Points clés
- La sécurité des systèmes d'information déborde largement du périmètre des outils techniques : gouvernance, processus et culture en sont des composantes indissociables
- Verizon DBIR 2024 : 68 % des violations impliquent un facteur humain — non détectable par les outils techniques seuls
- Les organisations qui traitent la sécurité comme un problème purement technologique sous-estiment structurellement leur exposition réelle
- Un programme de sécurité efficace articule trois dimensions : technique, organisationnelle et humaine
La sécurité informatique a longtemps été assimilée à un ensemble de solutions technologiques : antivirus, pare-feu, systèmes de détection d'intrusion. Cette représentation, encore dominante dans certaines organisations, sous-estime la nature réelle des menaces contemporaines. Les attaquants n'exploitent plus uniquement des failles techniques — ils exploitent les interfaces entre les systèmes, les processus et les individus.
La protection des systèmes d'information est aujourd'hui une discipline qui articule trois dimensions : la dimension technique (infrastructure, logiciels, configurations), la dimension organisationnelle (gouvernance, processus, procédures), et la dimension humaine (comportements, culture, sensibilisation). Négliger l'une de ces dimensions crée des angles morts que les outils techniques les plus sophistiqués ne peuvent pas compenser.
Ce que les outils ne peuvent pas détecter
Les outils techniques sont efficaces pour détecter des comportements anormaux définis a priori : signatures de malwares connus, anomalies de trafic réseau, tentatives de connexion répétées. Ils sont beaucoup moins efficaces pour détecter l'utilisation légitime d'un accès légitime à des fins malveillantes — phénomène caractéristique des attaques internes et des compromissions d'identités.
L'attaque SolarWinds (2020) en est l'illustration paradigmatique : des attaquants ont utilisé des accès et des mécanismes parfaitement légitimes — signature de code valide, canaux de mise à jour autorisés — pour compromettre 18 000 organisations dont les outils de sécurité n'ont rien détecté d'anormal pendant neuf mois.
La gouvernance comme composante de sécurité
La gouvernance de la sécurité — qui décide, qui est responsable, comment les décisions sont prises et suivies — est une composante de sécurité à part entière. Une organisation dotée d'excellents outils techniques mais d'une gouvernance défaillante présente un niveau d'exposition élevé : les outils ne sont pas correctement configurés, les alertes ne sont pas traitées à temps, les investissements de remédiation ne sont pas priorisés.
Le NIST Cybersecurity Framework structure explicitement la sécurité en cinq fonctions (Identifier, Protéger, Détecter, Répondre, Récupérer) qui dépassent largement la dimension technique. La gouvernance (Identifier) et la réponse aux incidents (Répondre, Récupérer) sont des fonctions organisationnelles et humaines autant que techniques.
Ce que la direction doit porter
La direction générale et le conseil d'administration ont un rôle spécifique dans la sécurité des systèmes d'information : ils fixent l'appétit au risque, ils allouent les ressources, ils portent la culture de sécurité au niveau de l'organisation. Ces rôles ne peuvent pas être délégués entièrement aux équipes techniques. Ils définissent le cadre dans lequel les équipes techniques peuvent opérer efficacement.
Le rapport du Forum Économique Mondial sur la gouvernance de la cybersécurité (2023) recommande que les conseils d'administration incluent dans leurs discussions sur la stratégie un examen régulier de la posture de sécurité globale — technique, organisationnelle et humaine — avec des indicateurs permettant une prise de décision éclairée.
RSA produisait et vendait des outils de sécurité parmi les plus réputés du marché, notamment les tokens SecurID utilisés par des millions d'utilisateurs dans le monde. La compromission de RSA en 2011 n'a pas exploité une faille dans les outils de sécurité de l'entreprise : elle a exploité un email de phishing ouvert par un employé, introduisant un malware qui a exfiltré les algorithmes des tokens SecurID. La défaillance était humaine et organisationnelle. La compromission a ensuite permis des attaques contre des clients de RSA utilisant les tokens compromis, dont Lockheed Martin.
La chaîne de télévision internationale TV5 Monde a subi une attaque qui a interrompu ses émissions pendant plusieurs heures et compromis ses comptes de réseaux sociaux. L'investigation a révélé que des caméras connectées avec des mots de passe par défaut, une segmentation insuffisante des réseaux, et des pratiques de gestion des accès défaillantes avaient facilité l'attaque — malgré la présence de nombreux outils de sécurité techniques. Le rapport de l'ANSSI a conclu que la protection ne peut reposer uniquement sur les outils sans gouvernance et processus appropriés.
La Banque du Bangladesh disposait de systèmes SWIFT conformes aux spécifications techniques. La compromission n'a pas exploité de faille dans SWIFT : elle a exploité des processus de validation insuffisants, une gestion des accès peu rigoureuse et un comportement humain prévisible (les attaquants ont lancé les ordres de virement frauduleux un vendredi soir, anticipant que la réponse humaine serait retardée par le week-end). La dimension technique était correctement couverte ; les dimensions organisationnelle et humaine ne l'étaient pas.