Changer d'édition

La cybersécurité impose un nouveau management
Guy-Philippe Goldstein a plaidé pour une nouvelle stratégie appuyée sur un nouveau management

La cybersécurité impose un nouveau management

PHOTO: Guy Jallay
Guy-Philippe Goldstein a plaidé pour une nouvelle stratégie appuyée sur un nouveau management
Économie 3 min. 19.10.2018

La cybersécurité impose un nouveau management

Thierry LABRO
Thierry LABRO
PwC avait invité jeudi, pour la troisième édition de son Cybersecurity Day un expert en guerre économique, Guy-Philippe Goldstein. De nouvelles stratégies de défense contre la cybercriminalité doivent s'imposer.

Guy-Philippe Goldstein est tombé dedans par hasard. 

Comme Obélix et la potion magique, l'expert en intelligence économique goûte, année après année, à l'évolution de la cybercriminalité. Mais personne ne songe à l'éloigner du chaudron. 

Invité à former les futurs experts de l'Ecole de guerre économique de Paris ou à publier des notes stratégiques d'un think thank du gouvernement israélien, ce conseiller de la société d'investissement luxembourgeoise Expon Capital est remarqué il y a plus de dix ans... avec son premier roman – science-fiction ou thriller troublant de réalisme? –, «Babel Minute Zéro».   

Ex-maîtresse du président américain, l'agent secret l'agent Julia O'Brien s'y retrouve plongée en plein conflit numérique entre la Chine et les Etats-Unis. Le best-seller est sur les tables de nuit de tous les services secrets de la planète, qui s'étonnent de son réalisme. Ce quadragénaire aux faux airs du prince Harry ne s'en cache pas: la peur doit aider les gouvernements à prendre les mesures qui s'imposent pour protéger les populations. 

En trois minutes, sur la scène de l'auditorium de PwC, où l'orateur passionné est invité à parler à l'occasion du troisième Cybersecurity Day, l'orateur dessine l'apocalypse. «Il n'y a rien qui ne soit pas piratable», assure-t-il. 

Ces pirates qui cherchent à s'approprier des données, d'individus et d'entreprises, pour en tirer des bénéfices sonnants et trébuchants, redoutent surtout «pour 38 % d'entre eux, les authentifications à facteurs multiples, pour 32 % le cryptage de données et pour 15 % les patchs» correctifs quand surgit un problème. Demander à la technologie de régler tous les problèmes, cela ne marche pas, dit-il. 

La boucle OODA revisitée 

Tour à tour, ses exemples démontent l'inviolabilité supposée des calculateurs quantiques ou la portée de l'intelligence artificielle, où le «fake» – les fausses images, les faux sons, les fausses vidéos – pourrait très bien aider à protéger une société. 

Il raconte comment le staff du candidat Macron a lui-même utilisé cette technique pour affronter la dissémination de rumeurs sur le favori à l'élection présidentielle française en 2017. 

Là où tous les experts en lutte contre la cybercriminalité ne connaissent que la prévention et la sensibilisation, l'expert propose une nouvelle version de «la boucle OODA». Inventé par le pilote de chasse John Boyd de l'United States Air Force en 1960 pour expliquer comment il dominait tous les apprentis pilotes sur le simulateur, le concept «OODA», pour Observer, s'Orienter, Décider, Agir, est une version moderne du gendarme et du voleur qui «doit changer la manière de prendre une décision» quand il s'agit de protéger une entreprise. 

«Il faut oublier la protection et passer à la résilience!» Quelle différence? «L'entreprise doit absorber le choc [d'un vol de données ou d'un blocage de ses activités], réagir et prévenir.» Face à des comportements attendus, le management doit favoriser la prise de décision de ceux qui sont en première ligne à condition qu'ils communiquent. 

«Prévenir, c'est préparer, tester, simuler! Entraînez-vous!» 

Première à s'être engagée sur cette voie, cet été, la Goldman Sachs s'est offert les services d'Immersive Labs pour créer un jeu de guerre sur la cybersécurité – à l'image de Room 42 au Luxembourg – et s'assurer que ses 8.000 employés soient prêts à répondre à tous les scénarios. 

C'est le niveau supérieur, après une organisation des services informatiques et technologiques puis une cartographie du cyberrisque «exprimée en dollars pour que la direction générale comprenne bien». «Ca doit créer une société jumelle, numérique, prête à tout et parée pour accompagner la société», termine-t-il. Mais l'expert pourrait en parler des heures.

Suivez-nous sur Facebook, Twitter et abonnez-vous à notre newsletter de 17h.