Etes-vous sûr(e) de bien appréhender la cybersécurité au sein de votre entreprise ?
C’est la question que vous allez forcément vous poser après avoir lu “L’art (secret) de la guerre : essai sur la défense numérique” d’Alexandre Lienard.
Sorti en février 2022, l’auteur – expert en cybersécurité – y propose une interprétation du célèbre ouvrage de Sun Tzu “L’art de la guerre”.
Destiné aux professionnels de la sécurité et des systèmes d’information (RSSI et CISO), il y reprend les 49 stratagèmes de “L’art de la guerre “ adaptés aux enjeux de sécurité numérique d’aujourd’hui.
Qui est Alexandre Lienard, auteur et consultant freelance en cybersécurité ?
Alexandre Lienard est un consultant cybersécurité franco-belge. Sa carrière a commencé dans le domaine des tests d’intrusion et des audits techniques. Au cours de son parcours, son intérêt grandissant pour la stratégie et la tactique l’ont orienté vers la gouvernance.
En 23 années de carrière, il a effectué beaucoup de missions et beaucoup de métiers. Il a notamment été CISO d’un grand groupe pendant 5 ans, dirigeant un département sécurité de 15 personnes.
Tantôt freelance, tantôt salarié, il a une nette préférence pour le statut de freelance qui lui permet d’être libre de choisir ses sujets. Il a d’ailleurs rejoint la communauté de freelances LeHibou depuis un peu plus d’un an. Et a déjà réalisé sa première mission freelance en cybersécurité avec succès.
Pourquoi un essai sur la cybersécurité ?
Pour Alexandre Lienard, les métiers de la sécurité et des systèmes d’information se pacifient un peu trop. Selon lui, les dirigeants considèrent les CISO et les RSSI comme des chefs d’orchestre alors qu’ils devraient être perçus comme de véritables chefs de guerre. Car, tous les jours, ils sont la cible de nombreuses cybermenaces. En face d’eux, la cyberguerre est bien réelle. On retrouve des mafias, des cybercriminels et même des Etats…
Les questions de cybersécurité en entreprise
Pour Alexandre Lienard, la sécurité repose toujours sur les questions suivantes :
- qu’est-ce qu’on protège ?
- contre quoi ?
- mais aussi… contre qui ?
Et tant que les réponses à ces questions ne sont pas établies, la stratégie ne peut pas être la bonne.
La principale raison des piratages en entreprise
Il déclare : “c’est faire preuve d’angélisme de croire qu’on peut se défendre sans se mettre dans la peau des assaillants.” Avant de s’en référer à Sun Tzu et l’un de ses fameux stratagèmes : “connais-toi toi même comme tu connais ton ennemi, ta victoire ne sera jamais mise en danger”.
Car, selon lui, ne pas connaître ses ennemis, ni leur fonctionnement, est une des principales raisons du piratage des organisations. “Dans les entreprises aujourd’hui, les plus gros piratages sont rarement un problème technique. C’est plus souvent un problème de positionnement, de stratégie et souvent un manque d’appétence de la part de la direction pour les questions de cybersécurité. Si la direction n’a pas d’appétence pour les affaires de défense numérique, les utilisateurs n’en auront pas non plus.”
Cybersécurité et entreprises, on en est où en 2022 ?
Pour Alexandre Lienard, les ransomwares et logiciels malveillants sont aujourd’hui des risques avec lesquels il faut que les entreprises vivent. Car, tant qu’il n’y aura pas une intelligence artificielle capable de tout gérer, il y aura toujours une faille humaine dans le système. Que ce soit une personne qui clique sur une pièce jointe malveillante ou quelqu’un qui réalise un défaut de configuration, l’erreur sera toujours humaine.
Finalement, les deux principales vulnérabilités sur lesquelles les entreprises peuvent nettement faire la différence sont : la préparation et leur attention pour les risques cyber.
Des difficultés liées à la culture des entreprises
Il déclare à ce sujet : “C’est fou mais Internet a déjà 30 ans. Et on n’a pas encore réussi à mettre un niveau de sécurité optimal ! Car les gens n’y pensent pas. Car la sécurité est souvent vue comme un centre de coût et comme une contrainte dans les projets. Mais c’est une vision très européenne. Au Royaume-Uni, aux Etats-Unis ou au Canada, les CISO sont beaucoup plus dans une logique martiale. Ils sont considérés comme des chefs de guerre qui ont la responsabilité de protéger le périmètre. L’organigramme des entreprises en est pour preuve. Les CISO / RSSI y sont rattachés aux comités de direction. En Europe, la plupart des RSSI ou des CISO sont rattachés au département IT. Ce qui est un non-sens. Car vous mettez en dessous de l’IT quelqu’un qui va dire à l’IT qu’il ne fait pas son travail. La mission de la personne qui gère la cybersécurité, c’est de dire à l’IT de prendre en considération certains aspects de cybersécurité dans ses projets. C’est donc un problème de culture de la sécurité numérique.”
En conclusion
Avec “L’art (secret) de la guerre : l’essai sur la défense numérique”, Alexandre Lienard ne prétend pas changer les choses. Cet ouvrage est plutôt une méthodologie de travail qui a fait ses preuves et qui permet de se poser les bonnes questions.
Dans ce premier ouvrage, l’auteur souhaite sensibiliser le plus grand nombre sur la nécessité de mettre en place une stratégie en cybersécurité. Cet ouvrage ne se veut pas technique pour focaliser le lecteur sur la méthodologie et la réflexion autour de la manière de diriger une bataille de défense numérique.
La 2ème version : “L’art (révélé) de la guerre” – dont la sortie est prévue pour septembre, reprendra le sujet en profondeur. Chaque chapitre sera expliqué en détails à l’attention des experts cybersécurité.
Cet ouvrage est en vente sur Amazon.
