divulgation de violation de sécurité

La pression pour une divulgation complète des failles de sécurité augmente

Version imprimable, PDF et e-mail

Indépendamment de ce que l'application stricte de la loi peut exiger, la non-divulgation d'une faille de sécurité est désormais considéré comme inacceptable dans le monde des entreprises.

La dernière controverse concerne Okta, fournisseur d'une plateforme largement utilisée pour authentifier les utilisateurs finaux. En janvier, Lapsus$, un groupe d'extorsion de données, a manifestement réussi à compromettre le compte d'un technicien d'entretien employé par un prestataire de services en partenariat avec Okta. Après enquête, Okta a publié la semaine dernière une déclaration détaillant la chronologie des événements et reconnaissant que des efforts accrus auraient dû être mis en œuvre pour intervenir plus rapidement en réponse à l'incident.

Si ce dernier a suscité beaucoup de commentaires, aucun professionnel de l'informatique ou de la cybersécurité peut prétendre n'avoir jamais été confronté à ce type de problème. Les gens du métier savent à quel point il est facile de se retrouver dans ce genre de situation. La compromission d'identifiants est désormais monnaie courante. Il est difficile d'établir les critères qui permettent d'identifier une faille majeure. Dans de nombreux cas, personne ne connaît la véritable portée d'une faille jusqu'à ce que les cybercriminels ne la révèlent. Dans ce cas précis, il semblerait qu'un jeune membre du groupe Lapsus$ souhaitait jouer les vantards pour gagner l'estime de ses pairs. La plupart des autres cybercriminels essaient généralement de se faire discrets après un coup réussi.

Nouvelle loi et pression sociale accrue

Cette attention portée à la divulgation coïncide parfaitement avec le projet de loi visant à obliger les entreprises qui exploitent une infrastructure critique à signaler toute faille. Il peut s'agir d'exploitants de pipelines tout autant que d'institutions financières. Toutes les entreprises n'y seront pas tenues mais il semble que l'on se dirige progressivement vers une exigence plus stricte de divulgation. Le consommateur final ne souhaite pas se questionner sur des incidents qui auraient pu avoir lieu et dont il ne soupçonne pas l'existence. Tout le monde sait qu'une faille de cybersécurité peut survenir pour une multitude de raisons. Toute tentative de dissimulation de ladite faille engendre inévitablement une perte de confiance extrêmement difficile à restaurer. Nous sommes à l'aube d'une ère nouvelle dans laquelle toute non-divulgation d'une faille créera potentiellement une plus grande perturbation que la faille elle-même.

En revanche, la nécessité de divulguer les failles contraindra probablement les conseils d'administration des entreprises à prêter davantage attention à la cybersécurité de manière générale. On a coutume de dire que la transparence est le meilleur remède contre les violations de sécurité. Une des plus grosses préoccupations des équipes de cybersécurité au sein des entreprises est le niveau de risque que les dirigeants considèrent comme acceptable. En effet, ces derniers pensent souvent à tort que les cybercriminels se focalisent sur des cibles plus fragiles. Cette approche relève de la mentalité grégaire, qui suppose qu'une entreprise plus faible a plus de chances d'être la victime d'une cyberattaque. Non seulement cette théorie ne tient pas compte du véritable nombre de prédateurs mais elle omet de reconnaître leur appétit insatiable. Dès lors qu'une faiblesse est repérée, les cybercriminels ne cesseront de l'exploiter !

La divulgation systématique des failles de cybersécurité vise à renforcer la capacité du troupeau à faire face aux menaces. Dans la nature, il existe de nombreux exemples où non seulement le troupeau a survécu, mais a également prospéré indépendamment de la rapidité ou de la force du prédateur. La divulgation n'entraînera certainement pas la chute d'un pirate mais en agissant de concert pour le bien commun, ce raisonnement peut s'appliquer aux humains. Bien évidemment, le meilleur moyen d'être la victime d'un prédateur ou de mourir de faim est d'être complètement exclu du troupeau. Qu'on le veuille ou non, cela sera très rapidement le destin de nombreuses entreprises s'il est mis au jour qu'elles agissent dans leur intérêt personnel au détriment du reste de la communauté dont elles dépendent pour exister.

Remonter en haut de page
Tweeter
Partager
Partager