Nous accordons tous une place majeure à la confiance dans nos relations humaines et professionnelles. Dans le domaine de la cybersécurité, la confiance est encore plus importante : en effet, la cybersécurité ne s’appuie pas sur la confiance. Elle en dépend entièrement. La confiance, en matière numérique, se définit comme la combinaison de la cybersécurité, de la protection efficace des données, de la responsabilité et la traçabilité, ainsi que du traitement éthique, inspirant la confiance des clients envers une entreprise – ou des citoyens envers un acteur public.
Les travaux et réflexions en cours à l’échelle internationale, pour encadrer par le droit les comportements dans le cyberespace, doivent permettre aux acteurs des relations internationales d’en faire un lieu sûr et sécurisé, de renforcer la cyberstabilité et contribuer ainsi à rendre le monde moins chaotique. Nous sommes de fervents partisans de toutes ces initiatives. Cependant, nous sommes également conscients que cela nécessitera encore beaucoup d’efforts, de temps et une forte volonté de la part des États pour créer les conditions d’application nécessaires au respect de ces normes. En outre, de telles normes ne pourront être suivies que par les États, tandis que les acteurs non-étatiques resteraient dans une « zone grise » juridique sans obligation directe.
Ainsi, alors que les efforts diplomatiques se poursuivent au sein des instances internationales, Kaspersky souhaite proposer des solutions concrètes pour renforcer la confiance numérique et la cyber-résilience face aux nouvelles cybermenaces.
Généralement, la confiance dans une entreprise est fondée en grande partie sur sa réputation, sur la relation construite au long terme avec ses publics. La décision de faire confiance ou non repose donc sur l’opinion personnelle de chacun, sur la base de son expérience passée, de sa culture et de ses valeurs. Une confiance basée sur le référentiel de chacun peut être à géométrie variable et s’appuyer sur la peur de risques potentiels.
Dans le domaine technique et stratégique que représente le numérique, ne conviendrait-il pas de réfléchir à une nouvelle approche qui serait davantage fondée sur des données probantes plutôt que des impressions ? Ceci afin d’élaborer un cadre commun, un standard de référence en cybersécurité assurant un niveau de protection minimum à l’échelle mondiale.
Nous devons aujourd’hui changer de paradigme pour que la décision de faire confiance soit construite sur une réflexion factuelle voire « scientifique ». Pour y parvenir, il est nécessaire d’élaborer un nouveau cadre, d’instaurer un nouvel état d’esprit régi par les principes de confiance et d’éthique numériques, qui seraient fondés sur une approche effective et claire de l’évaluation des risques.
Définir ensemble les conditions de la confiance sous l’égide de l’Appel de Paris
Kaspersky soutient pleinement l’Appel de Paris lancé par Emmanuel Macron en novembre 2018 pour renforcer la confiance, la sécurité et la stabilité dans le cyberespace, car cette initiative représente l’opportunité de nous réunir – experts de l’industrie, monde universitaire, secteur public et société civile – pour élaborer ensemble un cadre global partagé.
Un tel cadre, qui prendrait en compte les risques tout au long de la chaîne d’approvisionnement informatique, permettrait de définir les conditions que doivent respecter les produits informatiques pour mériter notre confiance (évaluer leur « trustworthiness »). Il aiderait ainsi toutes les parties prenantes – particuliers, entreprises, autorités publiques… – à accorder sereinement cette confiance.
Kaspersky propose de fournir son infrastructure et ses systèmes, y compris son code source, pour les évaluations nécessaires au bon fonctionnement du cadre.
Deux éléments doivent être étudiés en priorité :
- Évaluation de l’intégrité des produits: Un produit informatique ne contient-il pas de fonctionnalités imprévues ?
- Évaluation de la collecte et du traitement des données: Comment un produit informatique collecte, traite, stocke et protège les données des utilisateurs ?
Par ailleurs, nous pensons qu’il est nécessaire de renforcer la coopération entre les secteurs public et privé dans le cadre de l’Appel de Paris – la menace croissante de divisions et de protectionnisme est inquiétante car elle saperait la stabilité internationale et limiterait notre capacité à relever les défis mondiaux, notamment la cybercriminalité. Ce sont en effet les cybercriminels qui tirent profit d’un monde fragmenté.
Toutes les parties, y compris les experts, entreprises et autres acteurs non gouvernementaux, doivent par conséquent pouvoir allier leurs forces pour avancer vers une meilleure gouvernance de la cybersécurité, et ainsi assurer la sécurité et le développement équilibré d’économies basées sur les données.
A cet égard, dans le cadre de l’Appel de Paris, nous appelons tous les signataires à :
- Créer une plateforme collaborative avec des rencontres physiques pour recueillir des idées et créer une coopération simplifiée entre les signataires de l’Appel. Un tel dispositif rationalisé pourrait se concentrer sur l’élaboration d’un cadre de confiance ; de normes cyber ; de cyber « hygiène » et pédagogie.
- Mettre en place un mécanisme de consultation avec des rencontres physiques pour l’élaboration d’une approche et d’un cadre de normalisation des produits de cybersécurité.
- Initier une publication de haut niveau proposant une analyse plus détaillée des mesures possibles pour promouvoir les valeurs et atteindre les objectifs de l’Appel.
La légitimité du cadre et son acceptabilité, mais aussi la mutualisation entre acteurs et le partages de compétences, seront des enjeux clés pour la réussite de telles initiatives. Kaspersky est prêt à s’engager aux côtés de ses partenaires.
Nous sommes ouverts aux commentaires (veuillez nous contacter à TransparencyCentre@kaspersky.com) et aux propositions d’autres signataires de l’Appel de Paris: acteurs de l’industrie, universités, etc. afin d’explorer les possibilités de coopération.
La proposition de Kaspersky pour soutenir et concrétiser les initiatives nées de l’Appel de Paris.