RSA Conference : l’industrie (enfin) à l’heure de la coopération ?

À leur manière, les trois intervenants en ouverture de RSA Conference ont fait valoir que la communauté de la sécurité informatique doit se concentrer sur des améliorations incrémentales afin de concrétiser de véritables changements.

Rohit Ghai, président de RSA, a filé plusieurs métaphores sportives pour souligner la valeur du travail d'équipe, de petites améliorations et de l'anticipation. Le président de Microsoft, Brad Smith, s'est concentré sur l'impact humain des cyberattaqueset sur la manière dont les professionnels de la sécurité informatique seront les « premiers secours » dans les prochaines cyberguerres. Et Chris Young, Pdg de McAfee, a mis en garde contre une lassitude susceptible retarder le passage à l'action.

« Il y a ici 50 000 d’entre nous, ce qui témoigne de la puissance croissante de notre communauté. Et ce que nous faisons de notre temps ensemble importe plus que jamais », a lancé Rohit Ghai lors de son allocution. « Le présent compte, parce qu’il est porteur de ce qui est à venir. Alors ne parlons pas des avantages des pirates ; ils peuvent le faire dans leurs propres conférences. Parlons de nos forces. Au lieu de parler de l’avenir des menaces, parlons de celui de la sécurité ».

Certes, Rohit Ghai le reconnaît volontiers, il peut être difficile de célébrer les succès de la communauté de la cybersécurité, car une bonne sécurité ne fait pas les gros titres. Mais il a mis en avant trois points susceptibles d’aider les professionnels de la sécurité informatique à rester positifs.

Car pour lui, il convient de « faire attention non seulement à la technologie de la défense, mais aussi à la psychologie de la défense. Le mental du défenseur importe autant que le bouclier qu'il utilise. […] Pendant des années, nous nous sommes motivés par la peur de ce qui arrive lorsque nous échouons. Et si nous pouvions nous inspirer de la gloire de ce que nous permettons quand nous réussissons ? »

Faute de recette magique, Rohit Ghai préconise de se concentrer sur les améliorations progressives, d’anticiper les risques lors de l'adoption de nouvelles technologies, et de permettre une meilleure coopération, au sein des équipes de sécurité ainsi qu’avec les métiers.

Car comme le relève Rohit Ghai, l'adoption des nouvelles technologies s'accélère, et il faut beaucoup mieux anticiper les risques associés : « il y a une énorme valeur dans la sécurité intégrée plutôt qu’ajoutée à posteriori ».

Mais le patron de RSA souligne également que la conscience de l’importance de la sécurité informatique s’étend, au-delà des spécialistes : « si la nécessité est la mère de l'invention, le risque est la mère de l'assurance. La meilleure preuve de la prise de conscience est l’intérêt croissant pour la cyberassurance ». Alors pour lui, « nous sommes en train de quantifier le risque cyber avec des normes. La quantification de ce risque est un outil essentiel pour les entreprises qui veulent traduire la cybersécurité en dollars et cents – un langage qu'elles comprennent ».

Pour Chris Young, toutefois, « la cybersécurité n'a pas encore atteint le niveau de priorité qu'elle doit atteindre pour être vraiment en mesure de faire face aux menaces auxquelles nous sommes confrontés. […] La cybersécurité est encore une conversation marginale dans tant d'arènes ».

Chris Young estime ainsi que la sensibilisation à la cybersécurité est bien là parmi les dirigeants des entreprises, mais que les cadres concernés « ne savent pas encore comment traduire cette conscience en action qui imprègne toute une organisation ». Alors pour lui, il est de la responsabilité des professionnels de la sécurité informatique d'aider les cadres à comprendre, même tout le monde est en définitive responsable de l’amélioration de la situation.

« Beaucoup de gens ne croient pas que la cybersécurité relève de leur responsabilité, mais c’est en partie parce que nous n'avons pas encore pris notre part de responsabilité dans la diffusion de la culture », estime Chris Young.