Scandale chez les experts cybersécurité

Cybersécurité, un sujet qui déchaîne les passions chez les « Experts » et un grand questionnement chez… les « Autres ». Ces Autres que certains experts qualifient de maillon faible et de quelque chose de nuisible situé entre la chaise et le clavier. Déjà que le monde de la cyber-sécurité ne jouit pas d’une bonne presse, cloué au pilori quand tout va mal et formidablement ignoré quand tout va bien, qualifier un usager numérique de maillon faible, ça n’aide pas vraiment à la compréhension. Or, cet écart de communication est justement la brèche dans laquelle s’engouffrent les hackers. Plus la synergie entre experts et usagers est petite, plus la surface de menace est grande.

Mais plus généralement, la relation entre l’informatique et les usagers numériques a toujours été complexe. Même les DSI ont compris qu’on ne peut plus répondre aux attentes en se contentant d’ouvrir des « tickets ». A l’époque du tout orienté client, les experts cybersécurité continuent à œuvrer auprès d’une audience étroite. Dans le meilleur des cas, les entreprises alignent un seul RSSI. Ces responsables qui n’en peuvent plus d’être harcelés par les failles causées par le système, se sentent également harcelés par les solutions proposées par ce même système ! Autant d’experts solitaires, qui alertent  sur la faiblesse grandissante des maillons de la chaîne, mais dont le discours d’expert, justement, reste peu accessible.

Pendant ce temps là, le marketing tourne la manivelle de l’innovation, hissant le client plus haut dans les nuages numériques et enterrant les « Experts » au plus profond de leur liste de vulnérabilités incompréhensibles. L’écart se creuse, les « Experts » sont de plus en plus experts et les usagers de plus en plus faibles en augmentant leur dépendance quotidienne aux outils numériques à coup de consentement quasi hystérique. Et en plus, la surface de menace grandit : avec l’IoT, arrive le ToT, « Threat of Things », où tout objet connecté peut se retourner contre son utilisateur.

Mais la nature comble toujours le vide. Devant cet échec des relations entre monde d’experts et d’usagers abrutis (au sens propre), face à ce chaos technico-économique saturé de failles qui aspire tout sur son passage, la Loi est venue mettre de l’ordre. Tel un juge fatigué devant la cacophonie de la salle, le marteau frappe violemment la barre et désigne le coupable : l’Expert.

La sentence est lourde. Puisque l’industrie n’a pas su se réguler, malgré les normes, les standards et  les outils, malgré la CNIL et ses CIL trop longtemps ignorés, les juristes prennent la main sur la gouvernance de la sécurité numérique. Après la main mise du marketing sur le cloud, les DSI voient leur garde robe se rétrécir encore. Le RSSI passe sous commandement du DPO. Scandale chez les Experts, le maillon faible prend le pouvoir !

La réglementation sur la protection des données redistribue les cartes : fini les tickets et les débats techniques, voici venir les plaintes et les procès. C’est à la direction juridique de répondre aux failles du système en « patchant » ses contrats. Des lettres à la place des nombres, les phrases juridiques sont-elles plus compréhensibles qu’une architecture technique et qu’un codage binaire ? Pas si sûr. A quelques mois de la mise en application du texte, les experts font de la résistance ; texte inapplicable, juristes ne comprenant pas la technologie, DPO versus RSSI, sanction irréaliste… les frictions sont partout. Après tout ce n’est que du texte, loin de la réalité technique.

Pourtant l’avenir de la sécurité numérique passe bien par les lettres, des tonnes de lettres en recommandés que vont recevoir les juristes d’entreprises de la part des maillons faibles. Les « Autres » ont maintenant un levier fort d’action : ces usagers vont obliger par les lettres les entreprises à investir plus volontairement dans leur sécurité informatique. L’opportunité pour les RSSI de pouvoir transmettre un peu de sens et d’explication est réelle… mais à la condition qu’ils sachent écrire, car in fine, à l’ère numérique, ce sont bien eux qui vont devoir y répondre, à ces lettres !