Pour réduire le risque cyber, miser sur l’humain

Même si le chiffre a été divisé par 10 en 10 ans, on dénombre aujourd’hui 100 000 bugs par million de lignes de code (pour rappel, Microsoft office 2013 comptait 48 millions de lignes de codes). Pour Alain Bouillé, le salut en matière de cybersécurité viendra de la mise en œuvre du concept de “Security Inside” ; c’est-à-dire, développer en intégrant dès l’origine la sécurité. Et, Alain Bouillé de considérer que “développer de façon sécurisée, c’est à la portée de tout le monde à condition de recevoir les bonnes formations !”. Pour Alain Bouillé, la maîtrise du risque cyber ne se réduit pas uniquement à une question de budget. C’est aussi une question de “culture d’entreprise et une gouvernance d’entreprise qui doit être à la hauteur des enjeux”. “On dit souvent  : la sécurité c’est l’affaire de tous”. Mais, pour Alain Bouillé, il faut bien le reconnaître, “c’est souvent l’affaire de certains…”. “Il faut arrêter de croire que la sécurité, c’est l’affaire d’un RSSI logé au fin fond d’une DSI, qui à lui seul va pouvoir résoudre le problème !”. C’est avant toute une affaire de culture d’entreprise, d’organisation, voire de réseau dans le cas des entreprises de taille importante. Il devrait se développer de vraies organisations sécurité avec des correspondants à chaque point névralgique de l’organisation, des relais, des comitologies. Ainsi, la sécurité deviendrait une préoccupation constante des organisations et pas uniquement un sujet de crise lorsque survient un incident. La dimension humaine reste prépondérante, et ce à tous les niveaux. Au niveau de l’utilisateur, quand ce dernier a le réflexe de ne pas cliquer sur un lien qui lui apparaît comme suspicieux. Au niveau des développeurs pour qu’ils conçoivent leurs codes en intégrant la dimension sécurité. Au niveau de l’exploitant, pour qu’il déploie les applications de manière sécurisée. Au niveau des dirigeants, pour qu’ils accordent au sujet de cybersécurité le bon niveau de priorité et qu’ils allouent les moyens adéquats aux personnes en charge de la cybersécurité.