L’armée américaine est probablement l’organisation la plus attaquée au monde. Entre juin 2014 et 2015, les militaires américains ont été victimes de plus de trente millions de cyberattaques. Sur ce nombre impressionnant, seulement 0,1 % ont été susceptibles de créer des dommages dans les réseaux et les systèmes.
« Compte tenu de la sophistication des attaques, ce ratio est très faible », notent les auteurs (deux militaires américains et un universitaire d’Oxford) d’un article paru dans le numéro de septembre 2015 de la Harvard Business Review. Comment faire pour résister à quasiment toutes les attaques ? Six grands principes sont appliqués par le Pentagone et font partie de la culture de sécurité :
1. L’intégrité : il s’agit de respecter les procédures de manière à ce que, précisent les auteurs, « les collaborateurs avertissent leurs managers dès qu’une erreur est détectée, de manière à la corriger au plus vite avant qu’elle ne nécessite de longues investigations lorsque le problème apparaît. »
2. La profondeur de la connaissance. « Si les individus maîtrisent tous les aspects d’un système, comment il est conçu, quelles sont ses vulnérabilités et quelles procédures sont utilisées pour le faire fonctionner, ils seront plus à même de détecter les dysfonctionnements », estiment les auteurs.
» Cybersecurity’s human factor: lessons from the pentagon « , par James Winnefeld, Christopher Kirchhoff et David Upton, Harvard Business Review, septembre 2015.
3. La conformité des procédures de sécurité. Dans l’industrie nucléaire, les opérateurs connaissent les procédures et sont obligés de les appliquer à la lettre. « Ils sont ainsi capables d’identifier une situation anormale qui ne rentre pas dans le cadre des procédures existantes et qui demandent d’en élaborer de nouvelles », expliquent les auteurs.
4. En backup technique, mais aussi humain : « Toutes les actions à risque doivent être gérées par au moins deux personnes, chacune ayant le pouvoir de stopper un processus lorsque des problèmes surviennent », notent les auteurs.
5. Une attitude de questionnement : c’est un élément essentiel pour la prévention des risques : « Si les individus sont formés pour détecter les signaux d’alerte, en rechercher les causes et engager les actions correctrices nécessaires, la probabilité qu’ils interviennent très en amont est plus élevée », assurent les auteurs.
6. Une communication formalisée : il s’agit de minimiser le risque que les informations émises et reçues à des moments critiques ne soient mal interprétées, du fait d’une inattention, d’interprétations personnelles ou de l’oubli d’étapes importantes dans la gestion des incidents. D’où deux principes importants : la clarté et la répétition.
Ces principes sont soutenus par une organisation adaptée désignée par les auteurs comme une « High Reliability Organization ». Celle-ci repose sur six principes, dans le cadre d’une stratégie qui doit combiner « les capacités techniques et l’excellence humaine » :
1. Inciter la direction générale à prendre le problème de la cybersécurité au sérieux. « Si ce n’est pas le cas, il n’y a aucune chance que le reste de l’organisation prenne ce sujet au sérieux », déplorent les auteurs, pour qui les directions générales « ne vont pas assez vite, du fait de l’ampleur du problème et des investissements nécessaires. »
2. Rendre tout le monde responsable : « Les violations de sécurité ne doivent plus être connues seulement des administrateurs réseaux : tous les collaborateurs, dans une organisation, doivent reconnaître leur responsabilité pour les actions qu’ils contrôlent. »
3. Elaborer des standards de sécurité, gérés de manière centralisée, avec des contrôles réguliers pour mesurer le degré de connaissance des procédures de sécurité et des formations pour combler les écarts. Le Pentagone oblige toutes ses recrues à suivre des formations en cybersécurité dans les académies militaires.
4. Définir précisément les responsabilités, les niveaux de sécurité et de reporting : « Il n’y aucune raison pour que les entreprises privées ne s’inspirent pas de ce qui est fait dans le domaine militaire au sein des structures de type « Command and Control » », affirment les auteurs.
5. Vérifier le niveau de sécurité et de défense contre les cyberattaques, avec des tests réguliers et aléatoires, sans oublier d’analyser les menaces internes. « Il n’est pas suffisant de se contenter d’analyser les vulnérabilités réseaux et l’exposition aux attaques externes de la part de hackers », insistent les auteurs.
6. Eliminer « la peur de l’honnêteté » et aggraver les « conséquences de la malhonnêteté ».