Cyber et 27001 : de quel côté la pièce de monnaie va-t-elle tomber ?

En une semaine d’audit, on a le temps de causer un peu avec l’auditeur, qui a l’énorme avantage de visiter beaucoup plus de boîtes que moi je ne croise d’auditeurs, et nos discussions ont tourné autour de deux thèmes essentiels :

• l’arrivée de l’IA et la prochaine disparition de l’humain de la chaîne d’attaque, qui va provoquer une véritable boucherie dans l’écosystème IT / cyber ;

• comme dans « Le Bon, la Brute et le Truand », le monde est en train de se diviser en deux : non pas entre ceux qui tiennent la pelle et creusent et ceux qui tiennent le revolver, mais entre ceux qui tiennent les agents d’attaque de l’IA et ceux qui se murent.

Sur le premier point, je ne saurais trop vous inviter à (re)lire ma prose dans le précédent article, dans ces mêmes colonnes (ici) ; je ne vais pas recommencer toute la démonstration. Je suis assez effaré, au moment où j’écris ces lignes, de l’absence quasi totale de réaction chez bon nombre de fournisseurs SaaS, entre autres : il va leur arriver la même chose que ce que les photographes de quartier ont vécu avec l’irruption des appareils photo numériques, je vous laisse deviner quoi.

Le second point est à la fois l’évolution naturelle et la conséquence accélérée du premier.

Il y avait, à l’aube du XXe siècle, environ 300 constructeurs automobiles dans le monde : 80 aux États-Unis, 30 rien qu’en France — Panhard-Levassor, De Dion-Bouton, ça sent bon le roman de Simenon —, une vingtaine en Allemagne, et, dans le reste de l’Europe, Grande-Bretagne incluse, quelques dizaines. Avec l’arrivée du fordisme et de la célèbre « T », la normalisation et l’industrialisation du secteur ont provoqué un nettoyage massif de l’écosystème industriel, de sorte qu’il n’en reste à ce jour qu’une quarantaine, hors Chine. Ce mouvement de concentration a notamment été accentué par la montée en puissance des normes de sécurité, les fameux tests Euro NCAP.

Cette concentration touche quasiment tous les secteurs : pharmacie, industrie du PC, mode, aviation, etc. Et la sécurité est généralement le dernier clou dans le cercueil de bon nombre d’acteurs de niche, qui n’ont tout simplement plus la taille critique pour encaisser les évolutions et les enjeux, ou ne les ont tout simplement pas anticipés — les photographes ci-dessus.

À partir de là, il y a deux futurs possibles :

• la pilule bleue : tout va rentrer dans l’ordre et on va tous danser autour du feu en fumant du tabac qui fait rire et en chantant les chansons débiles des années 80 ;

• la pilule rouge : Darwin va pointer le bout de son nez et se poiler en regardant les moins aptes rejoindre les notes de bas de page des livres d’histoire.

On ne va pas se la raconter : sans surprise, l’avenir risque d’être plus rouge que bleu. Et s’il est une leçon que la 27001 peut vous apprendre, c’est que cela permet à l’Organisation de se rendre compte à quel point sa gestion de la cyber — et de l’IT dans une moindre mesure — est en mode artisanal ++++. Et comme les constructeurs automobiles d’il y a un siècle, l’artisanat ne survit souvent pas longtemps dans un monde qui s’industrialise.

La 27001 n’est évidemment pas la seule réponse : les guides et autres catalogues de bonnes pratiques, ANSSI notamment mais pas que, sont aussi une bonne réponse. Mais ce qui m’étonne surtout, c’est que tous les signes sont là — rupture technologique majeure, accélération mesurable des impacts sur un laps de temps très court, etc. — et que ce n’est pas comme si le film n’avait jamais été joué : apparition de l’arc, de la machine à vapeur, de l’électricité, de la téléphonie, d’Internet, etc.

Et, à chaque fois, des Organisations se croient au-dessus de la mêlée et des lois de la physique, et ne voient pas venir le tsunami. Étonnant.