« Connais ton ennemi et connais-toi toi-même » conseillait Sun Tzu dans l’Article 3 de son fameux ouvrage L’art de la guerre. Ce principe est d’autant plus vrai qu’il s’agit ici de cybersécurité, le fléau des années à venir pour les entreprises selon l’ANSSI. À l’occasion des Assises de la Sécurité, Thales consacre son dernier Cyber Threat Handbook 2020 à dresser le portrait de la cybercriminalité organisée. Outre la description du caractère de plus en plus organisé de la cybercriminalité, et que nous avons abordé dans plusieurs de nos articles ici même, le rapport pointe du doigt le caractère mouvant de la mafia du numérique.
« La cybercriminalité est une organisation vivante, explique le rapport. Elle est donc en constante mutation, en constante redéfinition. En tant que citoyens, que spécialistes ou que responsables de petites ou de grandes organisations nous devons nous astreindre à l’exigence d’une vigilance permanente pour adapter nos stratégies ». C’est l’illustration de ce qui se passe dans la criminalité conventionnelle entre les gendarmes et les voleurs. Les seconds sont constamment à la recherche de nouveaux moyens de marauder, tandis que les premiers s’efforcent de fourbir leurs contre-mesures pour mieux appréhender les malfaiteurs.
Comprendre l’interaction pour mieux s’adapter
Cependant, précise le rapport, ce sont ces mêmes contre-mesures qui deviennent des vecteurs d’interaction avec les cybermalfaiteurs. « Nous ne pouvons ignorer notre rôle d’organisateur de la cybercriminalité quand nous agissons vis-à-vis d’elle », explique-t-il. Ainsi, chaque action préventive prise détermine la réaction de la cybercriminalité, qui cherchera toujours à contourner, invalider ou surprendre les systèmes mis en place pour la contrer.
« En interagissant avec la cybercriminalité — en l’analysant, en se renseignant, en s’en prémunissant ou en la commentant — nous l’organisons. En interagissant avec elle, nous ne pouvons pas exclure les implications de nos actes dans la manière que nous avons de nous conduire. Nous devons nous soumettre à une exigence de responsabilité dans notre quotidien personnel et professionnel », précise le rapport.
Pour les rédacteurs du rapport, il est crucial de comprendre cette interaction pour mieux catégoriser, comprendre et établir des cadres d’analyse dynamiques pour s’adapter au phénomène de l’interaction. « En comprenant ces règles, nous pouvons être proactifs vis-à-vis du phénomène dans notre quotidien de citoyen, de chercheur, de spécialiste ou de responsable d’organisation », conclut le rapport.