La relation symbiotique entre la résilience et les stratégies efficaces de cybersécurité tisse une toile qui entrelace les méthodologies de gestion du risque traditionnelles avec des cadres plus adaptatifs et tangibles (P.E. Roege et coll., 2017, 383).
La Maison-Blanche (2013) décrit la résilience comme étant : « L’aptitude à se préparer et s’adapter aux conditions changeantes, et à surmonter les perturbations et récupérer rapidement par la suite. »
L’association d’un tel concept adaptatif à la cybersécurité suggère que la gestion du risque seule ne suffit pas. Elle exige la souplesse de la résilience pour lutter de manière efficace contre les cybermenaces. Cela signifie également que les entreprises doivent lutter sur plusieurs fronts à la fois pour protéger leurs données. La sensibilisation à la cybersécurité se manifeste par les brèches qui existent actuellement et qui façonnent simultanément les comportements des principaux intervenants.
« L’INFORMATION EST L’UN DES SECTEURS TECHNOLOGIQUES LES PLUS DYNAMIQUES; ELLE EST INTIMEMENT LIÉE À TOUS LES SERVICES ET FONCTIONS IMPORTANTS » – ROEGE ET COLL. 2017
Une synergie a lieu et lie différents univers : naturel, humain et cyber (Roege et coll. 2017, 391). En effet, la cybersécurité – et par conséquent, la cybercriminalité – agit comme un écosystème ayant ses propres dynamiques et structures. Toutefois, elle n’existe pas indépendamment des autres univers. Elle compte plutôt fortement sur ses contreparties naturelles et humaines. Par exemple, lors de catastrophes naturelles, comme les inondations et les ouragans, la sécurité humaine et naturelle est en état d’alerte et tous les efforts humains se concentrent sur la crise en cours. Cela donne lieu à des échappatoires dans le paysage numérique en raison d’un plus grand nombre d’utilisateurs distraits par la situation et donc moins vigilants. Les cybercriminels peuvent tirer avantage de cette occasion perturbatrice pour cibler les vulnérabilités humaines. Bref, la cybersécurité n’existe pas en vase clos, à l’abri des univers extérieurs. Les réglementations sur les données, le partage de l’information et la surveillance ont des conséquences sur la cybersécurité de même que sur la nature et les humains. Ces trois éléments sont en dialogue constant (Roege et coll., 392-393); nous avons donc la responsabilité, en tant que professionnels dans le domaine, de travailler dans ce contexte si nous élaborons des stratégies de cybersécurité plus résilientes.
Mais revenons à notre définition de la résilience selon l’administration Obama en 2013. La résilience implique l’état de préparation, l’adaptation, la résistance et la récupération. Ces concepts ne sont pas statiques. Ils ont un effet sur la force de travail et, en retour, la force de travail façonne la façon dont la résilience est mise en pratique (Roege et coll., 400). En comprenant que la résilience fait partie de la cybersécurité et que cette dernière exige de la résilience pour se préparer, s’adapter, résister aux menaces et récupérer par la suite, il est indéniable que la résilience comprend la sensibilisation à la sécurité de l’information.
L’information est l’un des secteurs technologiques les plus dynamiques; elle est intimement liée à tous les services et fonctions importants et elle catalyse l’innovation et l’efficacité individuelles. […] Il peut être utile de conceptualiser un monde numérique qui fonctionne de manière distincte, s’il collabore avec les univers physique et humain. Compte tenu de ces facteurs, le cyberunivers serait un candidat logique à l’adoption précoce des concepts de résilience (Roege et coll., 410).
À cet effet, la notion de la sensibilisation signifie de faciliter les possibilités d’apprentissage par une sorte d’échange entre intervenants, domaines et sujets. Puisque la résilience exige la collaboration entre ces trois éléments, nous devons reconnaître qu’elle exige également d’apprendre davantage, d’essayer, d’échouer et d’essayer encore, jusqu’à ce que finalement, les possibilités d’apprentissage deviennent les normes selon lesquelles les entreprises et les utilisateurs fonctionnent. La force de travail devient plus forte, l’entreprise se renforce et la qualité de la cybersécurité s’ensuit.
Le travail de sensibilisation est le cadre qui stimule la résilience et la sécurité de l’information, et invite apprenants et experts à participer au dialogue. Par le maintien d’un milieu d’apprentissage continu, le travail de sensibilisation à la sécurité de l’information réaffirme qu’une organisation ne craint pas de relever les défis et qu’elle poursuit ses activités malgré les épreuves qui peuvent survenir en continuant à se préparer et à apprendre. Le travail de sensibilisation tire des leçons des traditions de gestion du risque tout en cherchant à s’adapter à un paysage technologique en constante évolution… et sans jamais oublier d’aller de l’avant.
Références
IRGC (2016). Resource Guide on Resilience. Lausanne: EPFL International Risk Governance Center. v29-07-2016
Roege, P.E. et al. “Bridging the Gap from Cyber Security to Resilience”, Resilience and Risk, I. Linkov, J.M. Palma Oliveira (eds). NATO Science for Peace and Security Series C: Environmental Security. Sprinter Science + Business Media B.V. 2017, pp. 383-414.