Les leçons de Sun Tzu et comment les appliquer à la cybersécurité

Sun Tzu cherchait à révolutionner la façon de faire la guerre. Ce qui n’est pas rien, puisqu’il est né en 544 avant J.-C. et a vécu à une époque où les guerres n’étaient pour la plupart rien d’autre que d’horribles massacres entre un ou plusieurs groupes armés de haches, de massues et de bâtons acérés.

Bien que peu d’informations sur la vie de Sun Tzu aient survécu, nous savons qu’il était employé par le souverain du royaume de Wei, qui se trouve aujourd’hui au nord-est de la Chine. Général et philosophe chinois, il a envisagé les aspects psychologiques de la guerre, ce qui constituait une approche tout à fait originale des conflits armés dans la Chine ancienne.

De nombreux historiens pensent que le livre de Sun Tzu était destiné à aider ses collègues à s’engager dans les nombreux conflits régionaux auxquels ils étaient confrontés. Aujourd’hui, l’Art de la guerre de Sun Tzu est un best-seller qui a transcendé 2 000 ans et des centaines de guerres. Ce livre est devenu une sorte de pierre de Rosette de la théorie militaire, cité par les théoriciens et traduit bien au-delà des champs de bataille pour s’imposer dans les écoles de commerce du monde entier et désormais dans le domaine de la cybersécurité.

L’art de la cyberguerre : la préparation

Il est assez simple de transposer à la cybersécurité les nombreuses et célèbres citations de Sun Tzu. Nous en avons recherché trois qui pourraient décrire au mieux les aspects importants de la cybersécurité : la préparation, la planification et la connaissance. Pour la préparation, nous avons opté pour une adaptation de cet avertissement bien connu :

La cyberguerre est d’une importance vitale pour toute entreprise. C’est une question de vie ou de mort, un chemin vers la sécurité ou la ruine.

Malgré son passé militaire, Sun Tzu affirmait que le combat direct n’était pas le meilleur moyen de remporter une bataille. Mais lorsque le combat est nécessaire, il est sage de se préparer soigneusement à toutes les éventualités. C’est pourtant une leçon souvent ignorée par les entreprises qui, après une grave violation, se sont retrouvées mises à l’amende, humiliées et méprisées parce qu’elles avaient négligé la sécurité de leur réseau et n’avaient pas réussi à se protéger des attaques. Pour nous préparer, nous avons non seulement besoin des technologies les plus avancées possible, mais nous devons également former le personnel et faire de la cybersécurité l’affaire de tous.

L’art de la cyberguerre : la planification

Concernant la planification, nous nous sommes demandé comment l’« art » est également une source de sagesse pour les attaquants :

Que l’ennemi ne sache jamais où vous avez l’intention de le combattre. Obligez-le à se préparer à toutes les attaques possibles, sur plusieurs fronts, et forcez-le à déployer ses défenses dans plusieurs directions ; et s’il se prépare en tous lieux, il sera partout en défaut.

Cette adaptation de la citation se rapporte à d’autres stratagèmes où Sun Tzu exhorte ses généraux à ne jamais sous-estimer l’ennemi et à envisager toutes les éventualités. Il en va de même pour les cyberattaquants. Ils choisiront les batailles faciles pour être sûrs d’avoir le dessus. Par conséquent, lorsque nous engageons notre défense, il est sage de planifier nos lignes comme si nous étions déjà la cible et que nous avions fait l’objet d’une violation.

L’art de la cyberguerre : la connaissance

En soulignant l’importance de la connaissance, Sun Tzu nous pousse à ne pas prendre de décisions émotionnelles irréfléchies. Il conseillait aux chefs d’acquérir autant de connaissances que possible lorsqu’ils se préparaient au combat, mais de ne pas se limiter aux forces et aux faiblesses de l’ennemi.

Connais ton ennemi et connais-toi toi-même ; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales. Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats que par tes défaites.

Ce conseil est une citation directe et décrit avec précision la manière dont la cybersécurité devrait fonctionner. Les entreprises doivent maximiser la puissance du renseignement sur les menaces en donnant aux équipes informatiques les moyens d’analyser en temps réel et de transformer chaque fragment de données en informations exploitables. Les équipes informatiques devraient également avoir les moyens d’envisager tout ce qui pourrait arriver et d’évaluer la meilleure conduite à tenir avant, pendant et après une violation.

Explorez et apprenez l’art de la cyberguerre

Les théoriciens de la guerre débattent depuis longtemps de la catégorisation des préparatifs et de l’exécution des activités militaires. Le général Carl von Clausewitz est, avec Sun Tzu, l’un des penseurs les plus connus et les plus respectés dans ce domaine. Pour paraphraser le livre de Clausewitz, Von Kriege (Sur la guerre) publié en 1832, il observe que la préparation de la guerre est une science, mais que la conduite de la bataille est un art. En tant que science, nous étudions la logistique, la technologie et d’autres éléments selon les besoins. En tant qu’art, nous nous appuyons sur le talent individuel et le cran pour exploiter les opportunités qui augmentent les chances de victoire. Clausewitz pensait également que la guerre appartenait à la province de la vie sociale, comme tous les conflits de grand intérêt humain.

La cyberguerre répond aussi à ces définitions. Par exemple, voyez l’activité commerciale comme la combinaison de la science, de l’art et de la vie sociale. Les entreprises qui se disputent le marché analysent soigneusement leurs concurrents, créent des moyens d’attirer le public et font pression pour obtenir un engagement social et une interaction. Ne devrions-nous pas appliquer le même niveau d’attention et de ressources à notre cybersécurité ? Nous pensons que Sun Tzu se caresserait la barbe et acquiescerait résolument.

Selon la mise à jour semestrielle du rapport SonicWall 2022 sur les cybermenaces, les attaques de cette année ont déjà éclipsé les volumes annuels de 2017, 2018 et 2019. Et de nouveaux vecteurs d’attaque sont mis en ligne chaque jour. Sans préparation, planification et connaissances adéquates, les entreprises et leurs clients risquent fort d’être victimes de cyberattaques dévastatrices.

Explorez et apprenez l’art, et comprenez la science. Réservez votre place pour MINDHUNTER 11, « L’art de la cyberguerre », et apprenez auprès d’experts comment vous pouvez assurer la sécurité de votre entreprise dans les cyberbatailles à venir.