Érosion de la confiance dans la cybersécurité : pourquoi il faut y remédier

24 Mai 2018

La numérisation de certains secteurs et domaines, qui devient peu à peu la « numérisation de toutes sortes de choses », a promis d’engendrer de réels avantages : une meilleure fonctionnalité, un meilleur contrôle, des coûts moindres et des vitesses plus élevées. Alors qu’elle tenait ses promesses, la numérisation a également révélé un grand nombre de problèmes. Un des soucis les plus importants est la mauvaise utilisation et la manipulation des technologies numériques qui créent des risques pour les individus et la société, mais aussi des menaces en matière de cybersécurité.

Ce n’est pas la première fois que l’humanité doit faire face un tel problème : comment assurer une utilisation sûre des biens. Comment avons-nous fait dans le passé ? Prenons l’exemple des médicaments. Si vous introduisez un nouvel objet sur le marché, il vous incombe, en tant que producteur, de démontrer qu’il ne va pas nuire au consommateur. Pour ce faire, le producteur doit respecter certains critères de santé et de sécurité, et ainsi obtenir les permis et certificats nécessaires. Traditionnellement, la certification, qui signifie qu’un produit est conforme aux critères de sécurité correspondants, permet d’accéder au marché. Produit, testé, certifié, estampillé et mis en rayon.

La numérisation ajoute un autre aspect à ce casse-tête. Dans un monde de produits tangibles, nous utilisons principalement des produits finis ; dans la plupart des cas ils disposent d’une date de péremption, comme avec la nourriture. Dans le monde des logiciels, et plus particulièrement des logiciels de cybersécurité, nous faisons face à une nature évolutive, à cause des mises à jour, nous devons gérer les possibles bugs (découverts autrefois ou récemment), et nous sommes dans un contexte où les menaces sont en constante évolution. Par analogie, vous pouvez avoir un certain nombre de principes actifs dans un médicament prescrit, mais il est difficile de garantir que votre solution de cybersécurité vous offre un certain (haut) niveau de sécurité si elle n’est pas mise à jour, et si vous êtes la cible d’une attaque malveillante. Auriez-vous confiance en votre solution si elle ne vous protégeait pas des nouvelles menaces ? À l’inverse, auriez-vous confiance en votre solution si elle était mise à jour mais affaiblissait votre protection en ayant de nouvelles vulnérabilités ?

Un autre niveau du problème dans le domaine de la confiance en cybersécurité est apparu au niveau international. La numérisation a donné lieu au terme « souveraineté numérique », tel qu’adopté par certains pays. L’informatique est de plus en plus considérée comme le quatrième domaine de lutte. La réaction a été (malheureusement) prévisible. Les plus grandes puissances informatiques se retranchent derrière les défenses informatiques (la balkanisation du cyberespace), développent des capacités offensives (militarisation), et privilégient non pas les meilleures technologies locales mais les plus simples (protectionnisme). De plus, le dialogue international en matière de cybersécurité entre les principales puissances informatiques traverse une période difficile, et certains diraient même que ce fut un échec. Étant donné que les solutions de cybersécurité ont un accès privilégié aux données, comment pouvons-nous être surs que nos protections en matière de cybersécurité ne sont pas elles-mêmes en danger ? Comment être sûrs qu’il n’existe pas de porte dérobée ou de vulnérabilités critiques ? La réponse traditionnelle, donc la certification, ne serait qu’un composant à cause des limites dont nous avons parlé auparavant. Si nous suivons certaines recommandations en matière de cybersécurité, une approche qui repose sur le risque est de mise. Le problème est que comme ce système dépend d’une évaluation subjective qui dit qu’il y a soit des « conséquences négatives », soit une « probabilité », le risque peut facilement être exagéré et mal compris. Par conséquent, la nouvelle expression « en cas de doutes, désinstallez » (interdisez / limitez) ! » fonctionne bien. Malheureusement, lorsqu’il s’agit d’essayer de s’occuper des risques de la chaîne d’approvisionnement, les gouvernements ont tendance à ignorer le principe de la « présomption d’innocence » : il n’y a pas besoin de démontrer les méfaits si vous pouvez indiquer certaines « intentions » de méfait (habituellement difficiles à évaluer). Il est évident que le climat géopolitique actuel est un environnement encourageant pour une telle approche.

Les dangers de la tendance actuelle de l’érosion de la confiance en informatique sont un effondrement total du dialogue, un préjudice économique et même un conflit mondial en informatique.

Comment pouvons-nous nous attaquer à cette tendance générale ? Kaspersky Lab, en tant que partie intégrante de l’écosystème mondial en cybersécurité, pense qu’il faudrait s’y attaquer en donnant des réponses aux causes profondes du problème. Même si nous comprenons nos limites en tant qu’entreprise privée et n’allons pas « jouer à la géopolitique », nous nous sommes engagés à ajouter une couche de confiance à nos solutions de cybersécurité grâce à notre Global Transparency Initiative. La GTI est à la fois notre réponse aux turbulences géopolitiques et notre engagement pour améliorer les technologies et l’infrastructure existantes pour qu’elles correspondent aux défis technologiques actuels.

Nous allons bientôt annoncer une nouvelle série d’étapes spécifiques dans le cadre de cette Initiative. Il s’agit de quelque chose que nous organisons, et qui ne sera pas seulement lié à Kaspersky Lab, mais aussi aux propositions que nous faisons à nos partenaires internationaux pour que l’on travaille ensemble. Affaire à suivre très bientôt !