestion du parc informatique de l’entreprise sur l’année comptable.