Nous y sommes. Les fêtes sont à peine terminées, et comme tous les ans à la même date deux choses occupent l’espace médiatique, telle une coutume: les journaux et magazines sacrifient à la tradition, et se couvrent de bilans de l’année passée et surtout de prédictions pour l’année qui vient.
Toutes ces listes et autres rapports sont bien sympathiques, mais voyons les choses en face : comme chaque année, bien peu d’entre nous pourront tirer de véritables enseignements de l’analyse des événements de l’année passée, et encore moins obtenir des informations utiles sur 2017 à partir de prédictions qui s’avèrent soit évidentes donc sans véritable intérêt, soit du domaine de la spéculation pure et au final non confirmées dans les faits. Pour conforter mon propos, voici quelques raisons de simple bon sens qui vous inciteront à transgresser cette tradition, et envoyer ces prévisions aux oubliettes.
1. Le passé n’est pas forcément pertinent pour vous
Beaucoup de choses ont fait la une de l’actualité au cours de l’année passée. Même en se limitant aux événements touchant la sécurité des données et des réseaux, la liste est très longue. Mais dans la plupart des cas, ces événements ne vous concerneront en rien, soit parce qu’elles auront affecté des plates-formes et des technologies que vous n’utilisez pas, soit parce qu’elles auront ciblé des industries auxquelles vous n’appartenez pas. Analyser leur déroulement et leurs conséquences aura donc très peu de valeur pour vous, en dehors d’accroître votre culture générale sur la sécurité des données.
2. Le passé n’est pas une indication de l’avenir
Même si vous vous limitez aux quelques événements de l’année passée qui ont eu un rapport direct avec votre industrie ou votre entreprise, les connaître et les analyser ne vous aidera pas nécessairement à prévenir les attaques futures. Faire reposer sa stratégie de défense ou de sécurité sur l’analyse d’attaques passées mène souvent à des impasses ou pire à des erreurs graves. La ligne Maginot en 1940 en est un exemple célèbre. Mais vaut partir du principe que la stratégie des attaquants évolue sans cesse, et que les attaques passées ne se reproduiront pas à l’identique.
3. La plupart des prédictions s’avèrent inexactes
Prédire l’évolution des technologies ou des cyber menaces est à peu près aussi aléatoire que prévoir le temps qu’il fera dans une semaine, l’incertitude demeure la règle. Les prédictions sont soit d’une parfaite évidence – et dans ce cas elles ne sont d’aucune utilité, soit ressemblent plus à des suppositions qu’à des informations solides. Certes, ces suppositions peuvent reposer sur une analyse et des connaissances pertinentes sur l’évolution du marché et des technologies, mais au bout du compte elles s’apparentent plus à des vœux pieux qu’à des certitudes, tant il est difficile de prévoir l’avenir, à fortiori dans des industries en pleine évolution. D’ailleurs, les auteurs de ces prédictions sont le plus souvent les premiers surpris lorsqu’elles s’avèrent exactes.
4. Même les prédictions exactes ne sont pas forcément pertinentes pour vous
Certes, chaque année Il y a toujours des prédictions qui finissent par être exactes. Il suffit pour ceux qui les font de mettre toutes les chances de leur côté. C’est comme mettre des jetons sur toutes les cases à la roulette, on gagne à tous les coups. Mais le plus probable est que les quelques prédictions qui s’avèreront justes s’appliqueront à des secteurs d’activités ou à des plates-formes qui ne vous concernent pas.
5. On n’est jamais mieux servi que par soi même
Toutefois, les prédictions ne doivent pas être rejetées par principe. Il n’y a rien de mal en soi à faire le bilan de l’année passée ou à essayer d’anticiper ce qui va se produire durant l’année qui vient. C’est un acte de bonne gestion. Mais les prédictions n’engagent que ceux qui les font. Donc plutôt que vous appuyer sur des experts auto proclamés qui vous fourniront leur ‘liste magique’, pourquoi ne pas analyser vos propres données et votre propre historique, et utiliser ces informations pour faire vos propres prédictions pour 2017 ? Elles seront ainsi directement pertinentes pour vous et votre entreprise.
Mais soyons magnanimes. Beaucoup d’entre vous ne pourrons s’empêcher de consulter toutes ces listes de prédictions qui fleurissent en ce moment dans la presse. Après tout, pourquoi pas ? C’est la tradition – comme la dinde à Noël et le feu d’artifice au 14 juillet.
Toutefois, faites-le au moins avec une vision objective de leur pertinence – ou de leur absence de pertinence – pour votre business, et concentrez-vous sur les seuls éléments qui auront le plus fort impact pour vous.
Erwan Jouan - Directeur des Ventes de Tenable Network Security France, Italie, Espagne, Portugal.