Pendant des années, les gouvernements ont signalé que les pandémies et les cyberattaques étaient les principaux risques auxquels leur pays était confronté. Le premier est déjà arrivé. La transmission virale rapide du COVID-19 n’a que trop bien montré à quel point les maladies infectieuses peuvent créer des troubles au niveau mondial et des dommages socio-économiques majeurs.
Mais qu’en est-il de ce deuxième risque énorme? Alors même que nous continuons à lutter contre le coronavirus, il est opportun de considérer la nécessité d’une cyber-préparation afin de protéger les intérêts économiques et sociétaux de notre société de plus en plus numérique.
Comment pouvons-nous utiliser les leçons de cette crise de santé publique et les appliquer à notre deuxième plus grand facteur de risque? La cybersécurité s’appuie souvent sur des concepts et des métaphores de la guerre, mais la santé publique fournit des concepts et des métaphores quotidiens beaucoup plus familiers qui pourraient fournir des ressources plus riches pour expliquer la cybersécurité, en particulier lorsque la santé publique et la cybersécurité fournissent des biens publics majeurs.
La santé publique se concentre sur la santé des communautés, pas seulement des individus. De même, les systèmes numériques ne peuvent être considérés isolément; la nature en réseau du cyberespace signifie que la sécurité collective des systèmes doit également être prise en compte.
Une approche à plusieurs niveaux de la santé publique
L’amélioration des pratiques d’hygiène individuelle et les programmes de vaccination à grande échelle sont la principale ligne de défense utilisée pour prévenir la transmission de maladies infectieuses.
L’immunité collective ou communautaire est une ligne de défense secondaire qui profite aux personnes qui ne peuvent pas être vaccinées. Alors que la vaccination protège directement ceux qui peuvent être immunisés, l’idée derrière l’immunité collective est qu’elle protège indirectement les personnes immunodéprimées; à mesure que de plus en plus de personnes sont vaccinées et immunisées, il y a moins de personnes capables de propager la maladie.
Mais l’immunité collective ne fonctionne que si chacun fait sa part. Si trop de personnes, qui peuvent être vaccinées elles-mêmes, dépendent des vaccinations d’autres personnes, il en résulte une épidémie. Des maladies plus contagieuses exigent que davantage de personnes soient vaccinées pour que l’immunité du troupeau fonctionne; par exemple, au moins 90 à 95% de la population doivent être vaccinés pour obtenir une immunité collective contre la rougeole, tandis que 80 à 85% de la population devraient être vaccinés contre la polio, qui est moins contagieuse.
L’immunité collective ne protège pas contre les maladies qui ne sont pas transmises directement par les personnes atteintes de la maladie; par exemple, le tétanos est attrapé par des bactéries présentes dans l’environnement; quel que soit le nombre de personnes vaccinées contre le tétanos, cela n’offrira pas une protection plus large.
Une troisième ligne de défense comprend la surveillance active par laquelle les personnes vulnérables sont surveillées; et si des symptômes sont détectés, la maladie est traitée et les personnes peuvent être hospitalisées, isolées ou mises en quarantaine si nécessaire. La recherche des contacts pour identifier les personnes qui ont physiquement interagi avec des individus infectieux était essentielle pendant les premiers stades de l’épidémie de SRAS en 2003 et de l’épidémie d’Ebola en Afrique en 2014, afin que des mesures de suivi puissent être mises en œuvre, telles que l’isolement et la mise en quarantaine, depuis les vaccins. n’étaient pas encore disponibles et étaient encore en cours de développement.
En outre, les interventions ciblant la population au sens large définissent des normes minimales pour une bonne hygiène, impliquant des politiques organisationnelles, des réglementations gouvernementales et des normes de santé plus générales. L’objectif est d’éliminer ou de réduire les principaux facteurs de risque, tels que le tabagisme, la consommation d’alcool et l’exercice, et de gérer les expositions environnementales à de l’air, des aliments, de l’eau et des matières dangereuses de mauvaise qualité.
Une approche en couches de la cybersanté
Les systèmes numériques bénéficieraient de couches de protection similaires. Par exemple, à l’instar des individus immunisés, les organisations et leurs systèmes doivent être « vaccinés numériquement » en mettant en œuvre des contrôles de sécurité, tels que des pare-feu, des logiciels anti-malware et des correctifs logiciels pour empêcher l’accès des attaquants ou des logiciels malveillants installés ou des vulnérabilités logicielles. exploité.
Certains systèmes numériques ne peuvent pas être sécurisés de cette manière, mais comme les personnes qui ne peuvent pas être vaccinées, ils bénéficieraient d’équivalents d ‘«immunité numérique des troupeaux» s’ils n’interagissaient qu’avec des systèmes sécurisés. L’immunité collective modifie les motivations des attaquants si les avantages de l’attaque ne l’emportent plus sur leurs coûts et leurs risques. Mais comme pour la vaccination, il ne suffit pas de croire que d’autres assureront l’immunité du troupeau: chaque organisation a la responsabilité de s’assurer que ses systèmes sont sécurisés (dans la mesure du possible) et que ses employés peuvent se conformer efficacement aux politiques de sécurité.
Et tout comme les patients qui ont besoin d’une surveillance médicale, ces systèmes numériques doivent être surveillés activement et en permanence afin que les menaces puissent être détectées et traitées rapidement. De même, la cybersécurité comprend des interventions systémiques qui définissent et appliquent des politiques, des normes, des réglementations et des normes plus larges appropriées pour établir des niveaux de sécurité acceptables.
Les interventions doivent répondre aux besoins de tous les types d’organisations – pas seulement les grandes entreprises, mais aussi les petites et moyennes entreprises – surmontant ainsi tout problème de culture, de compétences et de conformité.
Aider à maintenir la cyberhygiène pour développer une société numérique saine
Les réponses ad hoc au Covid-19 ont mis en évidence la nécessité de mieux se préparer aux crises futures. S’appuyer sur des cadres de santé publique désormais familiers peut aider à expliquer quelles interventions sont nécessaires pour que nous puissions continuer à profiter pleinement des avantages de la société numérique. Dans cet esprit, les entreprises peuvent prendre quelques mesures cruciales pour garantir une sécurité saine.
Alors que les employés continuent de travailler à distance, les entreprises courent le risque d’exposer leurs réseaux d’entreprise de différentes manières. Grâce à des réseaux non sécurisés et à l’utilisation d’appareils personnels, les employés peuvent offrir une porte ouverte aux pirates qui n’existaient pas auparavant. Les entreprises doivent prendre soin d’éduquer leurs employés en fournissant des directives sur les mesures de sécurité standard et simples telles que la force du mot de passe, l’utilisation d’un VPN, l’activation de pare-feu et la mise à jour des logiciels. Les mesures que les individus doivent prendre ne sont pas gravées dans le marbre, mais en constante évolution: lorsque nous répondons aux nouvelles informations de santé (comme les masques), nous devons tenter de modifier notre comportement pour rester en sécurité. Il en va de même pour la sécurité: nous devons toujours être prêts à répondre au paysage de menaces en constante expansion avec de nouvelles mesures de protection. Tout comme le lavage des mains, ce type de cyber-hygiène de base peut contribuer grandement à prévenir les menaces que nous constatons au quotidien. Il est impératif que les entreprises commencent à donner la priorité à la sécurité de leurs données.
Ben Koppelman, responsable de l’innovation, CyberSmart