Réduire les risques dans un avenir numérique
La vision d’un monde entièrement connecté et numérisé – un ubernet interconnecté couvrant les affaires, la gouvernance et les loisirs – s’accompagne de promesses d’innombrables avantages sociétaux. Peu importe qui vous êtes : nous sommes à l’aube d’un mode de vie plus rapide, plus productif et plus satisfaisant.
Il faut espérer que ce soit le cas. Si vous dirigez une entreprise, comme nous le faisons ici chez Abdul Latif Jameel, vous pouvez personnaliser vos produits et services afin de cibler les clients avec une précision sans précédent. Si vous gérez un service public, vous pouvez traiter les données des utilisateurs en direct et affecter les ressources en conséquence, pour un fonctionnement sans faille. Si vous êtes un patient, vous pouvez faire surveiller votre santé à distance et vous faire prescrire des traitements instantanément, comme c’est le cas pour certaines des innovations en matière de technologie de la santé présentées dans cet article d’Abdul Latif Jameel Health. Et si vous êtes un consommateur lambda, vous pouvez gérer vos achats en ligne et faire livrer les marchandises sur le pas de votre porte avec une rapidité déconcertante, comme si le magasin avait lu dans vos pensées.
Sauf que le magasin a peut-être lu dans vos pensées. D’une certaine manière. Il a peut-être parcouru le Web à la recherche de vos habitudes de consommation, suivi les traces révélatrices de vos données et tiré des conclusions vous concernant avant même que vous ne le fassiez.
Dans ce cas, approfondissons le scénario.
Que se passerait-il si un jour le magasin était victime d’une violation de données et que les informations qu’il détient vous concernant tombaient entre les mains de personnes moins scrupuleuses ?
Poussons le scénario encore plus loin.
On pourrait s’attendre à ce que le « système » vous vienne en aide (banques, législateurs, ministères de la Justice). Mais que se passe-t-il si ces systèmes sont eux-mêmes régulièrement affaiblis par des cyberattaques et rendus inopérants ?
Pour certains, le rêve d’une transition numérique peut soudainement commencer à paraître un peu étrange. Ce sentiment étrange est peut-être celui de millions de personnes qui s’éveillent simultanément à l’idée que notre transformation en une société numérique n’est pas sans danger. Les recherches montrent que la transition numérique de notre travail, de notre domicile et de notre gouvernance comporte des risques et un potentiel d’exploitation.
Mais il est peu probable qu’une telle inquiétude mette un terme à la transition. L’étude Digital Business 2023 menée auprès d’un millier de responsables informatiques en Amérique du Nord ainsi que dans les régions APAC et EMEA démontre que 93 % des décideurs poursuivent désormais une stratégie commerciale axée sur le numérique.[1] En outre, ils investissent activement dans des technologies clés, comme les plateformes sur le cloud, le réseau maillé de cybersécurité, la veille décisionnelle et l’IA (intelligence artificielle) générative pour y parvenir.
Si nous voulons profiter au maximum du voyage numérique dans lequel nous nous embarquons, il nous faut anticiper les pièges et, dans la mesure du possible, jeter les bases permettant de neutraliser les risques. Parce que la menace est réelle. Près de 85 % des organisations ont déclaré avoir été victimes d’au moins une cyberattaque réussie en 2021, le coût moyen d’une violation de données atteignant 4,24 millions de dollars.[2]
La prospective peut contribuer à démocratiser et sécuriser la transformation numérique à venir, afin qu’elle profite au plus grand nombre plutôt qu’à quelques-uns. Ce n’est qu’à ce moment-là que nous pourrons profiter des avantages de notre nouvelle réalité connectée.
Quantifier la matrice des risques
Aucun cheminement vers la numérisation ne devrait être entrepris sans une compréhension approfondie des risques associés ainsi que des stratégies visant à limiter leurs impacts.
Le cabinet-conseil international Deloitte a identifié plusieurs domaines à risque dans lesquels les organisations sont susceptibles de tomber dans le cadre de la transformation numérique.[3]
- Technologie : comment pérenniser une technologie qui est intrinsèquement vulnérable aux défaillances et à l’obsolescence rapide ? Les risques comprennent des problèmes de compatibilité, d’évolutivité et de précision.
- Cyberprotection : renforcer les actifs numériques contre les accès non autorisés et maintenir la confidentialité dans l’ensemble d’un système intégré.
- Fuite de données : la complexité de garantir l’intégrité des données dans l’ensemble d’un écosystème, que les données soient utilisées, transférées ou stockées.
- Tiers : toute organisation qui travaille avec des partenaires tiers est exposée à des risques externes liés au partage des données et à l’intégration des technologies.
- Protection de la vie privée : les données personnelles sensibles concernant les employés et les clients doivent être traitées avec le plus grand soin et inclure des contrôles clés concernant le choix et le consentement.
- Médecine légale: les systèmes et les données doivent pouvoir être examinés en cas de fraude ou de violation de la sécurité, et les preuves recueillies doivent être suffisamment solides pour être utilisées devant les tribunaux.
- Conformité réglementaire : l’expertise interne doit être suffisante pour garantir la conformité des opérations avec la législation nationale et toute réglementation spécifique au secteur.
- Résilience : des technologies étroitement interconnectées constituent le fondement de nombreuses entreprises modernes, mais les défaillances d’une partie du système peuvent rapidement se propager et rendre des services entiers indisponibles.
Malgré ces dangers évidents, une enquête montre que seulement 29 % des personnes interrogées considéraient que leur organisation possède une stratégie de sécurité des données « finalisée », 41 % la décrivent comme « en cours d’élaboration » et 23 % comme étant simplement au stade de « planification ».[4]
Certains de ces domaines à risque, en particulier ceux liés aux dépendances numériques et aux vulnérabilités cybernétiques, tracent de potentielles voies vers une résilience plus durable et méritent d’être explorés plus en détail.
Pirater l’avenir : des logiciels malveillants aux rançongiciels
De multiples plateformes technologiques convergeant au sein d’un « Web 3.0 » décentralisé (une nouvelle version d’Internet intégrant des concepts tels que la technologie blockchain et l’économie basée sur les jetons) laissent présager « un paysage de cybermenaces plus complexe et un nombre croissant de points de défaillance critiques ».[5]
Les dangers ne sont pas seulement financiers. Ils posent également des défis aux piliers fondamentaux, comme les infrastructures vitales et la cohésion sociétale. Et il n’existe pas de solution simple. Le Forum économique mondial (FEM) met en garde contre le fait que « les cybermenaces croissantes dépassent la capacité des sociétés à les prévenir et à les gérer efficacement ».
Il cite notamment l’exemple de la bibliothèque logicielle Log4j qui, fin 2021, a subi plus d’une centaine de tentatives de piratage par minute dans les jours qui ont suivi la révélation d’une faille de sécurité critique. Ces attaques ont démontré la vulnérabilité contagieuse du codage en libre accès. L’année précédente, l’attaque SolarWinds Orion a visé les logiciels de surveillance et de gestion des technologies de l’information, faisant voler en éclats les défenses des chaînes d’approvisionnement mondiales en matière de cybersécurité (et des centaines de milliers d’entreprises) dans son sillage[6].
Les pirates ne rencontrant que peu d’obstacles à l’entrée et peu de chances d’être poursuivis, les activités malveillantes en ligne sont en plein essor. En 2020, les signalements de logiciels malveillants ont augmenté de 358 %, tandis que les cas de rançongiciels ont augmenté de 435 %.[7] Au cours de la même période, le montant total des cryptomonnaies capturées par les rançongiciels a été multiplié par quatre.
Les pirates sont également en mesure de faire chanter leurs cibles par le biais de fuites de données et d’attaques par déni de service distribué (DDoS), en utilisant des ressources provenant de plusieurs sites distants pour attaquer les opérations en ligne d’une organisation.
À ce jour, les victimes d’exploitation numérique comprennent des services publics, des systèmes de santé et des entreprises riches en données, ce qui inclut la plupart des sociétés de toute taille.
Le problème ne se résoudra pas de lui-même. Les logiciels malveillants pilotés par l’IA qui se profilent pourraient potentiellement voir les sommes extorquées augmenter de manière exponentielle, annonçant des menaces plus importantes pour la réputation et les finances. Il n’est donc pas étonnant que, comme nous l’avons expliqué dans notre précédent article Perspectives d’Abdul Latif Jameel, l’enquête mondiale sur la perception des risques (Global Risks Perception Survey, GRPS) classe « la défaillance de la cybersécurité » parmi les 10 principaux risques croissants, ou que 85 % des membres de la Cybersecurity Leadership Community du FEM estiment qu’il s’agit d’une préoccupation majeure pour la sécurité publique.[8] Au niveau régional, la « défaillance de la cybersécurité » est classée parmi les cinq premiers risques en Asie de l’Est, dans le Pacifique ; en Europe, quatre pays (Royaume-Uni, Irlande, Australie et Nouvelle-Zélande) déclarent qu’il s’agit du risque numéro un.
Les trajectoires technologiques futures sont préoccupantes. L’informatique quantique pourrait bientôt devenir suffisamment puissante pour casser les clés de chiffrement, faisant voler en éclats ce pare-feu de longue date qui protège les données financières et personnelles. Le métavers , quant à lui, multipliera les points d’accès pour les piratages et les violations de données. Le commerce numérique basé sur le métavers devrait dépasser les 800 milliards de dollars américains d’ici 2024, ce qui rendra inévitablement ces attaques plus agressives.[9]
Le prix de la protection
Que l’on opère dans le secteur public ou privé, l’atténuation des risques liés à la transformation numérique a un prix et sera ressentie de manière disproportionnée par ceux qui peuvent le moins se le permettre. Les petites et moyennes entreprises risquent de devoir consacrer plus de 4 % de leur budget à la cybersécurité, tandis que leurs concurrents plus importants, qui bénéficient d’économies d’échelle, prévoient des investissements de l’ordre de 1 à 2 %. Compte tenu de la recrudescence des rançongiciels, la cyberassurance risque de devenir très chère, voire carrément inabordable pour certains. Au troisième trimestre 2021, les coûts de la cyberassurance ont augmenté de 96 % aux États-Unis et de 73 % au Royaume-Uni.[10]
Quelles stratégies les entreprises et les gouvernements peuvent-ils donc mettre en place pour limiter les risques de la transformation numérique tout en profitant au maximum des multiples opportunités qu’elle offre ?
Renforcement des défenses contre le dilemme numérique
Il est important de protéger l’intégrité de vos systèmes. En d’autres termes, il s’agit d’empêcher l’entrée de ceux qui n’ont rien à faire là et d’empêcher toute interférence indésirable de la part de personnes mal intentionnées.
Dans ce domaine, plusieurs stratégies sont en train de devenir des défenses fiables. Parmi elles, un processus connu sous le nom de « renforcement de plateforme », qui englobe plusieurs techniques visant à réduire la vulnérabilité des serveurs et des ordinateurs :
- Renforcement du réseau : protéger l’infrastructure numérique à l’aide de pare-feu matériels et logiciels, avec prévention des intrusions et contrôles d’alerte.
- Renforcement du système d’exploitation : suppression des services obsolètes et des comptes non essentiels, tout en veillant à ce que les paramètres de sécurité soient conformes aux normes de l’industrie.
- Renforcement des systèmes distants : veiller à ce que les systèmes et dispositifs distants soient dotés de protocoles d’accès aussi solides que leurs équivalents internes, et que ces protocoles soient fréquemment examinés pour détecter les nouvelles menaces.
- Renforcement des bases de données : utiliser des contrôles d’accès, cryptages et paramètres de sécurité avancés pour rendre les bases de données critiques moins vulnérables aux infiltrations malveillantes.
- Renforcement des applications : ajuster les paramètres des applications tierces pour se prémunir contre les attaques par script, comme les macros.
Tous ces protocoles doivent faire l’objet de tests de vulnérabilité fréquents afin de garantir une protection permanente contre les risques numériques. Les avantages sont nombreux : une sécurité renforcée, des systèmes plus performants, voire une rationalisation de la conformité et de l’audit.
Les chiffres démontrent la valeur de la hiérarchisation des priorités en matière de sécurité. Une étude montre que plus de la moitié des organisations ont subi une fuite de données via des sources externes ayant un accès à distance, tandis que 61 % des atteintes à la sécurité ont exploité une vulnérabilité connue pour laquelle un correctif était disponible, mais n’avait pas été déployé.[11]
À quoi ressemblerait une politique du numérique sécurisé ? Selon des experts comme Dick Schrader, spécialiste de la sécurité informatique chez Netwrix, une société de logiciels américaine, un protocole numérique sécurisé serait un protocole dans lequel :
- les technologies anciennes et sous-utilisées sont régulièrement retirées des serveurs ;
- les plateformes, réseaux et applications sont protégés individuellement contre tout accès non autorisé ;
- le cloud computing est protégé par une authentification multifacteur (AMF) pour chaque utilisateur, quels que soient le temps et les coûts de productivité ;
- les données sont protégées dans l’ensemble de l’écosystème, en mettant l’accent sur la classification, la conservation, le traitement et le cryptage ;
- l’intégration des technologies tierces, la dépendance des opérations et la résilience des fournisseurs sont considérées comme un ensemble holistique de la transformation numérique ;
- la confidentialité est primordiale et les données personnelles respectent les principes de consentement, d’avis, de choix et d’exactitude ;
- les cadres réglementaires sont respectés et les infractions sont prouvées par des méthodes de police scientifique ;
- la résilience est assurée par une planification adéquate de la continuité des activités, de la gestion des crises et de la reprise après sinistre informatique.
Une approche fermée et isolationniste a peu de chances d’inspirer les changements généralisés qui s’imposent. Une coopération entre les sociétés et les nations peut révéler des solutions applicables à presque toutes les organisations, les technologies émergentes comme la blockchain et l’informatique quantique étant particulièrement prometteuses.
Au sein de la communauté des affaires, les dirigeants doivent être formés aux questions relatives à la cybersécurité, tandis que les débats sur la cyberrésilience doivent devenir communs au niveau des conseils d’administration.
Avant tout, aucune transformation numérique ne devrait être entreprise sans l’adhésion du segment le plus important de toute organisation : ses clients. S’ils ne sont pas prêts pour cette transition ou s’ils se retrouvent coincés dans des systèmes et des services qui nuisent à leur expérience, il est probable qu’ils trouveront une autre option répondant à leurs besoins.
L’une des menaces les moins connues du passage au numérique est peut-être tout simplement de se tromper et d’aliéner ainsi des partenaires auparavant satisfaits.
Préserver une ère dynamique de progrès humain
Le passage accéléré au télétravail a fait progresser une tendance qui se dessinait depuis deux décennies. Elle se caractérise par une dépendance croissante à l’égard des systèmes numériques et par une explosion du nombre de technologies intermédiaires habilitantes, notamment les serveurs sur le cloud, les interfaces de programmation d’applications (API) et d’autres, chacune d’entre elles comportant des risques et des vulnérabilités uniques. Parallèlement, la demande de technologies interconnectées ne cesse de croître.
Des facteurs externes et apparemment incontrôlables contribuent à exacerber les risques. Au niveau gouvernemental, les clivages géopolitiques croissants réduisent à néant le type d’efforts internationaux coordonnés qui pourraient préserver la sécurité numérique future. Les cyberattaques transfrontalières et les campagnes de désinformation se multiplient, sans que les mécanismes de contrôle soient suffisants pour contrer leur propagation. L’incohérence des lois et des mécanismes d’application dans les pays concurrents ne parvient pas à décourager la cybercriminalité.
Dans un monde de plus en plus « VUCA » (volatile, incertain, complexe et ambigu), les entreprises privées anticipent trop souvent à l’aveugle l’évolution des allégeances internationales. Les entreprises doivent rester ouvertes à la possibilité de céder le traitement des données aux juridictions ayant une meilleure maîtrise de la confidentialité des données.
L’inaction face aux risques liés à la transformation numérique pourrait avoir des conséquences allant bien au-delà du sort des organisations individuelles. Que se passerait-il si un cryptovirus dévastateur de type cheval de Troie, se reproduisant de lui-même et se modifiant sans cesse pour éviter les remèdes, commençait à s’emparer des principaux serveurs gouvernementaux ou commerciaux, inversant de fait les progrès numériques de ces dernières années ? Que se passerait-il si la tendance à l’infrastructure informatique privée et aux cryptomonnaies contrecarrait les efforts de réglementation visant à protéger les systèmes financiers et les données privées ? Et si le cyberespionnage finissait par décourager les investissements dans la R&D, freinant la société dans sa lancée par manque de confiance commerciale ?
La transition numérique concernera à terme tous les organismes publics et toutes les entreprises, quel que soit leur secteur ou leur taille, mais certaines industries doivent être conscientes des responsabilités supplémentaires qui leur incombent. Si l’on travaille dans un secteur où une connaissance intime des clients est essentielle à la réussite (vente au détail ou marketing par exemple), notre passage à l’ère numérique comporte à la fois des risques et des avantages. Jamais auparavant il n’y a eu une telle abondance d’opportunités de collecter des données monétisables ni une telle pression pour que ces données personnelles ne tombent pas entre de mauvaises mains.
« Dans notre société toujours plus connectée, la confiance numérique est vitale pour l’innovation et la prospérité à long terme », déclare Mo Chaara, directeur de l’information et du numérique chez Abdul Latif Jameel. « Les technologies fiables sont la base sur laquelle nous devons construire une société plus juste, plus transparente et plus soudée. Si l’on ne renforce pas la confiance numérique et l’on ne réduit pas les risques inhérents à la transformation numérique, la promesse et le potentiel de l’une des époques les plus passionnantes et dynamiques du progrès humain risquent d’être perdus. »
[1] https://resources.foundryco.com/download/digital-business-executive-summary
[2] https://blog.netwrix.com/2023/02/22/system-hardening/
[3] https://www2.deloitte.com/content/dam/Deloitte/in/Documents/risk/in-ra-managing-risk-digital-transformation-1-noexp.pdf
[4] https://resources.foundryco.com/download/digital-business-executive-summary
[5] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/
[6] https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know
[7] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/
[8] https://www.weforum.org/reports/global-risks-report-2023/
[9] https://www.bloomberg.com/professional/blog/metaverse-may-be-800-billion-market-next-tech-platform/
[10] https://www.marsh.com/bg/en/services/insurance-market-and-placement/insights/global_insurance_market_index.html