L’IA révèle la plus grande faiblesse de la cybersécurité : nous n’avons jamais construit de modèle de santé. Jusqu’à maintenant!

Depuis 30 ans, la cybersécurité fonctionne comme une salle d’urgence.

Réactif. Conduit par la crise. Toujours en train de trier. Nous y excellons extraordinairement : notre détection est plus rapide, nos plans de réponse sont plus précis et nos équipes chargées des incidents sont plus compétentes qu’elles ne l’ont jamais été. Quand quelque chose ne va pas, les organisations de sécurité modernes se précipitent vers le feu avec une véritable habileté.

Mais voici la vérité inconfortable que l’intelligence artificielle impose désormais au grand jour : une salle d’urgence ne produit pas une population en bonne santé. C’est ce que font les soins de santé – grâce à la prévention, à la surveillance continue, au diagnostic précoce et à un modèle du patient dans son ensemble.

La cybersécurité n’a jamais construit ce modèle. Nous avons construit l’infirmerie et l’avons appelé un métier.

Pendant longtemps, nous nous en sommes tirés. L’environnement de menace évoluait à la vitesse d’un humain. Il était possible de survivre aux lacunes de notre réflexion. L’IA a mis fin à ce délai de grâce. Cela n’a pas tant créé une nouvelle faiblesse qu’il a éclairé la plus ancienne – et il évolue désormais plus vite que notre posture réactive ne peut l’absorber.

Nous n’avons pas de problème d’outillage. Nous avons un problème de modèle manquant. Et tant que nous ne l’aurons pas nommé, aucun investissement ne pourra le résoudre.

Nous avons posé – et répondu – à la mauvaise question

Entrez dans presque n’importe quelle salle de conférence et vous entendrez le même échange. Un directeur demande au RSSI : « Sommes-nous en sécurité ?

Ce n’est pas la bonne question, et la plupart d’entre nous le savent depuis des années.

« Sécurisé » est binaire. C’est un instantané. Il s’agit d’une réponse oui ou non à quelque chose qui est en réalité une condition vivante et en constante évolution. Aucun médecin n’accepterait cette question d’un patient. Un médecin ne demande pas « Êtes-vous en bonne santé ? et attendez une réponse utile. Ils posent une meilleure série de questions : comment fonctionnez-vous ? Que disent les signes vitaux ? Qu’est-ce qui va dans la mauvaise direction ? À quoi faut-il prêter attention maintenant, avant que cela ne devienne une crise ?

La cybersécurité n’a jamais adopté cet état d’esprit car elle n’a jamais eu le modèle qui l’exigeait. Nous disposons de cadres de contrôle. Nous avons des cadres pour le comportement des adversaires. Nous n’avons pas de cadre largement adopté pour la santé organisationnelle – pour déterminer si l’entreprise, dans son ensemble, se porte bien.

Cet écart était tolérable lorsque les menaces étaient lentes. Ce n’est plus tolérable maintenant.

Pourquoi l’IA brise le modèle réactif

L’IA change trois choses à la fois, et chacune punit spécifiquement une posture réactive.

• Il compresse la chronologie. La reconnaissance, l’exploitation, les mouvements latéraux et l’exfiltration qui se déroulaient autrefois en plusieurs jours se déroulent désormais en quelques minutes. Un modèle de salle d’urgence suppose qu’il y a un temps entre le symptôme et l’intervention. L’IA ferme cette fenêtre. Vous ne pouvez pas trier une attaque qui se termine avant le début du tri.
• Cela industrialise la routine. L’IA rend les attaques compétentes peu coûteuses et abondantes : phishing grammaticalement parfait et contextuel, faux dirigeants autorisant les transferts, découverte de vulnérabilités à l’échelle de la machine. Le modèle réactif suppose un volume gérable d’événements significatifs. L’IA supprime cette hypothèse.
• Il introduit un nouvel organe que nous ne savons pas contrôler. Chaque entreprise déploie désormais des systèmes d’IA dans ses propres opérations, y compris ses opérations de sécurité. Ces systèmes prennent des décisions, prennent des mesures et comportent des risques. Ils constituent, en termes cliniques, un nouvel organe à l’intérieur du corps. Et la plupart des organisations les ont déployés sans évaluation initiale, sans surveillance de leur état et sans gouvernance de leur comportement. Nous avons ajouté un organe au patient et n’avons jamais vérifié s’il était sain.

Un modèle réactif n’a aucune réponse à tout cela. Vous ne pouvez pas surpasser la vitesse de la machine. La seule réponse viable est de passer de la réaction à la santé, c’est-à-dire de renforcer la capacité d’adaptation de l’entreprise avant la crise, et non après.

À quoi ressemble réellement un modèle de santé

C’est l’idée derrière le cadre de cybersécurité clinique – un modèle que j’ai développé pendant deux décennies au poste de RSSI, et qui a trouvé un écho suffisamment fort auprès de mes pairs au cours des derniers mois pour me convaincre qu’il nomme quelque chose que l’industrie ressent déjà.

Le principe est simple. Une entreprise doit être traitée moins comme une infrastructure statique que comme un organisme vivant – et une fois que les dirigeants voient clairement cette anatomie, toute la conversation sur la sécurité change.

Chaque entreprise a la même anatomie essentielle :

Ce n’est pas une métaphore en soi. Il s’agit d’un modèle opérationnel qui accomplit trois choses qu’une liste de contrôle ne peut pas réaliser.

1. Cela fait passer le diagnostic avant le traitement. Aucun clinicien compétent ne prescrit avant d’examiner. Pourtant, la cybersécurité achète régulièrement des outils avant d’évaluer le patient. Un modèle de santé nécessite d’abord un examen clinique – une base de référence honnête sur le fonctionnement réel de l’organisation – et ensuite seulement un plan de traitement élaboré pour ce patient spécifique.
2. Cela rend la santé mesurable et continue. Les signes vitaux d’un patient sont surveillés en permanence, par rapport aux plages saines connues, la direction du mouvement étant aussi importante que la valeur actuelle. Un modèle de santé maintient la cybersécurité selon les mêmes normes : non pas un instantané d’audit annuel, mais une surveillance continue de l’état réel de l’organisation.
3. Cela donne à chaque dirigeant une question commune. Un rythme cardiaque est universellement lisible : un clinicien, un administrateur et un membre effrayé de la famille peuvent tous lire le même moniteur et saisir la même question essentielle : le rythme est-il stable ou quelque chose ne va pas ? La cybersécurité n’a jamais reçu ce signal partagé. Les tableaux obtiennent le nombre de menaces et les pourcentages de correctifs ; ils ne reçoivent pas de pouls. Un modèle de santé donne aux technologues, aux cadres et aux directeurs un langage commun pour une même réalité.

Où cela correspond aux cadres dont nous disposons déjà

Cela ne remplace pas ce qui fonctionne. Cela le complète.

Le NIST explique les contrôles – l’architecture disciplinée des garanties. MITRE explique les adversaires – comment les attaquants pensent et se déplacent. Les deux sont essentiels. Ni l’un ni l’autre n’a été conçu pour répondre à la question de savoir si l’organisation, dans son ensemble, se porte bien.

Le NIST vous indique si les garanties existent. MITRE vous indique qui vient les chercher. Un modèle clinique vous indique si le patient peut résister à la rencontre et s’en remettre. Cette troisième question est celle que l’IA se pose désormais avec une urgence à laquelle l’industrie n’a jamais été confrontée. C’est la couche manquante, et elle se situe au-dessus des autres, pas contre elles.

Pourquoi c’est important pour le RSSI et le conseil d’administration

L’adoption d’un modèle de santé modifie le rôle du RSSI et le modifie pour le mieux.

Cela fait passer le RSSI de la position du technicien qui signale les incidents à celle du clinicien qui signale l’état. « Sommes-nous en sécurité ? » n’a pas de bonne réponse. « Voici la santé de notre organisation, voici les signes vitaux qui évoluent dans le mauvais sens, voici le plan de traitement et ce qu’il nécessite » – voilà une conversation avec laquelle un conseil d’administration peut réellement gouverner.

Cela recadre également la résilience elle-même. La résilience n’est pas l’infrastructure redondante qui restaure les données. La résilience, bien comprise, est le processus et le résultat d’une adaptation réussie à des conditions difficiles – grâce à une flexibilité mentale, émotionnelle et comportementale. Les sauvegardes restaurent les données. Seules des personnes adaptatives et des systèmes bien gouvernés restaurent une organisation. Un modèle de santé considère cette capacité d’adaptation comme quelque chose qui doit être construit et mesuré, et non supposé.

Et cela donne à l’entreprise une manière de penser une IA adaptée aux enjeux. Si l’IA est un nouvel organe, elle nécessite ce dont chaque organe a besoin : une évaluation initiale avant le déploiement, une surveillance continue de son état, des limites opérationnelles définies et une gouvernance de niveau clinique. L’IA déployée sans cela n’est pas une capacité. Il s’agit d’un risque non surveillé à l’intérieur du corps qu’il est censé protéger.

Il est temps d’arrêter de gérer les urgences

L’ère réactive de la cybersécurité touche à sa fin, non pas parce qu’elle a échoué, mais parce qu’elle n’a jamais constitué l’intégralité du travail. Nous avons construit une superbe salle d’urgence et l’avons confondue avec un système de santé. L’IA est la force qui a rendu la pièce manquante impossible à ignorer.

Les organisations qui dirigeront la prochaine décennie ne seront pas celles qui disposeront du plus grand nombre d’outils ni des alertes les plus bruyantes. Ce seront eux qui pourront répondre à une meilleure question que « Sommes-nous en sécurité ? »

Ce seront eux qui pourront dire, avec évidence : nous savons comment fonctionne cet organisme. Nous surveillons ses signes vitaux. Nous traitons ce que le diagnostic a révélé. Et nous développons la capacité d’adaptation nécessaire pour absorber ce qui va suivre.

Il est temps d’arrêter de gérer les urgences et de commencer à pratiquer la médecine.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?