Cette façon de penser les faits de cybersécurité en termes de fictions et de contre-fictions invente une nouvelle frontière où haute technologie et narrativité se mêlent pour démultiplier l’efficacité.

C’est le genre de récit sans point final. Les chapitres s’enchaînent, avec de nouveaux personnages, de nouvelles péripéties. Les scénarios des hackers sont plus inventifs que les séries Marvel ! C’est certainement pour cela que l’on fait appel à la fiction. Pour imaginer des scripts de réponse à ce qui ressemble parfois à des intrigues dignes des meilleurs romans de SF.

let x = Math.floor((Math.random() * 100) + 1).
Si vous n’avez rien compris à ce langage informatique, le pirate, lui, a identifié la faute dans cette étonnante syntaxe. Il a déniché LA faille dans laquelle s’engouffrer pour hacker votre système d’iInformation (SI). En bon grammairien du code, il pourra à loisir réécrire son chapitre pour vous dépouiller. Car au fond, le hacking n’est rien d’autre que la traduction technologique d’un scénario dont le pirate est l’écrivain.

Si le code est un langage, le hacker et son opposant, le cyber expert, sont deux conteurs de fables. Ils imaginent des scénarios et écrivent des histoires codées pour respectivement percer les Systèmes d’Informations ou renforcer ses défenses.

Dans les deux cas, l’imagination et l’anticipation se révèlent indispensables pour eux. Pris dans une symétrie qui distribue leurs positions antagonistes, ils cherchent l’un comme l’autre à voir plus loin. C’est d’ailleurs dans cette optique que l’université Paris Sciences & Lettres (PSL) et l’Agence de l’Innovation de Défense ont conjointement créé la Red Team, une cellule d’auteurs de science-fiction dont la mission est d’imaginer des menaces militaires et technologiques susceptibles d’engendrer guerres et conflits à l’horizon 2030-2060.

Un concept évidemment transposable au monde de la cybersécurité qui se nourrit déjà de l’imagination et de la créativité des hackers. Le pari de la Red Team est inédit autant qu’explicite : il s’agit d’anticiper le pire, quitte à se faire peur, pour mieux sécuriser l’avenir.

Avec l’aide de scientifiques et de militaires, cette troupe inventive, qui compte dans ses rangs Laurent Genefort (Les temps ultramodernes), DOA (Pukthu), ou encore Romain Lucazeau (La nuit du faune), a pour objectif de franchir les frontières de la rationalité présente et de parcourir les imaginaires qui se trouvent au-delà.

Romain Lucazeau, lors du lancement du projet, déclarait d’ailleurs à la presse : “On a essayé d’identifier les changements de règles du jeu […]. On y a ajouté des pirates, figures historiques qui existent depuis la nuit des temps, car cela résonne dans l’imaginaire, c’est crédible. Mais ces pirates évoluent dans un monde où les règles ont changé et diffèrent des conflits interétatiques que l’on connaît aujourd’hui. C’est important de le mettre en récit parce que cela offre au lecteur une expérience existentielle, pas que de la connaissance.”

Pilule bleue ou pilule rouge, fiction ou réalité ?

Là est le pouvoir de la fiction : sensibiliser les lecteurs par l’émotion. L’écrivain Sylvain Forge s’inscrit d’ailleurs dans ce sillon en mêlant le roman aux enjeux cyber pour en vulgariser les tenants et aboutissants.

L’enjeu est sociétal : c’est pourquoi l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a créé, en 2021, le prix du roman Cyber Agora 41, dont Sylvain Forge est précisément le dernier lauréat.

La fiction est en effet la voie royale pour sensibiliser les lecteurs à un univers particulièrement complexe et technique : elle les plonge dans un nouvel imaginaire a priori indéchiffrable pour le quidam, mais qui se révèle plein de passionnants mystères.

La multiplication récente des films, séries, jeux vidéo ou romans qui évoquent cette thématique en atteste. Il se joue, dans ces œuvres, un combat imaginaire entre cyberattaque et cyberdéfense, où tout est question de posture, d’image que l’on renvoie à son adversaire.

Toute guerre n’est-elle pas d’abord psychologique ? Si tel est le cas, il est évident que l’imagination est le meilleur moyen de prendre l’ascendant sur l’attaquant. Si vous êtes terrifié par le hacker avant même qu’il ne frappe, il a déjà gagné.

S’il y a bien une réalité qui se réécrit sans cesse, c’est celle de notre société. Ballotée entre “simulacres et simulations”, pour citer Jean Baudrillard, la fiction rejoint la réalité pour nous aider à comprendre le monde. Quelles sont les prochaines ruptures technologiques ? Les prochains outils à disposition des hackers ? Il faudra faire preuve de beaucoup d’imagination pour répondre à ces questions.

Quoi qu’il en soit, cette façon de penser les faits de cybersécurité en termes de fictions et de contre-fictions invente une nouvelle frontière où haute technologie et narrativité se mêlent pour démultiplier l’efficacité.

Raconter la crise

La gestion des risques cyber ne se borne cependant pas à inventer des scénarios d’attaques ou de défenses, et à s’y préparer. Si prévenir, c’est guérir, il faut malgré tout s’attendre à être parfois obligé de soigner.

Outre les opérations techniques de remédiation, il convient donc aussi de parfaitement angler sa communication externe lors de la gestion de crise après une attaque. Il est ici encore question de marketing, car il s’agit de peaufiner son storytelling. Là encore, n’est-on pas immergé dans la narration et la fiction ?

La gestion de crise relève d’un exercice de communication : une entreprise victime d’une cyberattaque conséquente a en effet désormais le devoir de rapporter les faits à l’ANSSI et à la CNIL. Elle doit aussi maîtriser son propos vis-à-vis de ses clients, ses partenaires et ses collaborateurs.

Comment « narrer » aux tiers sa gestion de crise ? L’objectif consiste à exposer dans les moindres détails toutes les mesures mises en place par l’entreprise pour contrer cette attaque, pour démontrer sa résilience. Comme dans toute bonne fiction qui se respecte, c’est une façon de retourner la situation à son profit. En creative writing, on appelle ça un rebondissement. Et il vaut mieux le faire à partir d’un plan de communication bien structuré et bien écrit.

Dans le domaine de la cybersécurité, comme dans toute stratégie militaire, c’est parfois en perdant une bataille, réelle ou imaginaire, qu’on peut finalement gagner la guerre.

Article initialement paru dans Silicon.fr