lundi 20 février 2017

Réinventer la cybersécurité par le design thinking

Un peu honteux, je dois l'avouer, il y a encore deux semaines je possédais une absence totale de connaissance en matière de design thinking ! Pour celles et ceux d'entre vous qui en maîtrisent parfaitement la matière [1], nul doute qu'un sourire doit apparaître sur votre visage de probable millenial. [2] Comme Monsieur Jourdain cependant, c'est un peu rasséréné que je me suis souvenu d'un séminaire [3] que j'avais coorganisé en 2014 et qui, justement, reprenait une partie des codes et des fondamentaux de la discipline. Las, une question fulgurance s'est alors imposée : quid de l'intérêt de faire converger cette discipline récente et la cybersécurité ?

Indiscutable, prometteur, forte valeur ajoutée sont les premiers adjectifs qui pourraient illustrer ce rapprochement. Qu'on en juge : plusieurs années après les USA [4] commencent à poindre en Europe et singulièrement en France [5] les premiers ersatz de cyber range. L'approche purement techniciste de cette première génération, de surcroît incomplète, aurait cependant tout intérêt à intégrer notamment la dimensions des sciences sociales et du juridique. [6] Peu militent pour cette fusion qui, sans doute interroge voire fait peur au pays de Descartes, et plus rares encore en sont les promoteurs tenaces qui possèdent une véritable expertise sur le sujet [7]. 

En dérivant les deux sujets ici abordés, à savoir le design thinking et le cyber range, j'ai le sentiment que le seuil que n'arrive pas/plus à franchir la cybersécurité ces dernières années, à savoir une longue course effrénée et haletante à courir derrière une ingénierie en malveillances informationnelles toujours plus innovante, pourrait être enfin franchi. Mais pas seulement. Les difficultés rencontrées par les grandes entreprises du secteur privé, notamment celles soumises au devenu fameux "article 22 de la LPM" [8], pourraient se voir transformées positivement. Solutions pratiques et efficaces à bas coût, dimension prospective, engagement actif de la direction, du management et du personnel, il y a là un gisement multidimensionnel de possibilités à explorer.

Seulement oui, le bât pourrait en blesser certains puisque c'est une complète remise à plat voire à ro qui est à effectuer, ce fameux "changement de paradigme" évoqué dans un précédent article et dont les premières notes ici résonnent. Évolutions majeures dans les business models, organisation (révolution) du management, abandon du "tout technologique" et de ses sacro-saints équipements toujours plus "perfectionnés" qui, perclus de vulnérabilités, accroissent la surface d'exposition aux attaques. Sans compter qu'empiler, synchroniser et exploiter dans la jungle d'une cartographie défaillante et d'une compréhension partielle des flux [9] conduisent à la situation ubuesque d'une perte de maîtrise à la base déjà partielle.  

Alors certes, je radote, et le sujet a déjà été évoqué il y a déjà plusieurs années par votre serviteur et un certain Cidris [10]. Il n'empêche : aujourd'hui le bon moment est arrivé pour inventer, tenter, se planter, innover et in fine faire table rase d'un passé/présent de la cybersécurité sacrifiée sur l'autel des budgets et des "autres priorités". Sans changement majeur de trajectoire, s'annonce un futur (proche) informationnel sauvage et dangereux où la survie individuelle et collective seront remises en cause de manière permanente, intégrale et sans règles.


[1] Une bonne définition claire et courte donnée par Wikipedia puis pour aller plus loin
[2] La génération actuelle qui a entre 15 entre 30 ans
[3] qui a permis de créer une dynamique dont les résultats sont apparus dans les mois suivants avec de véritables conséquences métier, encore aujourd'hui
[6] ce qui est peut-être déjà le cas ? Ergonomes, psychologues, médecins et thérapeutes, anthropologues, sociologues, etc.
[7] En particulier Isabelle Tisserand, que je salue ici amicalement. A lire l'entretien réalisé en 2014 pour EchoRadar
[8] http://si-vis.blogspot.fr/2014/12/lpm-cyber-et-oiv-necessite-des.html
[9] recette de cocktail explosif : une bonne dose d'entreprise étendue, un soupçon de supply chain, une bonne rasade de dématérialisation = (cyber) gueule de bois assurée !
[10] que je salue ici, où qu'il soit ;-) la série écrite à 4 mains est ici disponible

Aucun commentaire: