J'ai remarqué quelque chose au fil des ans. Peu importe la complexité de la discussion, peu importe le nombre d'outils, de cadres ou de rapports qui sont mis sur la table, on en revient toujours à une question toute simple.
Qui fait quoi sur votre réseau ?
Pas plus tard. Pas après quelques heures de recherche. Pas une fois que quelqu’un a eu le temps de reconstituer le puzzle. Tout de suite. Et ce qui est drôle, c’est que les gens ne commencent généralement pas par là. Ils commencent par ce qui leur semble être des questions plus vastes, plus importantes. Sommes-nous exposés ? Sommes-nous attaqués? Sommes-nous en sécurité et en conformité ? Ce sont ces questions qui reviennent dans les réunions, dans les présentations au conseil d’administration et dans les rapports d’avancement. Mais si on y réfléchit un instant, y répondre n'est souvent pas si simple.
Prenons la question « Sommes-nous exposés ? ». Elle semble importante et sérieuse. Elle conduit généralement à des listes. Des risques. Des scores. Des priorités. Mais au-delà de tout cela, ce que les gens essaient vraiment de comprendre est bien plus simple. Qui a accès à quoi ? Qui ne devrait pas y avoir accès ? Quels éléments sont connectés sans que nous nous y attendions ? Quels éléments communiquent entre eux, et cela a-t-il du sens ? Vous pouvez présenter les choses comme vous le souhaitez, mais tout revient toujours à savoir si vous savez vraiment qui fait quoi sur votre réseau.
Et puis il y a : « Sommes-nous sous attaque? » Celle-là a tendance à créer un sentiment d’urgence. Les choses s’emballent. Les gens commencent à demander des mises à jour. Mais si l'on met de côté l'émotion, la question est étonnamment simple. Est-ce que quelqu'un fait quelque chose qu'il ne devrait pas faire ? Pas en théorie. Pas sur la base d'une règle qui se déclenche quelque part. Mais dans la réalité, sur votre réseau, à travers vos systèmes, dans la façon dont les choses se comportent réellement. Qui s'est connecté ? Qu'a-t-il fait ensuite ? Était-ce logique ? Pourriez-vous l'expliquer à quelqu'un d'autre en toute confiance ?
Et puis on en arrive à la question que tout le monde finit par poser : sommes-nous en sécurité, sommes-nous en conformité ? C'est celle qui pèse le plus lourd. On pourrait croire qu'elle mérite une réponse claire et assurée. Mais c'est rarement le cas. Car elle ne porte pas vraiment sur ce que vous avez mis en place. Elle demande si vous comprenez suffisamment bien ce qui se passe pour pouvoir en assumer la responsabilité. Pouvez-vous montrer qui a accédé à quoi, et quand ? Pouvez-vous expliquer comment l'accès est utilisé, et pas seulement comment il est censé l'être ? Si quelqu'un vous demandait de retracer ce qui s'est passé hier, pourriez-vous le faire clairement, sans laisser de zones d'ombre ? La plupart du temps, c'est là que les choses se taisent un peu.
Ce que je trouve intéressant, c'est qu'aucune de ces questions n'est réellement différente. Elles se présentent simplement sous des aspects différents. Risque, activité, conformité : tout cela semble relever de domaines distincts, mais ces questions dépendent toutes d'un même élément : le fait de savoir clairement et en permanence qui fait quoi au sein de votre réseau.
Et c'est justement cet aspect qui a tendance à passer inaperçu.
Ce n’est pas parce que les gens s’en moquent. Ce n’est pas parce que les équipes ne travaillent pas dur. C’est plutôt le contraire. Partout, on constate des efforts. Partout, on trouve des données. L’information ne manque pas. Mais il y a une différence entre disposer d’informations et comprendre. Entre collecter des données et être capable de les expliquer. Entre voir les éléments et voir l’ensemble.
Au final, le scénario est bien connu. Les gens rassemblent les pièces du puzzle. Ils vérifient à plusieurs endroits. Ils vérifient, revérifient, puis recoupent encore une fois les informations. Finalement, ils obtiennent une réponse. Ou du moins quelque chose qui s'en rapproche suffisamment pour pouvoir avancer. Et pour être honnête, parfois, cela suffit.
Mais c'est aussi pour cela que ces mêmes questions reviennent sans cesse. Pourquoi la question « Sommes-nous exposés ? » reste sans réponse définitive. Pourquoi celle de savoir « Sommes-nous attaqués ? » ne trouve jamais de réponse claire. Pourquoi la question « Sommes-nous en sécurité ? » s'accompagne toujours d'une pause. Car la véritable question – savoir qui fait quoi sur votre réseau – est une question qui exige une remise en question et une compréhension permanentes
Ce n'est pas une question spectaculaire. Elle ne fait pas les gros titres. Mais c'est celle dont tout le reste dépend. Et si vous pouvez y répondre clairement, sans bricoler, sans hésiter, sans avoir besoin de temps pour y réfléchir, la plupart des autres questions deviennent beaucoup plus faciles.
Si tu n'y arrives pas, eux non plus.
Vous trouverez d'autres articles de Mark Wojtasiak, ici.
Et retrouvez-le régulièrement dans le Hunt Club , « Cyber Minds Show ».