L'histoire nous montre que les protocoles de données propriétaires, spécifiques à chaque fabricant, sont les plus vulnérables aux cyberattaques, car ils ne sont développés que par un groupe relativement restreint, contrairement aux protocoles standardisés. Pour une meilleure protection contre les futures attaques réseau, les protocoles de communication classés comme normes et librement accessibles sous forme de RFC (Request for Comments), par exemple, devraient être intégrés dès la conception des produits. En effet, ces protocoles ont été rigoureusement examinés par de nombreux experts, et la sécurité a été prise en compte dès le début de leur développement. Ils offrent ainsi le plus haut niveau de sécurité possible et sont bénéfiques non seulement pour les produits, mais aussi, à terme, pour les entreprises et leurs processus.
Par ailleurs, les entreprises doivent faire preuve de transparence concernant les questions de cybersécurité. Dans ce contexte, la discrétion est sans aucun doute de mise dans un premier temps. Après tout, les partenaires commerciaux, et notamment les clients, ne doivent pas se sentir trahis. Toutefois, cette période de discrétion doit également être mise à profit pour développer des correctifs potentiels afin de remédier aux failles de sécurité. Une communication externe avec toutes les parties prenantes doit également être préparée et coordonnée. Enfin, la vulnérabilité doit être signalée, prise en charge et faire l'objet de correctifs de sécurité.
Les politiques évasives ne mènent nulle part.
Cette approche pose problème à de nombreuses entreprises, notamment dans le secteur industriel. Cela s'explique par le fait que la cybersécurité n'a pris de l'importance que récemment, ce qui engendre un manque de compétences, voire une insuffisance de compétences tout court, pour gérer les problématiques de cybersécurité. Les entreprises ont souvent tendance à faire l'autruche, persuadées que discuter du sujet ne ferait qu'aggraver les problèmes. Or, cette attitude peut se retourner contre elles si des experts externes découvrent la vulnérabilité, accidentellement ou délibérément, et la divulguent publiquement. Les problèmes seront alors connus de tous, ce qui nuira considérablement à l'image de l'entreprise.
À l'inverse, les entreprises qui s'attaquent proactivement aux vulnérabilités peuvent gagner en crédibilité. Compte tenu de la complexité de nombreux produits, il est clair que les problèmes ne peuvent être totalement éliminés, malgré des tests exhaustifs avant la mise en production.
Il est bien plus important de régler rapidement ces problèmes, en gardant le client à l'esprit ; autrement dit, il est plus important de démontrer que l'entreprise est compétente et maîtrise la situation.
Fermer la porte de l'étable numérique
: que faire de plus en matière de cybersécurité ? Pour les PME, en particulier, cette question représente un obstacle de taille. En effet, entreprendre les démarches nécessaires et développer les compétences requises a un coût. Cependant, il n'est pas indispensable de mettre en œuvre d'emblée une solution globale pour se protéger intégralement contre toutes les attaques réseau. La cybersécurité s'inscrit dans un processus continu. Il faut d'abord identifier les menaces potentielles. En Allemagne, par exemple, de nombreuses PME (parmi les meilleures de leurs secteurs respectifs) laissent leurs failles de sécurité, à l'image d'une immense étable numérique, en matière de protection de leur savoir-faire technologique. Une fois les principales vulnérabilités identifiées, il convient d'entreprendre des démarches initiales pour mettre en place une stratégie de cybersécurité. Par ailleurs, une démarche d'amélioration continue, similaire à la gestion de la qualité, doit être instaurée afin d'accroître progressivement le niveau de sécurité.
Enfin, la création d'une plateforme d'échange entre les pouvoirs publics et les entreprises serait également très utile pour dialoguer sur la cybersécurité. Cette approche ne sera efficace que si toutes les parties prenantes participent activement. L'expérience montre que, faute de coordination, des plateformes parallèles peuvent émerger, engendrant des rivalités stériles. Par ailleurs, une répartition claire des responsabilités entre le gouvernement et le secteur privé est indispensable. Le National Institute of Standards and Technology (NIST), qui relève du Département du Commerce des États-Unis, en est un exemple. Le NIST annonce publiquement la création de nouveaux algorithmes cryptographiques, dont le développement est ensuite confié au secteur privé. Autrement dit, cet organisme gouvernemental encourage les entreprises à innover et, de ce fait, à développer automatiquement leur expertise en cybersécurité. L'Allemagne devrait adopter cette approche pour se protéger efficacement contre les cybermenaces.
Conclusion :
face à l'interconnexion croissante des processus, la cybersécurité devient un facteur déterminant de la réussite économique. Les entreprises doivent donc agir sans tarder en développant des produits sécurisés, en communiquant ouvertement sur les problèmes et en intégrant pleinement la cybersécurité dans une culture d'entreprise axée sur l'amélioration continue. De plus, le gouvernement et le secteur privé ont la responsabilité de fournir des solutions standardisées, condition essentielle pour que tous les acteurs du marché puissent en bénéficier équitablement.
