UNÀ mesure que le paysage numérique devient plus complexe et que les cybermenaces continuent d’évoluer, les organisations doivent recourir à une stratégie de cybersécurité globale et adaptative. Cela implique souvent l’intégration d’un large éventail d’applications et de solutions de sécurité, quel que soit l’éditeur de logiciels qui les a développées. L’interopérabilité permet le partage transparent des informations et l’intégration des systèmes de sécurité de différents fournisseurs. C’est la clé pour parvenir à cette intégration, car l’interopérabilité permet aux organisations de créer une approche globale de cybersécurité qui s’adapte à leur architecture de sécurité unique.
Même si l’objectif consistant à mettre en place des mesures globales de cybersécurité n’est pas récent, il reste un défi permanent. Les développeurs de logiciels considèrent souvent la cybersécurité comme une opportunité de marché potentielle, motivés à développer une suite intégrée d’applications qui, selon eux, peuvent satisfaire les exigences de sécurité de leurs clients. Dans cette optique, l’interopérabilité avec d’autres logiciels est reléguée au second plan et ne reçoit pas suffisamment d’attention pendant le processus de développement.
Les entreprises ont souvent des points de vue différents sur la cybersécurité. Pour ces entités, la cybersécurité englobe l’ensemble de l’architecture de sécurité de l’entreprise, qui peut être complexe en raison des divers besoins commerciaux de plusieurs unités qui peuvent ne pas s’intégrer facilement. Cela est particulièrement pertinent dans les infrastructures nationales critiques, telles que les centrales électriques, où des systèmes d’automatisation sont utilisés et peuvent être compatibles avec certaines solutions de cybersécurité, mais pas avec d’autres. En conséquence, ces systèmes doivent subir des processus de validation rigoureux pour garantir que les opérations ne seront pas affectées par l’installation de nouvelles solutions de cybersécurité.
Une approche pour relever les défis d’interopérabilité en matière de cybersécurité consiste à redéfinir le concept d’« architecture de cybersécurité » et à l’envisager comme s’il s’agissait d’un « produit de cybersécurité » unique et complet. Cela peut être comparé à la construction d’une voiture, où le produit final n’est pas seulement un ensemble de composants individuels (tels que des vitres ou un moteur), mais plutôt un véhicule entièrement assemblé. Malheureusement, atteindre ce niveau d’intégration s’est avéré être un défi de taille pour le secteur de la cybersécurité, principalement parce que la nature ultime du « produit de cybersécurité » n’est pas encore définie. En d’autres termes, il n’existe pas de consensus clair sur ce qui constitue une solution de cybersécurité véritablement complète et, par conséquent, de nouveaux produits sont continuellement développés avec la prétention de répondre à de nouveaux problèmes de sécurité.
L’interopérabilité est une exigence nécessaire en matière de cybersécurité, précisément parce que le problème des cybermenaces n’est toujours pas résolu. Même si tous les logiciels de cybersécurité disponibles sont intégrés, de nouvelles vulnérabilités sont découvertes quotidiennement, ce qui nécessite des solutions innovantes. Dans l’exemple précédent, une voiture résout le problème de la mobilité, alors que les applications de cybersécurité ne peuvent pas entièrement résoudre le problème des cyberattaques. Il est possible qu’il existe un avenir dans lequel le problème sera en grande partie résolu, mais ce jour n’est pas encore arrivé.
En raison de ce problème de cybersécurité non résolu, les organisations sont moins susceptibles de se contenter d’une solution unique lorsqu’elles investissent dans des solutions de cybersécurité. Même s’il est dans leur intérêt de le faire, ils craignent d’avoir besoin des fonctionnalités les plus récentes annoncées par les entreprises les plus récentes arrivant sur le marché. Ou pire encore, ils craignent de devoir répondre devant le tribunal de l’opinion publique s’ils sont victimes d’une cyberattaque pour ne pas avoir mis en œuvre les dernières solutions.
Interrogés à ce sujet dans une enquête récente, 77 % des personnes interrogées ont déclaré qu’elles aimeraient voir davantage de support pour les normes ouvertes, et 83 % pensent que les capacités d’intégration d’un produit sont importantes (ESG & ISSA Research, 2022). Pourtant, sur le marché de la cybersécurité, deux erreurs coûteuses sont couramment observées. Premièrement, les concurrents développent fréquemment des fonctionnalités similaires pour proposer une solution complète qui supplante toutes les autres options. Deuxièmement, ces entreprises ne réalisent pas que leurs intérêts concurrentiels entravent souvent leurs propres processus d’innovation, ce qui conduit au développement de logiciels qui ne sont ni nouveaux ni innovants. Cette approche crée un « fossé » autour de leurs solutions, ce qui ralentit finalement le développement de solutions supplémentaires par d’autres fournisseurs tiers. Dans le secteur de la cybersécurité, il existe souvent un décalage entre le public visé par les logiciels de cybersécurité et la personne que leurs fournisseurs considèrent comme les clients de l’organisation. Même si beaucoup s’accordent sur le fait que le personnel informatique devrait être le principal utilisateur final de ces logiciels, nous ne pouvons pas avoir des informaticiens partout ; la cybersécurité est nécessaire. Par exemple, certaines organisations, telles que les infrastructures nationales critiques et les systèmes industriels, s’appuient sur des experts non informatiques pour exécuter leurs programmes de cybersécurité. Il est également important de reconnaître que l’utilisateur final du « produit de cybersécurité » n’est pas le personnel informatique ou autre personnel opérationnel, mais plutôt les dirigeants d’entreprise et les autorités gouvernementales qui mènent les enquêtes de cybersécurité.
Malgré cela, de nombreux responsables de la sécurité de l’information (RSSI) sont principalement formés pour se concentrer sur les nouvelles fonctionnalités logicielles et partent du principe que si une solution fonctionne pour l’informatique, elle fonctionne pour l’organisation dans son ensemble. Cette approche est erronée et devra être corrigée. La cybersécurité n’est pas seulement une question de fonctionnalités ; il s’agit avant tout d’assurer la conformité, de gérer les risques et d’atténuer les responsabilités. En outre, la cybersécurité joue un rôle essentiel en aidant les autorités à poursuivre les affaires de cybercriminalité. Ainsi, si une solution de cybersécurité ne fonctionne pas pour ces autorités, alors elle ne fonctionne pas du tout.
Alors que les dirigeants d’entreprise et les autorités gouvernementales sont responsables en fin de compte de garantir des mesures de cybersécurité efficaces, le personnel informatique joue un rôle crucial dans la configuration et la maintenance de solutions logicielles complexes. En d’autres termes, l’informatique est un composant essentiel du « produit de cybersécurité » et non l’utilisateur final : elle fait partie de la voiture, pas du conducteur de la voiture.
En outre, les mesures de cybersécurité sont essentielles pour garantir la sécurité des ressources nationales et maintenir les infrastructures critiques, telles que la disponibilité de l’électricité, de l’eau et des services de communication. Si l’infrastructure nationale n’est pas protégée, le pays pourrait être incapable de se défendre lors de futurs conflits, entravant ainsi la croissance de l’ensemble de l’écosystème de cybersécurité.
A propos de l’auteur
Juan Vargas, Consultant en cybersécurité et ingénierie, Artech LLC Diplômé de l’Université Carnegie Mellon, Juan Vargas a commencé sa carrière en analysant des données chez Intel Corp avant de se concentrer sur les systèmes d’automatisation et de contrôle chez Emerson Electric et de devenir finalement un expert en cybersécurité pour ces systèmes. Il a travaillé avec la plupart des systèmes de contrôle dans la production d’électricité et sur divers projets pour les 10 plus grandes sociétés de services publics aux États-Unis.
Commentaires
Enregistrer un commentaire