Dans l’important dictionnaire du vocabulaire cyber, un petit nouveau s’est glissé ces derniers mois. La cyber-résilience est partout, des perspectives 2024 des entreprises aux alertes des décideurs du secteur. Mais comment s’articule t-elle avec la cybersécurité ?
De quoi parle t-on ?
Du côté de la cybersécurité, la promesse est claire : protéger les entreprises des menaces cyber. La cyber-résilience a une acception plus large. Publié au Journal officiel dès 2017, le terme désigne « la capacité d’un système d’information à résister aux cyberattaques et aux pannes accidentelles, puis à revenir à un état de fonctionnement et de sécurité satisfaisant ». Pour résumer, la cybersécurité est une composante de la cyber-résilience.
Pourquoi le terme de cyber-résilience s’est imposé ?
Le terme de cyber-résilience a été mis en lumière par le Cyber Resilience Act européen, qui devrait être définitivement adopté en 2024 et entrer en vigueur en 2026 ou 2027.
Mais le terme de cyber-résilience répond aussi et surtout à la volonté des acteurs du secteur de modifier la posture des entreprises. Avec l’augmentation de la fréquence des cyberattaques, l’idée n’est en effet pas de leur faire croire que des mesures de cybersécurité les protègeront forcément. « Il ne s’agit plus de savoir si l’on va se faire attaquer mais quand », répètent en boucle les experts. Et certains d’ajouter : « et comment l’on s’en sortira ». C’est tout l’enjeu de la cyber-résilience.
Quel terme pour quel usage ?
Alors faut-il tout simplement arrêter de parler de cybersécurité pour privilégier la cyber-résilience ? Non. D’abord parce que c’est un débat d’initiés. Et que les dirigeants d’entreprises sont encore trop peu à l’aise avec ces concepts pour qu’on se permette de remiser la cybersécurité – terme historique et bien identifié – au placard.
Pour autant, comprendre que le risque zéro n’existe pas et préparer au mieux la période qui suit une cyberattaque est essentiel. L’utilisation du terme de cyber-résilience renforce la pédagogie dans ce domaine. Mais ne suffira pas à elle seule à doper le système immunitaire cyber des entreprises.