Dans ce podcast, Nicolas accueille Christophe d’Arlhac, expert en cybersécurité ayant travaillé dans divers environnements (ministériels, grandes industries) et actuellement chez Cyblex. Le sujet principal est l’analyse de risque en cybersécurité, un outil essentiel mais souvent mal utilisé par les organisations.

Christophe souligne que l’erreur la plus répandue est d’adopter une approche trop académique, en se contentant d’appliquer des méthodologies préétablies sans comprendre réellement l’environnement spécifique de l’organisation à protéger. Si les méthodologies structurées sont importantes, elles doivent être complétées par une connaissance approfondie du contexte et des menaces réelles.

Pour réaliser une analyse de risque pertinente, il est crucial de comprendre l’origine réelle des menaces au-delà des catégories génériques (États, groupes criminels, hacktivistes). Christophe donne plusieurs exemples:

Cette méconnaissance amène souvent les responsables d’entreprise à sous-estimer certaines menaces, pensant à tort que leur organisation n’intéresse pas tel ou tel type d’attaquant.

Christophe explique que les motivations des attaquants sont souvent mal comprises. Contrairement aux idées reçues, beaucoup d’attaquants ne s’intéressent pas réellement aux données volées, mais les utilisent comme moyen de financement pour d’autres activités criminelles (trafic de drogue, blanchiment, terrorisme). Le cybercrime est devenu un business structuré avec des financements, des réseaux logistiques et humains.

Le podcast met en lumière l’importance du contexte géopolitique dans l’évolution des menaces. Les conflits comme la guerre en Ukraine ou le conflit israélo-palestinien ont entraîné une recrudescence d’attaques cyber, car ces activités servent à financer les besoins militaires ou de propagande. Des entreprises peuvent devenir des cibles simplement parce que leur pays s’est positionné en faveur d’un camp dans un conflit, comme ce fut le cas pour certaines entreprises canadiennes après le positionnement pro-ukrainien du Canada.

L’analyse de risque doit être adaptée au contexte géographique. Pour une entreprise s’installant en Amérique du Sud, par exemple, il ne suffit pas d’évoquer des risques génériques comme le phishing. Il faut prendre en compte les spécificités locales: présence de cartels diversifiant leurs revenus via le cybercrime, corruption potentielle limitant les recours judiciaires, activité importante autour des cryptomonnaies, etc.

Un point important soulevé est que même les menaces étatiques n’ont pas des ressources illimitées. Chaque État possède des capacités techniques différentes et des priorités variables selon les périodes. La Chine, la Russie, l’Iran ou la Corée du Nord ont chacun des spécialités et des niveaux de sophistication distincts. Ces capacités évoluent également selon le contexte (pandémie, événements sportifs majeurs, changements politiques).

La menace interne est souvent mal modélisée, soit niée soit exagérée. Christophe propose quatre catégories d’insiders:

Ces différentes catégories nécessitent des approches de protection distinctes. Christophe souligne également que même un employé très fiable peut devenir une menace s’il est confronté à des pressions personnelles, financières ou à des menaces contre sa famille.

L’analyse de risque efficace nécessite une compréhension fine et actualisée des menaces spécifiques à chaque organisation. Il est essentiel d’acquérir une culture de son environnement et des menaces existantes, en tenant compte du contexte géopolitique, économique et social. Chaque entité fait face à des menaces particulières avec des chemins d’attaque et des impacts différents, ce qui rend l’approche standardisée insuffisante pour une protection adéquate.