Cybersécurité : comment communiquer sur un secteur où le secret est la norme ?

Le besoin de communiquer des acteurs du secteur entre en conflit avec le besoin de confidentialité de leurs clients. Un paradoxe difficile à appréhender pour les entreprises qui souhaitent valoriser leurs solutions et qui met également en jeu la question critique du renseignement des cyberattaques, nécessaire à l’efficacité de l’écosystème. Comment les acteurs de la sécurité informatique peuvent-ils émerger dans ce contexte ? Voici quelques pistes de réflexion.

Un contexte complexe

La problématique du secret ne se pose pas au niveau des acteurs de la cybersécurité — constructeurs et éditeurs — mais au niveau des retours d’expérience de leurs clients. En effet, les acteurs de la cybersécurité ont besoin de faire connaître leurs solutions et à ce titre contribuent activement à les valoriser. Cependant, sur le terrain côté entreprises, la culture du secret prédomine. Les entreprises sont conscientes du risque qu’elles peuvent encourir à partager des informations-clés sur leur dispositif informatique et ses défenses à des personnes qui souhaiteraient les attaquer.

Dans la plupart des cas, et on a pu le constater lors des attaques récentes, les cybercriminels n’attendent pas les témoignages clients pour planifier leurs attaques, bien au contraire. Or, le partage des bonnes pratiques est un plus pour démontrer la raison de la résilience de certaines entreprises. Pour illustration le cas actuel de la multiplication des ransomwares contre des hôpitaux : certains passent malgré tout au travers des mailles du filet. Comment font-ils ? Si ces hôpitaux partageaient leurs bonnes pratiques et les dispositifs déployés en termes de solutions, cela élèverait tout l’écosystème de la santé vers le haut.

Une exigence de transparence

L’enjeu de la communication des acteurs de la cybersécurité est donc bien celui-ci : parvenir à convaincre leurs clients de communiquer. Ce besoin de transparence est critique pour le secteur, car nécessaire au renseignement sur les menaces et à la consolidation de l’écosystème. Aller proactivement rechercher et identifier tout ce qui peut être une menace pour une entreprise par rapport aux solutions qui sont déjà en place, ou son secteur (par exemple, quelles menaces ciblent le secteur bancaire ? En quoi elles diffèrent de celles qui ciblent le secteur hospitalier ou le secteur industriel ?) contribue à alimenter ce renseignement.

La priorité absolue est de pouvoir stopper les activités des cybercriminels le plus rapidement possible. Or, seule une transparence totale du côté des entreprises victimes le permettra. Pourquoi ? Parce que c’est en communiquant, portant plainte et faisant connaître les techniques d’attaque, que les entreprises victimes contribuent à la transmission de l’information au sein de l’écosystème, au renseignement desdites menaces et au partage de bonnes pratiques qui profitent à l’ensemble des acteurs du secteur.

Un exemple illustre bien la prise en compte de ce besoin de transparence par les acteurs privés : la montée en puissance depuis quelques années du Bug bounty, où les entreprises font appel à des experts pour trouver des failles et rémunèrent ces derniers pour leurs découvertes. Des plateformes telles que YesWeHack ou Yogosha sont nées de cette tendance. Et l’étroite collaboration entre white hats (hackeurs éthiques) et éditeurs permet régulièrement de renseigner ces menaces, de les partager et d’en faire bénéficier le plus grand nombre.

Cette culture de la transparence est donc impérative, parce qu’elle contribue à nourrir un cercle vertueux qui améliore, tire tout l’écosystème vers le haut, et qui contribue à la sécurité de tous. Et c’est en cela que réside toute la force de la cybersécurité : jouer collectif dans la défense.

Comment communiquer pour émerger sur un secteur ultra concurrentiel avec des acteurs bien établis ?

Voici quelques conseils pour permettre aux acteurs de la cybersécurité de se démarquer, en dépit du défi que présente les retours d’expérience clients :

• Fournir des chiffres

Être en mesure pour les acteurs de la cybersécurité d’apporter des preuves chiffrées de leurs préconisations est un élément de notoriété et “thought leadership” déterminant. A ce titre, la production de différents rapports de ce qu’ils ont pu observer au cours de l’année (typologie d’attaques, secteurs visés, nombre d’attaques stoppées, etc.) pour illustrer de leur côté l’ampleur de certaines menaces est stratégique : montrer l’étendue des menaces qu’ils ont pu détecter et ensuite valoriser l’intérêt de leurs solutions pour la mise en place des actions correctrices ou de préparation adéquates, pour éviter d’être ciblées.

• Se positionner comme un expert qualifié

Il existe une multitude d’acteurs et peu ont la capacité d’être de réels bons experts capables d’apporter une plue value au secteur. Il est donc important pour les acteurs du marché qui souhaitent se démarquer, de déployer des stratégies de RP et d’influence qui visent à les positionner comme tels.

• Avoir un temps d’avance sur les journalistes

Les journalistes IT sont souvent des experts eux-mêmes et ont parfois l’info avant les acteurs du marché. Par contre les généralistes n’ont pas cette veille sectorielle et doivent traiter l’actualité une fois qu’elle est publique. C’est là où la proactivité et la qualité d’un commentaire d’expert fera la différence en permettant à son auteur d’être retenu par certains journalistes pour commenter l’info plus largement lors d’interviews. Et plus il sera réactif, pertinent, qualitatif et disponible, plus il sera sollicité spontanément lors d’opportunités futures.

Transparence, objectivité, expertise prouvée et posture de lanceur d’alerte sont parmi les éléments-clés qui permettront aux acteurs de la sécurité informatique de se démarquer dans un paysage ultra concurrentiel; cela, en dépit du défi que pose encore la réserve de leurs clients à partager leurs retours d’expériences. A leur charge de les convaincre de l’importance majeure de contribuer, via la transmission de ces informations, à nourrir l’écosystème et ainsi renforcer la sécurité de tous.