Pourquoi le partage vaut mieux que le secret pour la sécurité

L’un des aspects intéressants de l’introduction du Règlement général de l’Union européenne relatif à la protection des données (RGPD de l’UE) est le changement nécessaire des réponses des entreprises aux violations de données. Ce règlement oblige les entreprises à documenter officiellement et immédiatement le fait qu’elles ont été victimes d’une violation de données et l’étendue de celle-ci.

Outre la garantie d’un comportement cohérent en cas de violation de données, je pense que ce règlement présente des avantages importants pour les entreprises européennes en ce sens que s’il est adopté comme une invitation à une collaboration plus efficace et donc de meilleures pratiques de sécurité, il peut limiter l’atteinte à la réputation et les dommages financiers subis en cas de violation de données. Autre aspect tout aussi important, le RGPD de l’UE ouvre la voie à l’application par les entreprises et les organismes gouvernementaux d’une approche proactive (et intrinsèquement fiable) de la sécurité pour améliorer leur profil de sécurité général.

Trop souvent, et pour des raisons commerciales apparemment valables, les entreprises se taisent après une violation de données. Parfois, comme nous l’avons vu récemment avec les adresses e-mail volées à MySpace et Tumblr, l’information ne devient publique que quelques années plus tard. Chacun perçoit le besoin de protéger une base d’utilisateurs ou une image de marque. Ce manque d’ouverture finit par nuire aux entreprises, aux utilisateurs et à l’économie en général.

Partout dans le monde, lorsque je discute avec des dirigeants d’entreprise, je constate qu’ils comprennent mieux que chaque entreprise est une cible. Même si certains me surprennent encore en disant que, selon eux, leur entreprise n’a aucune valeur pour les attaquants, la tendance générale est positive.

Je constate cependant un manque de compréhension quant à la façon d’élaborer une stratégie de cybersécurité efficace contre ce qui peut être un adversaire bien financé et astucieux. Pour ce faire, il faut d’abord reconnaître que les défenses périmétriques ne suffisent pas. Les mentalités doivent changer pour partir du principe que les attaquants peuvent s’infiltrer et s’infiltreront dans le réseau et que, par conséquent, les défenses doivent les empêcher de se déplacer au sein du réseau, arrêter leur processus de reconnaissance et verrouiller l’accès à tout ce qu’ils visent. C’est une sécurité proactive.

Il est clair que les entreprises qui ont subi une violation de données à grande échelle sont ensuite mieux informées sur la façon dont elle a pu se produire que celles qui n’en ont pas subi. Elles savent quelles mesures de sécurité ont été contournées et comment les attaquants se sont déplacés au sein de leur réseau. En outre, elles ont été contraintes de s’en remettre rapidement et de faire face aux préoccupations des clients, le tout sous une pression extrême. Par conséquent, elles sont mieux équipées pour résister aux futures tentatives d’attaque.

Je suis impressionné de constater que, de manière formelle ou informelle, des entreprises se réunissent pour partager leurs expériences des attaques et leurs connaissances durement acquises en conséquence avec des confrères. Que ce soit par le biais d’une étude formelle menée par Guardian ou de réseaux relationnels, le partage des connaissances est essentiel pour améliorer le savoir-faire général en matière de sécurité. Les avantages d’un partage encore plus important sont évidents : en privant les attaquants de « produits », nous réduisons leur financement et donc l’attrait de l’exercice de leur activité.

Compte tenu de l’obligation de dévoiler publiquement une violation de données dès qu’elle a eu lieu, nous devons saisir l’opportunité qu’une législation telle que le RGPD de l’UE nous offre, à savoir promouvoir ce niveau plus élevé de partage. Les violations de données ne se limitent pas aux adresses e-mail qui se retrouvent entre de mauvaises mains. Comme nous l’avons vu en Ukraine, l’objectif peut être beaucoup plus grave. Il peut s’agir d’anéantir une infrastructure nationale critique de grande envergure.

Par conséquent, si la législation nous oblige à parler plus ouvertement d’une violation de données lorsqu’elle se produit, je pense que nous devrions accueillir cette obligation à bras ouverts et aller un peu plus loin, dans l’intérêt de l’industrie et de l’économie, ainsi que pour mieux protéger nos clients. Le partage vaut mieux que le silence.