Nous avons dépensé des milliards en outils de sécurité, mais nous sommes toujours à la traîne parce que nos systèmes sont trop étroitement couplés. Un petit problème dans une plate-forme partagée peut désormais mettre à mal des industries mondiales entières.
Avant d’occuper un titre en sécurité, j’étais ingénieur logiciel mettant en œuvre des systèmes d’automatisation verticalement intégrés pour la fabrication industrielle, des réseaux de convoyeurs à l’échelle des entrepôts, la manutention robotisée des matériaux et une infrastructure physique contrôlée par logiciel sur des réseaux de plus en plus connectés. J’ai appris très tôt que les systèmes étroitement couplés produisaient des défaillances étroitement couplées. Lorsqu’une seule panne logicielle pouvait arrêter un centre de distribution, vous avez conçu une dégradation progressive. Vous avez supposé que les composants se briseraient et avez construit le système pour l’absorber.
Cet instinct m’a suivi dans la cybersécurité et finalement dans des rôles de RSSI dans les domaines de la santé, des services financiers et de l’industrie manufacturière mondiale. Ces industries opèrent sous des régimes réglementaires différents, sont confrontées à des profils de menaces différents et définissent le risque en des termes différents. Mais dans chacun d’entre eux, j’ai rencontré le même problème structurel : le cyber-risque n’était pas régi comme une discipline unifiée. Il a été adopté au coup par coup par des systèmes qui existaient déjà, des marchés de produits, des régulateurs, des auditeurs, des assureurs et des conseils d’administration, chacun construisant des cadres selon son propre calendrier, dans son propre langage, vers sa propre définition du « sécurisé ». Ce modèle rappelle les débuts de la science actuarielle, où des branches distinctes de l’assurance modélisaient chacune le risque de manière isolée avant de découvrir que les pertes corrélées constituaient la véritable menace.
Au sein de chaque silo individuel, la logique était solide. Mais les liens entre eux n’ont jamais été comblés. Là où l’angle mort d’un système devient l’exposition sans prix d’un autre, il n’existait pas de langage commun pour le nommer. Et à mesure que la transformation numérique a accéléré l’interconnexion entre les industries, les chaînes d’approvisionnement et les infrastructures critiques, ces coutures se sont élargies jusqu’à devenir la surface actuelle des risques modernes.
Nous dépensons plus et prenons encore plus de retard
Dans chaque programme de sécurité que j’ai dirigé, le budget aurait pu exploser d’année en année. Mon approche a toujours été à l’opposé : réduire de manière agressive la prolifération des outils et le chevauchement des capacités, simplifier l’architecture et lier chaque dollar à un résultat commercial mesurable. Calendrier et intention. Mais même avec cette discipline, la distance entre ce que nous dépensions et ce à quoi nous étions exposés s’est élargie, car le changement technologique rendait nos outils et nos hypothèses obsolètes plus rapidement que nous ne pouvions les remplacer. Les chiffres au niveau de l’industrie confirment que ce n’est pas anecdotique. Gartner prévoit que les dépenses mondiales en matière de sécurité dépasseront 212 milliards de dollars en 2025. L’impact économique de la cybercriminalité, selon la plupart des estimations, dépasse les 10 000 milliards de dollars par an. Ces courbes divergent et non convergentes.
J’ai d’abord ressenti cela avec acuité dans le domaine des soins de santé. En tant que RSSI chez un administrateur mondial d’avantages sociaux traitant des données de santé sensibles pour des millions de membres, j’ai travaillé sous le régime de la HIPAA, des mandats de confidentialité au niveau de l’État et des obligations contractuelles des promoteurs de régimes. Nous pourrions satisfaire à chaque audit tout en connaissant le risque réel vécu dans les transferts, les interfaces entre notre plateforme de sinistres et les réseaux de fournisseurs externes, les données circulant entre des systèmes régis par des normes différentes. Les auditeurs ont coché leurs cases. Les coutures n’ont pas été mesurées.
Plus tard, alors que je dirigeais l’ingénierie de sécurité mondiale dans une grande société de gestion d’actifs, j’ai constaté la même lacune dans les services financiers. Différentes commandes, différents régulateurs, angle mort identique. La fragmentation était encore plus visible au niveau international. Organismes de réglementation régionaux, exigences en matière de souveraineté des données qui variaient selon les juridictions, écosystèmes de fournisseurs qui différaient selon les zones géographiques. Chaque régulateur avait sa propre définition d’une sécurité adéquate. Aucun ne décrivait la réalité interconnectée que nous défendions. Des chercheurs de la Réserve fédérale ont documenté comment l’exposition du système financier à des cyberévénements corrélés augmente d’une manière que les modèles de risque traditionnels n’ont pas été conçus pour capturer. J’ai vécu cet écart au quotidien.
Le lien entre ces expériences était une tendance du marché de l’assurance qui me troublait plus que n’importe quelle menace. J’ai vu les primes diminuer alors même que la fréquence et la gravité des violations augmentaient. Les assureurs souscrivaient des incidents individuels et non corrélés alors que le risque réel devenait systémique. La transformation numérique avait réuni ces secteurs : les plateformes de soins de santé connectées aux centres d’échange financiers connectés aux chaînes d’approvisionnement manufacturières, toutes connectées aux hyperscalers, mais les modèles actuariels traitaient toujours chaque assuré comme une île. Lorsqu’une défaillance d’un seul fournisseur peut se répercuter simultanément sur des milliers d’organisations, ce modèle de tarification n’a plus de sens. Un cygne noir se cache dans notre étang numérique.
Les choix normaux sont les plus dangereux
Considérez la pile qu’une grande entreprise typique utilisait en 2024 : un fournisseur pour l’ERP et la chaîne d’approvisionnement, un autre pour l’application du périmètre, un autre pour la mise en réseau et un autre pour la protection des points finaux. Des choix standards, faits de manière responsable. En l’espace de 12 mois, chacune de ces catégories a connu des perturbations importantes, allant des exploits Zero Day aux échecs de mise à jour qui ont perturbé les opérations mondiales. Il était possible de survivre à n’importe quel événement. L’accumulation était tout autre chose.
J’ai vécu cela en tant que RSSI mondial. Mon équipe a planifié des crises séquentielles avec un temps de récupération entre elles. Nous avons obtenu des perturbations qui se chevauchaient dans des systèmes interdépendants. Une semaine, nous triions un correctif d’urgence sur notre périmètre tandis qu’un deuxième avis remontait sur une autre plateforme. L’hypothèse selon laquelle ces événements arriveraient un par un, et que nous aurions une marge de manœuvre, s’est avérée être une fiction de planification. Lorsque vous soutenez l’opération elle-même, les crises révèlent les coutures en temps réel.
Une vulnérabilité de pare-feu n’est pas seulement un problème de réseau lorsque l’ERP derrière elle traite chaque transaction financière. Une panne d’agent de point de terminaison n’est pas seulement une panne d’outil de sécurité lorsqu’elle met hors service les systèmes d’exploitation qui gèrent votre logistique. Ces plateformes n’échouent pas de manière isolée, car elles ne fonctionnent pas de manière isolée. De plus en plus, les industries qui en dépendent non plus. Une perturbation chez un fournisseur de cloud se répercute sur les systèmes de santé qui traitent les réclamations, les institutions financières qui règlent les transactions et les fabricants qui coordonnent les chaînes d’approvisionnement sur la même plateforme.
L’incident CrowdStrike de juillet 2024 a rendu cette affirmation impossible à ignorer. Une mise à jour de contenu de routine, sans attaquant, sans exploit, a détruit des millions de systèmes Windows dans le monde. Vols des compagnies aériennes cloués au sol. Les hôpitaux ont détourné les patients. Les services financiers sont devenus sombres. L’outil de protection lui-même est devenu le vecteur de défaillance. Cela aurait dû mettre fin au débat sur la question de savoir si la cybersécurité est un problème technique contenu dans les frontières organisationnelles ou un risque systémique qui les dépasse.
Mon expérience en automatisation industrielle rendait cela sinistrement familier. Dans le domaine de la manutention, nous savions que la couche d’intégration constituait la surface la plus à risque. Nous avons conçu des systèmes en supposant que n’importe quel composant pouvait tomber en panne et avons créé des chemins de dégradation afin que l’opération ne s’arrête pas. La cybersécurité d’entreprise s’était d’une manière ou d’une autre convaincue qu’assembler les meilleurs outils équivalait à construire un système résilient. Ce n’est pas le cas. Et à mesure que la transformation numérique déplace des infrastructures plus critiques, depuis les réseaux énergétiques et les systèmes d’eau jusqu’aux réseaux de transport et aux appareils médicaux, sur les mêmes plateformes interconnectées, les conséquences de cette confusion se multiplient.
La résilience est un problème de conception, pas un problème de conformité
Dans les domaines de la santé, des services financiers et de l’industrie manufacturière, j’ai observé la même tendance. L’appareil de conformité mesurait si des contrôles existaient. Elle mesurait rarement si l’organisation, ou l’infrastructure plus large dont elle dépendait, pouvait survivre à son échec. Dans le secteur de la santé, nous faisons preuve de conformité tout en sachant que notre résilience face à une attaque coordonnée de la chaîne d’approvisionnement n’est en grande partie pas testée. Dans le secteur des services financiers, nous réussissons les examens tandis que les assureurs souscrivent notre prix de risque sur la base des mêmes signaux de conformité acceptés par les examinateurs – et aucun des deux ne saisit les interdépendances systémiques entre nos plateformes et nos contreparties. Dans le secteur manufacturier, nous sécurisons le réseau informatique tandis que la technologie opérationnelle contrôlant les processus physiques est de plus en plus exposée à travers la même transformation numérique que l’entreprise accélère. Nous sommes faibles jusqu’aux coutures.
La question qui me suivait de rôle en rôle était simple : si une plate-forme critique tombait en panne demain, pas une violation, mais simplement une défaillance, l’entreprise pourrait-elle continuer à fonctionner ? Les services essentiels qu’il fournit pourraient-ils continuer à fonctionner ? Les processus papier et les exercices théoriques ont toujours existé, mais jamais d’une manière permettant de prévoir les impacts en cascade.
Internet lui-même offre un meilleur modèle. Il a été conçu pour survivre à la perte de n’importe quel nœud individuel. Les routes se rompent et le trafic trouve un autre chemin. Les organisations ont besoin de la même qualité architecturale, tout comme l’infrastructure interconnectée qui les recouvre. L’objectif ne peut pas être d’empêcher tout compromis. Elle doit garantir qu’aucune défaillance ne se transforme en perturbation systémique qui mettrait hors ligne des services critiques dans tous les secteurs. Cela définit la priorité. Vous ne pouvez pas auditer votre chemin vers cela. Vous devez le construire.
Les pressions extérieures convergent vers cette conclusion. Il est de plus en plus difficile de souscrire une assurance à des niveaux de couverture significatifs et les assureurs sont aux prises avec des risques corrélés qu’ils ne peuvent pas encore évaluer. Les régulateurs imposent la responsabilité aux dirigeants. Les conseils d’administration veulent des preuves de capacité de survie, pas des scores de maturité. Et la portée de ce que la « cybersécurité » est censée protéger ne cesse de s’étendre, de l’IA et des données d’entreprise à la technologie opérationnelle en passant par les infrastructures critiques dont dépendent les communautés.
L’industrie a construit une économie en démontrant que les organisations sont en sécurité. Il est optimisé pour les audits, les certifications et l’alignement des cadres. Ce qu’il n’a jamais réussi à résoudre, c’est de prouver qu’une organisation et l’infrastructure qui l’entoure peuvent absorber de graves perturbations et continuer à fonctionner. C’est la couture qui compte le plus.
La transformation numérique n’a pas seulement augmenté la surface d’attaque de chaque organisation. Il a tissé ces surfaces ensemble pour former un réseau émergent d’interdépendance qui traverse les secteurs et les frontières. La question que tout responsable de la sécurité et du risque devrait se poser n’est plus de savoir si ses contrôles sont suffisants. Il s’agit de savoir si leurs programmes ou leurs offres sont alignés sur un avenir durable ou s’ils maintiennent un passé de plus en plus lourd.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
