Cybersécurité : le principe d’immunité de groupe appliqué au monde technologique
Nous constatons depuis quelque temps un renforcement de la réglementation en matière de cybersécurité. Dans notre pays, avec l’approbation de la loi 22/2022 du 9 juin relative aux mesures de sécurité des réseaux et des systèmes d’information, les bases de cette réglementation ont été établies et, surtout, deux groupes d’entreprises avec deux niveaux d’impact ont été définis : les entreprises importantes et les entreprises essentielles.
La réglementation établit la nécessité d’adopter des mesures techniques et organisationnelles proportionnelles au risque, dans le but d’accroître les niveaux de sécurité. Si toutes les entités renforcent leur niveau de sécurité, la sécurité collective de l’ensemble du pays est également renforcée. Il s’agit du principe d’immunité de groupe appliqué au monde technologique.
Le principal objectif de cette loi n’est pas de protéger les entreprises de manière isolée pour leur propre bénéfice privé, mais de protéger la sécurité nationale et notre économie dans son ensemble. Dans un écosystème numérique et dans un pays de la taille de l’Andorre, l’impact de la cybersécurité pourrait être considéré comme systémique.
Cette préoccupation, qui se traduit par une réglementation accrue, nous conduit à investir davantage dans la sécurité afin d’améliorer nos niveaux de sûreté. Si notre intention est d’améliorer la maturité en matière de cybersécurité, nous devons aborder trois domaines d’action : les personnes, les processus et les outils (la technologie).
Le premier domaine qui nous vient à l’esprit est celui des outils, de la technologie, c’est-à-dire les éléments techniques qui permettent l’exécution ou le contrôle. Nous pouvons citer comme exemples les instruments qui nous permettent d’authentifier les utilisateurs, ou les systèmes de surveillance et de détection des attaques, ou encore les technologies d’automatisation permettant de réagir rapidement et de manière structurée.
Le deuxième domaine, celui des méthodes ou des processus, correspond aux règles du jeu. Ils définissent le comment, le quand et le pourquoi. Sans méthode, les meilleurs outils sont inutiles.
Les cadres et les politiques, les procédures ou les plans d’intervention sont tout aussi nécessaires que les outils les plus modernes, car ils définissent notre stratégie de sécurité, identifient les risques et établissent des mesures.
Enfin, le troisième domaine est celui des personnes. La sécurité commence et se termine avec les individus. Dans le cadre de ce domaine, il faut évaluer la sensibilisation et l’organisation humaine. Nous avons beaucoup parlé de sensibilisation, du besoin de sensibiliser, d’informer sur les risques, ce qui est essentiel dans un environnement où l’utilisateur est devenu la cible numéro un des attaques.
Une erreur très fréquente consiste à consacrer la majeure partie du budget aux outils, en oubliant les méthodes (les processus permettant de les gérer) et les personnes (qui doivent les utiliser ou éviter les pièges). On atteint la véritable maturité lorsque les trois domaines progressent au même rythme.
Parmi ces trois axes d’action, je voudrais souligner celui des personnes, mais d’un point de vue opérationnel. Je fais référence aux personnes qui, dans notre vie quotidienne, travaillent pour assurer la protection, à quelque niveau que ce soit. Actuellement, le pays manque de profils spécialisés en cybersécurité pour des raisons faciles à deviner : une demande intérieure plus forte (générée, entre autres, par la réglementation), une concurrence féroce du télétravail international, le manque d’attractivité pour les talents qui pourraient venir s’installer dans le pays ou l’absence d’une offre locale de formation spécialisée en cybersécurité.
C’est cette dernière raison qui nous a conduits à créer le diplôme de troisième cycle en Cybersécurité, dont la première édition débutera à l’Université d’Andorre en octobre. Pourquoi un diplôme de troisième cycle en cybersécurité ? Pour de nombreuses raisons : parce qu’il existe une réelle demande de professionnels qui n’est pas satisfaite, parce que cette demande va augmenter, pour éviter d’aller étudier à l’étranger, parce que c’est une suite logique du diplôme en informatique de l’UdA et, surtout, parce que ce sera l’occasion de constituer un réseau, d’établir des contacts entre étudiants, entre professeurs renommés, entre institutions et, par conséquent, d’entrer dans le monde de la cybersécurité.
Si nous voulons renforcer notre immunité collective en matière de cybersécurité, si nous voulons vivre dans un pays plus sûr sur le plan technologique, nous devons être capables de former nos étudiants afin qu’ils puissent mener leur activité en tant que professionnels au sein des entreprises du pays qui ont besoin d’eux.