Cyber sécurité : l'obscurité ne protège que les mauvaises pratiques

Alors que les cyber risques explosent, la transparence doit devenir la norme pour toutes les entreprises et organisations, afin de retrouver la confiance des utilisateurs.

Nulle organisation ne peut aujourd’hui prétendre être imperméable aux cyber risques. Au cours des dernières années, la multiplication du nombre de grands groupes touchés par des fuites de données ou attaques particulièrement pénalisantes a été une leçon d’humilité pour l’ensemble du secteur privé.

L'absurde quête du risque zéro a donc laissé place à une logique de responsabilisation des acteurs en matière de réduction des risques. Les organisations sont incitées à faire des efforts constants pour renforcer proactivement leurs défenses, avec à la clé la promesse d’une réputation préservée même en cas d’attaque, en vertu des efforts engagés. C’est particulièrement vrai pour les prestataires de produits et services numériques, dont les failles sont susceptibles d'entraîner des incidents de cybersécurité chez leurs clients.

Les succès et limites du durcissement de la réglementation 

Les grandes puissances ont compris depuis plusieurs années qu’elles devraient briser la loi du silence si elles souhaitaient lutter efficacement contre le cyber crime. En France, les efforts de sensibilisation d’acteurs publics comme Cybermalveillance.gouv.fr ou d’associations comme le MEDEF ont indéniablement contribué à l’augmentation du nombre de signalement d’incidents de sécurité. Mais c’est bien l’obligation de notifier les violations aux autorités, et parfois aux victimes, qui a changé la donne en 2018 avec l’entrée en vigueur du RGPD. Pour preuve, la majorité des fuites ou attaques dont nous avons connaissance sont divulguées pour répondre aux exigences réglementaires ou parce que leurs conséquences sont trop visibles pour être cachées. C’est par exemple le cas d’un ransomware qui paralyse une entreprise.

Malheureusement, aucun texte n’impose actuellement de communiquer sur les mesures prises pour se protéger et protéger son écosystème.

La transparence, fondement de la confiance dans l’économie numérique

Toutes les entreprises sont libres de définir et instaurer les protocoles de sécurité qu’elles jugent adaptés, c’est pourquoi il est difficile de mesurer la solidité de leur armure. La relation de confiance entre une entreprise et son écosystème se fonde donc sur l’honnêteté, la bonne volonté et la compétence. Chaque jour, des utilisateurs, entreprises ou particuliers, font l’acquisition de services ou systèmes numériques avec lesquels ils vont partager des données. Ce faisant, ils passent deux pactes. Le premier concerne la création de valeur. Plus le volume de données partagées est important, plus les bénéfices doivent être importants : expériences personnalisées, analyses prédictives, etc. Le second concerne la sécurité. Parce que les fournisseurs de produits et services numériques ont besoin de la confiance des utilisateurs pour prospérer et innover, ils s’engagent à les protéger. C’est pourquoi la confiance est le socle de l’économie numérique. Problème : chaque nouvelle affaire de fuite de données met au jour des défaillances, parfois volontaires, qui érodent toujours un peu plus la confiance des utilisateurs et ébranle grandement ce fragile équilibre.

En conséquence, les exigences des utilisateurs ont évolué. Ils n’attendent plus seulement des fournisseurs qu'ils sécurisent leurs données mais veulent aussi savoir comment est assurée cette sécurité, depuis la collecte jusqu’à la suppression, et avoir la garantie qu’ils en gardent le contrôle. Cette exigence de visibilité et de contrôle s'applique à toutes les relations commerciales qui reposent sur le numérique, qu'il s'agisse d'un individu s'engageant sur les médias sociaux, d'un hôpital stockant des dossiers médicaux ou d'une entreprise utilisant des services de collaboration basés sur le cloud.

Formaliser l’exigence de transparence

Aucune entreprise ou technologie n'est parfaite, mais l'obscurité comme vecteur de sécurité ne fonctionne pas.

Qu'il s'agisse de l'adoption de normes internationales, de la certification de produits ou d'une collaboration plus large, tout le monde, y compris les gouvernements, les organismes de normalisation et les fournisseurs de technologie, doit travailler ensemble pour répondre au défi de confiance et de transparence qui se pose à l’ère de la transition numérique de nos sociétés.

En choisissant d’adopter collectivement une approche basée sur des standards communs, les organisations peuvent réduire l'écart de confiance avec les clients et faire preuve en même temps d’une plus grande transparence. Il doit s'agir d'un effort international avec des règles et des objectifs partagés, des responsabilités alignées et une collaboration pour construire un environnement numérique digne de confiance qui répond aux défis d'aujourd'hui et de demain.