Il est temps de considérer
la cybercriminalité comme une crise

L’impossible gestion du risque cyber

Face à ce risque, les entreprises se sont repliées vers les solutions traditionnelles. Tout d’abord, les solutions d’ordre technique. Rien de mieux que des experts pour contrecarrer les attaques de ces malveillants (experts eux aussi). Solution logique au premier abord, mais le bouclier est déjà fissuré avant même d’avoir reçu son premier choc. Il y a toujours meilleur que soi et la course effrénée entre l’attaquant et le défenseur tourne trop souvent à l’avantage du premier. La palette technique offerte est si large que la proactivité est très difficile. Encore une fois, nous sommes dans la réactivité. Et malgré tous les efforts fournis, le mal est déjà fait, les conséquences présentes et il faut les gérer.

La course effrénée entre l’attaquant et le défenseur tourne trop souvent à l’avantage du premier.

Le propriétaire des risques a aussi une corde habituelle à son arc de possibilités : le transfert de risques via l’assurance. Pertes d’exploitation et rançon pourraient alors donc être prises en compte. Mais les malveillants le savent déjà. Par le passé, les FARC en Colombie avaient récupéré la liste des expatriés des compagnies américaines qui étaient assurés contre le kidnapping. Vous pouvez imaginer le résultat. Il suffit de cibler rapidement ces expatriés, de les enlever et la négociation devient une formalité : le montant demandé par les kidnappeurs correspond alors au montant de l’assurance.

Comme les FARC, le cyberattaquant se focalise sur les sociétés d’assurances (espionnage et cyberattaque). Il récupère la liste des entreprises assurées, et le montant garanti de la rançon. Il n’y a plus qu’à se concentrer sur les noms présents sur la liste et là encore, nous sommes dans une fausse négociation où la partie est perdue d’avance.  

Mais, ce n’est pas le pire : le champ d’application des actes de malveillance est tellement vaste et le taux de réussite d’une cyberattaque si élevé que les assureurs font face à une multiplication inédite des cas. Face à une menace, les entreprises utilisent leur police d’assurances pour obtenir la clémence de leur « bourreau numérique ». Et pourtant, rien n’indique que le paiement d’une rançon permet de revenir à la normale. Cette idée de revenir à la normale après une vraie attaque est à oublier. En cas de cyberattaque avérée, la gestion des risques ne suffit plus : vous êtes déjà en situation de crise, que vous le vouliez ou non. Et une crise ne se gère pas en additionnant les experts dans toutes les thématiques concernées : experts cyber, forces de l’ordre, avocats, communicant de crise, assureurs… Tout doit être dirigé, coordonné. La réalité nous montre que toutes ces parties prenantes gèrent leur risque. Le malveillant peut alors dormir sur ses deux oreilles. Il a en face de lui une équipe désorganisée (la plupart des experts impliqués dans la réponse n’ont jamais travaillé ensemble et ne connaissent pas les principes fondamentaux d’une gestion de crise) qui a oublié, dans une très grande majorité des cas, que l’objectif principal n’est pas de tenter de stopper uniquement un processus technique mais un être humain ou un groupe d’individus. 

La première des failles n’est pas technique, elle est humaine

Ainsi, nous continuons à renforcer notre bouclier en espérant un jour que celui-ci résistera à tous les coups de glaive. Le cyberattaquant aime ce défi, et il se fédère avec d’autres pour faire tomber le mur mis en place. En parallèle, il sait déjà que la véritable faille ne se trouve pas dans ce mur érigé à la hâte. La vraie vulnérabilité est humaine. En un clic involontaire sur une pièce jointe, le bouclier se fissure laissant la place à de multiples possibilités. Le virus se diffuse, avec ses variants et variables, touchant et accédant à tout ce qui n’est pas immunisé.