Quel avenir en matière de cybersécurité ? La question est légitime au vu de l’explosion de la cybercriminalité dans le monde. Dans un contexte où la transformation digitale ne cesse de s’accélérer, trois scénarios peuvent être envisagés. Trois modèles qui oscillent entre attaque et défense.

Deux facteurs majeurs vont déterminer l’évolution de la problématique de la cybersécurité au cours des dix prochaines années : le degré d’accélération de la transformation digitale et l’évolution de l’environnement extérieur au cyberespace (coopération entre Etats, respect de l’Etat de droit, conjoncture économique et sociale, stratégies gouvernementales mises en œuvre, etc.). Trois scénarios peuvent être envisagés, caractérisés chacun par des rapports de force différents entre l’attaque et la défense.

Le Moyen-Age digital, entre Etats faibles et pouvoir des brigands

Dans ce scénario, les progrès technologiques sont faibles. Les efforts d’un point de vue défensif sont dépassés par l’accélération de la menace en matière de cybersécurité. Il y a une faible coopération entre les Etats. Certains d’entre eux sont corrompus ou peuvent même tomber sous la coupe des mafias, à l’image des narco-Etats d’Amérique latine. L’attaque est en position avantageuse par rapport à la défense.

Un tel rapport de forces provoque un effondrement généralisé de la confiance. Le point de rupture n’est pas atteint car les cybercriminels n’ont pas intérêt à provoquer un écroulement du cyberespace, qui signifierait leur propre ruine. Et pour cause, il n’y aurait plus de cibles à attaquer. L’apparition d’une situation de type « Cybermaggedon », caractérisée par la multiplication des cybercatastrophes, a ainsi peu de chance de se produire – sauf situation éventuelle d’escalade entre Etats nations, ce qui appartient à une logique géopolitique propre. Ici, les délinquants restent maîtres du jeu.

Les conséquences économiques sont très lourdes. Les investissements des entreprises en matière de cybersécurité sont élevés et deviennent une priorité absolue. La qualité de mise en œuvre de dispositifs de protection efficaces devient même un des avantages compétitifs les plus critiques pour les entreprises. Dans ce scénario, la coopération entre les entreprises est très faible.

Mais l’impact va bien au-delà de la défense de l’entreprise. Dans le scénario du Moyen-Age digital, il est impossible d’assurer aux clients une parfaite confiance concernant la protection des données et des risques cyberphysiques (impact sur les objets, les personnes, etc.). Or la confiance en matière de protection des données personnelles est actuellement, et de loin, le premier frein à l’utilisation d’Internet. Le développement des smart cities, la diffusion de nouvelles technologies de soins, l’éducation à distance, pour ne citer que quelques exemples, seraient menacés. C’est bien l’accélération de la transformation digitale qui se trouverait finalement remise en cause et, par ricochet, la croissance économique, la création d’emplois et le bien-être des populations.

Responsables et Alliés : quand l’union fait la force

Dans ce scénario, il n’y a pas d’avancées majeures en termes de rupture technologiques mais on constate un essor de la culture de la cybersécurité qui limite les dégâts les plus graves, dans une situation de retour à un renforcement de l’Etat de droit et de la coopération internationale, constituant un facteur exogène important pour la cybersécurité . Les entreprises parviennent à mieux décoder les attaques : objectifs, cibles visées, voire identification précise des attaquants. Il est ainsi possible d’apprécier le niveau de risque et de mesurer l’impact financier de ces assauts. Les sociétés qui ont réussi à mettre au point des solutions défensives peuvent même décider de les commercialiser.

Ce contexte nouveau favorise l’émergence d’un réseau sécurisé de cyberdéfense : il intègre les entreprises mais aussi l’ensemble des acteurs impliqués (entreprises, institutions publiques, centres de recherche universitaires, start-up, groupes de cybersécurité privés, etc.). Le WhiteNet, pendant du DarkNet, se développe et se consolide.

La principale caractéristique de ce scénario est, en effet, l’apparition d’une coopération constante et soutenue entre les Etats afin de lutter contre la cybercriminalité. Cette collaboration porte sur l’échange de données, l’acceptation de standards communs et de bonnes pratiques, etc. Au niveau national, l’évolution du risque cyberphysique est vue comme une menace critique sur la croissance et de nouvelles législations, plus agressives, voient le jour et sont efficacement mises en œuvre.

Le WhiteNet offre un socle pour le développement de nouveaux business model. Pour les entreprises, l’intégration à un réseau de cyberdéfense devient un avantage clé : elles peuvent monétiser leur savoir-faire en matière de lutte contre les cyberattaques. De nouveaux acteurs enrichissent l’écosystème : sociétés de cyberassurances, agences de notation des risques cyber, qui facilitent la monétisation, etc. Dans ce scénario, la cybersécurité génère des cercles vertueux multiples : elle est source de création de valeur.

Le risque de cybercatastrophe est faible en raison de l’existence du WhiteNet et de la coopération internationale. Cependant, la menace ne disparaît pas car il n’y a pas de risque zéro. Si la probabilité d’une cybercatastrophe est très faible, le danger est surtout d’ordre géopolitique, en particulier dans la relation avec les Etats qui ne coopèrent pas pleinement dans le WhiteNet. Le risque demeure conséquent en cas d’affrontements entre Etats nations : certains d’entre eux pourraient recourir aux cyberarmes.

La principale contrainte pour les entreprises réside dans la difficulté à recruter des talents en l’absence de réelles ruptures technologiques, telles que la diffusion large de la programmation en méthode formelle ou des percées sur la Loi de Moore, voire sur le calcul quantique, qui permettraient des ruptures en termes de capacités de calcul. Cependant la diffusion de l’intelligence artificielle devrait permettre à moyen terme de pallier certains problèmes de recrutement pour les tâches à basse ou moyenne valeur ajoutée.

La Révolution Défensive : une nouvelle donne

Dans ce scénario, on assiste à la conjonction de trois éléments favorables :

– L’essor conjoint des technologies de simulation et d’automatisation permet de rompre l’asymétrie d’information traditionnellement en faveur de l’attaque. Le rapport de forces est définitivement modifié au profit de la défense. Résultat, le développement du WhiteNet et des nouveaux business model qui y sont associés se renforce.

– Les progrès enregistrés ont pour effet d’attirer les talents vers le monde de la cybersécurité : la pénurie est résorbée. Cette accélération de la formation du capital humain permet à son tour d’améliorer en permanence les technologies et de garantir la pérennité des dispositifs de protection. Parallèlement, dans les entreprises, la fonction du responsable de la sécurité des systèmes informatiques (RSSI), ou CISO (Chief Information Security Officer), est mieux valorisée.

– Dans ce contexte, on assiste à un changement de doctrine dans la coopération internationale. Un climat de confiance se développe auprès des consommateurs et les Etats préfèrent développer une approche défensive. La sécurité collective augmente. Cette nouvelle attitude contribue, à son tour, à renforcer le nouveau rapport de force favorable à la défense. Le risque géopolitique n’est jamais nul mais il y a, pour la première fois, une influence du système technique clairement en faveur de la défense, ce qui réduit au minimum le risque de conflit.

La capacité de nuisance des groupes cybercriminels est fortement réduite et la rentabilité de leurs activités s’effondre. Par ailleurs, on assiste à une baisse globale du coût de la cybersécurité, qui permet de réallouer la valeur ajoutée à d’autres activités et de favoriser la croissance. Il y a un réel effet de création de valeur.

Dans ce scénario, les entreprises doivent donc demeurer vigilantes et adapter leur stratégie. Le dispositif de protection est externalisé et la cybersécurité devient une « utility », comme l’eau ou l’électricité. La mission du RSSI évolue : il supervise les services externalisés, tout en veillant à ce que la culture de la cybersécurité au sein de l’entreprise soit maintenue et développée. Des exercices fréquents sont organisés, la capacité de défense est régulièrement validée par le biais de « stress tests » systématiques à tous les niveaux (humain, organisation, process, etc.). L’entreprise est en tension permanente. La formation des managers est un autre volet fondamental de cette nouvelle stratégie.

Développer avant tout une société de confiance

Ces différents scénarios mettent en évidence les grands facteurs d’évolution en matière de cybersécurité, qui vont permettre de basculer dans un univers ou un autre. Ils montrent également l’importance des interactions entre de multiples éléments, un phénomène insuffisamment pris en compte dans les analyses.

L’évolution de l’environnement économique et social de la planète sera un élément décisif pour déterminer l’avenir de la cybersécurité. Au cours des dix prochaines années, il y aura toujours le risque d’une nouvelle crise économique qui provoquerait une nouvelle hausse du chômage et une accentuation des inégalités. Ce retournement de l’activité empêcherait une vraie répartition des fruits de la transformation digitale. Ce contexte serait favorable à la montée des extrémismes et à l’utilisation d’Internet comme outil de combat politique. La coopération entre Etats, mais également entre entreprises, s’en trouverait affectée et, par ricochet, le développement d’une société internationale de confiance.

La technologie en elle-même ne sera pas la seule réponse. Elle doit être intégrée à des stratégies plus globales d’approche défensive. Surtout, le changement ne pourra se concrétiser que si, parallèlement, se développe une société de confiance, tant au niveau international que national. Si les consommateurs ont le sentiment qu’une société hyperconnectée ne peut assurer la protection des données, les ruptures technologiques seront un coup d’épée dans l’eau.

Enfin, la coopération internationale n’est pas une panacée en soi. Le piège consisterait à développer une régulation excessive. Le travail en commun des Etats n’a de sens que si celui-ci a pour effet de créer un cadre suffisamment souple et protecteur pour que l’initiative privée puisse se développer dans un contexte sécurisé. Un excès de régulation pourrait, paradoxalement, nuire à la cybersécurité.

Dans tous les cas de figure, la meilleure arme défensive demeure la collaboration entre l’ensemble des acteurs impliqués dans le cadre du WhiteNet. Cet outil est à la fois une arme défensive efficace, une source de création de valeur et un moyen d’attraction des talents. Les entreprises ont un rôle majeur à jouer dans l’émergence de ce WhiteNet et dans l’élaboration d’une réponse à la cybercriminalité.