Il y a quelques mois de cela, j’ai fait le calcul. Je travaille dans le secteur de la cybersécurité depuis environ 10 000 jours. Un cap en apparence majeur, jusqu’à ce qu’on se rende compte de la vitesse du temps qui passe. Les jours se transforment rapidement en années, puis les années en décennies. Inspiré par cette réflexion, j’ai eu envie de revenir sur l’évolution du secteur dans son ensemble, et sur mon parcours personnel en particulier. Malwares, dénis de service (DoS), attaques par interception (MitM)… si les menaces restent obstinément les mêmes dans leur ensemble, elles évoluent toutefois dans un paysage complètement métamorphosé. Et pour cause : la vitesse, l’échelle et la sophistication des attaques ont changé, tout comme notre rôle côté défense. D’où le besoin impératif de changer notre approche de la sécurité.
Des leçons difficiles, mais une expérience fondatrice
Ma propre histoire commence par une erreur d’appréciation qui a, bien malgré moi, semé le chaos sur tout le campus de l’université Purdue. C’est là que j’ai étudié l’informatique au milieu des années 1990. Je devais alors réaliser un devoir sur la communication interprocessus. J’avais pour consigne d’écrire un programme capable de s’auto-répliquer sur différents processus. Le défi m’a tellement inspiré que j’ai décidé d’aller un cran plus loin en concevant un programme capable de se répliquer sur de multiples machines du réseau.
Emporté par ce que je croyais être un éclair de génie, je me suis attelé à la tâche. Loin d’être malveillant, le programme ne volait pas de données ni ne supprimait de fichiers. Par pur goût de l’expérimentation, j’avais même ajouté le message « Bonjour, Terriens » en pop-up, confirmant ainsi l’exécution du programme. Vous devinez déjà la suite. Le programme s’est propagé à la quasi-totalité des salles informatiques du campus. Les machines ont planté sous le poids de cette charge inattendue. Au bout de quelques heures, le département IT a même dû couper l’ensemble du réseau pour stopper la propagation.
J’ai avoué ma faute et l’université ne m’a pas sanctionné, ce qui est tout à son honneur. À la place, on m’a aidé à développer un « kill switch » et à comprendre la vulnérabilité. L’expérience s’est révélée fondatrice. Elle m’a appris que ce n’est pas parce qu’on peut faire quelque chose qu’on doit le faire pour autant. Mais surtout, elle m’a enseigné l’importance de mettre en place des protections, des contrôles et des freins solides si l’on a tendance à aller trop vite. Alors que plus de 10 000 jours se sont écoulés depuis, les développeurs continuent d’apprendre la même leçon. Aujourd’hui, nous tâchons d’intégrer la sécurité dès le début du cycle de développement logiciel, au lieu de la traiter comme un mal nécessaire sur la voie de l’innovation.
RSSI : du rôle de technicien à celui de dirigeant
Lorsque j’ai commencé à travailler, le rôle de RSSI n’existait pas. On parlait de responsables de la sécurité, dont la mission était presque exclusivement focalisée sur le réseau et les terminaux. Aujourd’hui, le RSSI constitue l’un des piliers de la transformation numérique, une évolution qui s’est considérablement accélérée depuis le COVID, lorsque les entreprises se sont tournées vers nous pour faciliter le télétravail en toute sécurité.
Le RSSI ne peut plus se contenter d’être un simple technicien, dont le premier réflexe est d’acheter la dernière innovation technologique sans réfléchir. De ma propre expérience, ceux qui ont su le mieux se réinventer ont agi sur quatre grands leviers :
- Virage stratégique – Ces RSSI ont délaissé le rôle de technicien pour endosser celui de dirigeants capables d’avoir des conversations avec le Comex et de quantifier les risques dans un langage business.
- Expansion du périmètre – Leur mission s’étend au-delà des murs de l’entreprise et inclut désormais l’intégration de la gestion des risques tiers, la confidentialité et la conformité. Ils savent que la sécurité d’une entreprise ne vaut que par la résistance de son fournisseur le plus faible.
- Optimisation des investissements – Ils sont les gardiens des budgets, cherchant toujours à mesurer le ROI et à optimiser le portefeuille technologique, au lieu d’acheter de nouveaux outils sans autre forme de considération.
- Leadership et gestion de crise – Les meilleurs RSSI que j’aie rencontrés brillent par leur force de travail et leur polyvalence. Ils parlent les langues DevOps, financières et juridiques pour s’imposer en champions de la cause sécuritaire dans toute l’entreprise. Ce sont aussi des experts de la gestion de crise, prêts à passer en mode réponse à incident dès que l’inévitable se produit.
Plateformisation n’est pas consolidation
Depuis des années, les entreprises s’acharnent vainement à résoudre le problème de la complexité en composant un patchwork de dizaines de produits best-of-breed. J’ai pu l’observer personnellement dans des postes précédents. Au départ, l’intention affichée est de créer une « plateforme », mais le résultat est tout autre : un méli-mélo d’outils disparates, incapables de s’intégrer pour unifier les politiques, le contrôle et la visibilité. La démarche était vouée à l’échec, car elle reproduisait le problème au lieu de le résoudre.
En inventant le terme de « plateformisation », notre CEO, Nikesh Arora, a cristallisé un concept qui manquait cruellement au secteur. Il ne faut cependant pas confondre plateformisation et consolidation, qui n’en est qu’une des résultantes.
Une véritable approche plateforme consiste à rationaliser les opérations à l’aide d’un système unique intégré en natif. L’objectif est de produire de meilleurs résultats en exploitant pleinement la richesse, la précision et l’exhaustivité des données sur l’ensemble de la posture de sécurité. Les avantages parlent d’eux-mêmes :
- Sécurité unifiée et efficacité opérationnelle – Vous éliminez la complexité que représente la gestion d’une multiplicité de fournisseurs et d’outils cloisonnés.
- Analyses inégalées – Grâce au machine learning, vous bénéficiez d’analyses corrélées, basées sur un jeu de données exhaustif, qui permettent d’anticiper les menaces pour mieux les neutraliser.
- Effet de levier sur les activités – Vous démontrez au Comex votre capacité à accélérer les temps de réponse, à réduire les coûts des fournisseurs et à simplifier la mise en conformité. En d’autres termes, vous prouvez que la sécurité n’est pas un centre de coûts, mais un véritable levier de croissance.
Les 10 000 jours à venir
S’il est impossible de savoir ce que l’avenir nous réserve, je peux toutefois annoncer ce dont aura besoin le RSSI de demain (ou peut-être l’appellera-t-on « Chief AI Security Officer » ?). Il lui faudra faire preuve d’une bonne flexibilité d’esprit. L’avenir du SOC s’annonce 100 % automatisé. On assiste déjà à l’émergence d’agents IA personnels, capables de gérer nos agendas et nos communications. De là à ce qu’ils assurent aussi notre sécurité personnelle, il n’y a qu’un pas que l’on franchira sans peine.
Qu’elle soit exploitée par les attaquants ou par les défenseurs, l’IA ne vaut que par les données sur lesquelles elle s’entraîne. C’est là une vérité fondamentale. Pour garder une longueur d’avance sur les menaces, nous devons entraîner nos modèles d’IA défensifs sur les données de cybersécurité les plus riches, les plus précises et de la meilleure qualité qui soit.
Et pour pérenniser nos stratégies de sécurité, nous devons développer une culture de la vigilance qui encourage chaque collaborateur à devenir acteur de la cybersécurité. Si un projet de transformation numérique n’intègre pas la sécurité dès le commencement, autant dire qu’il est voué à l’échec. De la nuit de panique dans une salle informatique de Purdue aux conseils d’administration en 2025, le principal enseignement reste le même : l’innovation sans la sécurité est une bombe à retardement. Pour les 10 000 jours à venir, tout le défi consistera à bâtir sur un socle de résilience et d’intentionnalité.
Écoutez le podcast Threat Vector pour approfondir la question.
Envie d’explorer le regard de Haider Pasha dans ses autres articles ? Rendez-vous sur notre blog Perspectives.
