L’importance de la confiance : réflexions sur la sécurité à l’ère du numérique

Cela fait maintenant 25 ans que je travaille dans le domaine de la sécurité informatique, et l’on me demande souvent quel conseil je donne en premier lieu aux entreprises et organisations pour les aider à établir des relations de confiance avec leurs clients et partenaires.

Ma réponse est toujours la même : « Ne faites pas peur à vos clients ».

Aussi ringard que cela puisse paraître, je me permets de vous citer un film qui se prête bien à la comparaison : Minority Report (2002). Laissons de côté le scénario du film qui traite de la prédiction des actes criminels avant leur réalisation. Pour moi, l’aspect le plus intéressant du film concerne un passage en particulier : le héros (incarné par Tom Cruise) entre dans un grand magasin et se fait suggérer des vêtements personnalisés à partir d’une détection de la rétine. Ce service a beau sembler génial, il n’en est pas moins effrayant et inquiétant.

Lorsque des entreprises parlent d’utiliser des technologies de pointe telles que l’intelligence artificielle (IA), elles font planer le doute selon lequel la collecte des données pourrait servir à établir un profil des clients. Si ces entreprises font appel à l’IA, elles devront respecter des principes d’intégrité et d’éthique afin que les individus concernés aient la garantie d’une utilisation justifiée et raisonnable. Dans le cas contraire, elles perdront leur confiance.

Mon rôle est d’aider les organisations à utiliser les technologies de manière à créer un climat de confiance. Voici quelques éléments clés que les RSSI devraient, selon moi, prendre en compte dans leur approche de la sécurité à l’ère du numérique.

L’importance des sauts de confiance

Parmi les personnes qui ont influencé une grande partie de ma réflexion sur la confiance figure Rachel Botsman, une auteure et spécialiste du domaine à l’université d’Oxford. Selon elle, les gens réalisent des « sauts de confiance » lorsqu’ils abordent quelque chose d’inconnu, et ce processus mental se traduit par un sentiment d’incertitude.

Quand les organisations décident de transférer leur infrastructure sur site dans le Cloud, elles doivent accomplir un saut de confiance, c’est-à-dire une confrontation à l’incertitude. Dès lors, pour aborder la transformation numérique avec un minimum d’incertitude, il est nécessaire d’avoir une vue claire de la situation.

Les RSSI qui optent pour une migration dans le Cloud ont tendance à se tourner vers les services de fournisseurs Cloud de grande ampleur tels que Microsoft. Ils se posent alors différentes questions, notamment :

• Puis-je espérer que votre entreprise protègera mes données ?
• Aurai-je la certitude d’avoir la maîtrise de ces données une fois qu’elles auront été transférées ?
• Aurai-je une vue claire des processus qui se déroulent dans le service Cloud ?
• Pouvez-vous m’expliquer comment votre serveur principal fonctionne ?
• Serai-je informé des menaces ?

Nous savons bien que la migration vers le Cloud implique un immense bond de confiance de la part de certaines organisations, et c’est pourquoi nous faisons tout notre possible pour répondre aux questions en leur offrant un maximum d’informations et de transparence, ce qui leur permet de se lancer avec un minimum d’appréhension. Au bout du compte, la confiance naît du sentiment qu’on est maître de la situation et que les choses se dérouleront comme on l’espérait.

Comment la transparence diminue le besoin de confiance

La notion de « transparence » est souvent évoquée dans les discussions à propos de la confiance. À ce sujet, Rachel Botsman nous fait remarquer que la transparence ne crée pas la confiance car elle en diminue le besoin. De fait, la part d’inconnu s’estompe et, avec elle, l’élan nécessaire au saut de confiance.

Dans le domaine de la sécurité, cela se traduit par la mise à disposition de commandes grâce auxquelles les entreprises peuvent surveiller et vérifier la situation tout en s’impliquant dans les opérations.

Ceci dit, je pense que la transparence peut, dans certaines circonstances, être source de confiance. L’incident de violation des données qu’a subi Norsk Hydro, un spécialiste norvégien des produits en aluminium, en est un très bon exemple.

Dans les usines de cet important fabricant mondial, les machines font appel aux technologies numériques pour assurer leur fonctionnement. En 2019, elles ont été la cible d’une gigantesque attaque par ransomware qui a considérablement affecté la chaîne de production et l’image de la marque.

L’entreprise a toutefois sauvé la situation en faisant preuve d’une grande transparence : peu après l’attaque, elle a organisé une conférence de presse pendant laquelle elle a parlé ouvertement de l’incident, de son enquête et de son engagement envers ses clients. Ainsi, au lieu de subir une baisse de sa réputation, le fabricant norvégien a obtenu davantage de confiance et de respect au sein du secteur.

L’exemple de Norsk Hydro illustre bien comment les entreprises peuvent s’adapter à une situation malheureuse en faisant preuve de transparence, d’éthique, d’honnêteté et de responsabilité à l’égard des clients et partenaires dont les données ont été mises en péril.

Assumer les risques en matière de cybersécurité

Le transfert et la confidentialité des données ont une dimension très émotionnelle. La confiance nous rend vulnérables, car elle nous expose à des risques en ouvrant des failles que les cybercriminels avertis tenteront d’exploiter.

L’erreur étant le propre de l’homme, ces pirates continueront de sévir aussi longtemps que l’humain existera. Les experts en cybersécurité ont beau marteler qu’il ne faut pas cliquer sur les liens contenus dans des e-mails, cette consigne me semble très difficile à respecter. Le monde moderne ne nous a-t-il pas habitués à cliquer sur des liens depuis des décennies ? Soyons donc réaliste : on ne peut pas obliger les utilisateurs finaux à chasser le naturel.

Au contraire, il s’agit d’accepter l’éventualité d’un piratage et de s’y préparer. Pour ma part, c’est ainsi que je fonctionne, en partant du principe que l’erreur est humaine. J’accepte donc ma responsabilité qui consiste à gérer cette éventualité et à en atténuer les conséquences.

De mon point de vue, la technologie est notre meilleur allié dans cette bataille.