Je fais partie du secteur de la cybersécurité depuis maintenant plus de 15 ans. Pendant tout ce temps, avec d’autres vétérans de la sécurité des informations, j’ai pu constater la montée de l’hypermédiatisation directe du FUD (« peur, incertitude et doute »). Force est de constater que cela a fonctionné. La science neuromarketing a eu raison cette fois-ci. La peur a vraiment impulsé la vente des produits de sécurité. Cependant, comme tout médicament, le FUD a un effet secondaire. Et pas qu’un seul en réalité : il en a plusieurs.
En tant qu’industrie, nous ne pouvons échapper au FUD car nous en sommes dépendants. Pour nous, le FUD se manifeste dans certaines demandes de preuves de nos clients pour certifier que ce que nous leur disons n’est pas juste une autre faille potentielle mais un véritable danger. Malheureusement, la meilleure preuve qu’un danger est réel ne survient que lorsque quelque chose de mal se produit. C’est pourquoi les médias dépendent tant du FUD. Plus les pertes s’élèvent à des millions de dollars, d’euros ou peu importe la devise, plus l’histoire est intéressante.
Ensuite, un autre acteur entre en jeu : les régulateurs et leur tendance à surréagir et à imposer leurs règles strictes de conformité et leurs amendes. Les chercheurs en sécurité, les concepteurs de produits, les négociants, les médias et les régulateurs tombent dans un piège stratégique connu comme le dilemme du prisonnier en théorie des jeux : tous les joueurs doivent utiliser des stratégies suboptimales pour ne pas perdre. Dans le cas du secteur de la sécurité des informations, l’utilisation de cette stratégie suboptimale implique la création d’encore plus de FUD.
Pour sortir de ce piège, nous devons comprendre une chose : nous ne pouvons construire le futur sur la peur.
Le futur dont je parle n’est pas si lointain, il est déjà là. Les robots conduisent déjà des camions et errent autour de Mars. Ils composent des musiques et créent de nouvelles recettes de cuisine. Ce futur est loin d’être parfait sur plusieurs points, y compris celui de la cybersécurité, mais nous sommes là pour le valoriser, et non pas pour lui faire obstacle.
Eugène Kaspersky a récemment déclaré qu’il croyait que « le concept de cybersécurité deviendrait bientôt obsolète et que la cyber-immunité prendrait sa place« . Bien que cela puisse sembler étrange, ce concept a une signification beaucoup plus profonde qui vaut la peine d’être expliquée. Laissez-moi entrer un peu plus dans les détails et présenter ce concept de cyber-immunité.
La cyber-immunité est un grand terme pour expliquer notre vision d’un futur plus sûr. Dans la vie de tous les jours, le système immunitaire d’une organisation n’est jamais parfait. Les virus et autres objets microbiologiques malveillants trouvent toujours un moyen de les duper, ou même de s’attaquer au système. Toutefois, ces systèmes immunitaires présentent un point en commun très important : ils apprennent et s’adaptent. Ils peuvent être « éduqués » grâce à la vaccination contre des dangers éventuels. En des temps difficiles, nous pouvons les aider en leur injectant des anticorps préparés à l’avance.
En cybersécurité, nous sommes habitués à traiter majoritairement avec ces derniers. Nous avons dû trouver des solutions pour nos clients lorsque leur système informatique succombait à une infection. Mais c’est à cause de cela que la dépendance au FUD a commencé : les vendeurs de solutions de sécurité fournissaient des médicaments pour traiter des maladies très graves. Il a été démontré que les vendeurs de sécurité des informations deviennent accros à ce sentiment de « superpuissance ». Nous nous sommes alors dit, « oui, il est temps d’utiliser des antibiotiques puissants car, croyez-nous, le problème est vraiment très grave ». Mais voilà, utiliser des antibiotiques puissants n’a de sens que si l’infection est déjà bien installée, et nous sommes d’accord pour dire que c’est loin d’être ce qu’il y a de mieux. Dans notre métaphore de la cybersécurité, il aurait été préférable que le système immunitaire puisse arrêter cette infection avant qu’elle ne s’établisse.
Aujourd’hui, les systèmes informatiques sont devenus très hétérogènes et ne peuvent être pris en compte sans le contexte humain, ceux qui dirigent les appareils et ceux qui interagissent avec. La demande pour « éduquer le système immunitaire » a grandi de telle sorte que nous constatons que la priorité est plutôt donnée à la prestation de services qu’aux produits qui avaient l’habitudes de passer avant tout. De nos jours, les » produits » sont, dans de nombreux cas, des solutions personnalisées adaptées aux besoins du système informatique et conçues pour lui correspondre.
Comprendre cette vision n’est pas chose facile. Au même titre que les vaccins, il ne s’agit pas d’avoir un seul point de vue mais plutôt une série de tentatives qui ont toutes le même objectif : une cyber-immunité plus forte pour un futur plus sûr.
Avant toute chose, un futur plus sûr ne peut être construit que sur des fondations sûres. Nous croyons que cela est possible lorsque tous les systèmes sont conçus dès le départ en prenant en compte la notion de sécurité. De véritables applications dans les secteurs des télécommunications et de l’automobile testent d’ores et déjà notre approche visionnaire. Dans la mesure où les constructeurs automobiles portent un intérêt particulier à la sécurité, notre énoncé de mission visant à « construire un monde plus sûr » est essentiel. La sécurité est un terme à prendre au sens plein dans le monde de l’automobile.
Comme pour le vaccin biologique, nous nous attendons à ce que le concept de cyber-immunité suscite le doute chez certains. La première question à laquelle je m’attends est : « Peut-on faire confiance au vaccin et à ses vendeurs ? » Croire en la cybersécurité revêt une importance capitale et il ne suffit pas simplement de donner notre parole. Un client est tout à fait en droit de demander des informations, sous forme de code source, sur la sécurité et l’intégrité du logiciel. Nous rendons cela possible ; les clients n’ont besoin que d’un regard attentif et d’un ordinateur pour vérifier que tout fonctionne correctement. Cependant, nous avons besoin d’un ordinateur en bonne condition sanitaire pour analyser ce code, afin de nous assurer que des experts ne puissent trafiquer le code eux-mêmes. Tout comme vous consultez plusieurs médecins pour avoir un deuxième avis et vous rassurer, il est normal qu’un tiers de confiance regarde le code. Grâce aux solutions informatiques, cet expert externe pourrait être un représentant d’un des quatre grands groupes d’audit pouvant vous expliquer ce que veulent vraiment dire bits ou octets pour votre entreprise.
Un autre élément important qu’il convient de noter est la capacité du système immunitaire à résister aux attaques dirigées contre lui. Le logiciel de cybersécurité n’est encore qu’un logiciel et peut donc présenter des défauts. Le meilleur moyen de les connaître est de les exposer aux pirates informatiques bien intentionnés (white hats), ceux qui détectent les erreurs et les signalent aux vendeurs. Introduite pour la première fois en 1983, l’idée d’offrir une rétribution à ceux qui trouvent des bugs dans le logiciel s’est révélée absolument brillante dans la mesure où elle a réduit de manière considérable la motivation financière des pirates informatiques mal intentionnés (black hats), qui traquent attentivement les failles ou les vendent à d’autres cybercriminels. Toutefois, les pirates informatiques bien intentionnés demandent aux compagnies pour lesquelles ils enquêtent de leur garantir qu’elles ne s’en prendront pas à eux ou ne les poursuivront pas en justice.
Là où il y a de la demande, il y a de l’offre. Nous avons donc récemment proposé de mettre en place des accords entre chercheurs et entreprises afin que les premiers puissent prudemment pirater les seconds sans craindre d’être accusés de crime, et ce aussi longtemps qu’ils suivront les règles. Je crois qu’en suivant cette direction nous faisons un pas de plus vers un futur plus sûr, en véhiculant moins de peur que dans le passé, mais ce voyage va être long.