Le débat sur la divulgation des renseignements sur la sécurité s’intensifie

Version imprimable, PDF et e-mail

Le différend sur la divulgation d'informations au cœur de deux événements majeurs met en lumière une question qui préoccupe de nombreux professionnels de la cybersécurité depuis des années.

Il est compréhensible que peu d'entreprises soient très désireuses de partager des informations qui pourraient être utilisées contre elles par des cybercriminels ou par une autorité réglementaire susceptible de leur infliger une amende. Le conflit qui s'ensuit survient lorsque cette information peut potentiellement avoir un impact négatif sur une autre entité.

Par exemple, une plainte pour délation déposée par l'ancien responsable de la cybersécurité de Twitter a été déposée auprès de la Security Exchange Commission (SEC), car les investisseurs de l'entreprise ont le droit de savoir quel niveau de risque est endossé par une société dont ils ont acheté des actions via la bourse. Les professionnels de la cybersécurité ont une meilleure connaissance des failles. Le débat moral a toujours porté sur la question de savoir dans quelle mesure ils sont tenus de partager leurs préoccupations, indépendamment de ce que la direction générale pourrait juger préférable.

La question de la divulgation ne se limite pas aux droits des investisseurs. Une faille chez LastPass, fournisseur d'une plateforme de gestion des mots de passe très populaire, a suscité des inquiétudes quant à l'impact que pourrait engendrer un vol de code sur les entreprises utilisant cette plateforme. Des voix s'élèvent pour demander que davantage d'informations soient partagées avec un tiers qui garantirait à ces entreprises que des exploits susceptibles de compromettre l'intégrité de la plateforme de gestion des mots de passe de l'entreprise n'ont pas pu être élaborés ou que le code a été modifié ou altéré de telle sorte que tout exploit potentiel soit rendu inopérant.

Comme d'autres fournisseurs de logiciels qui pourraient être considérés comme des infrastructures sensibles, LastPass n'est pas tenu de divulguer d'autres informations. Cependant, comme il existe de nombreuses alternatives, le fait de ne pas divulguer ces informations ne va pas susciter la confiance des clients.

La situation est évidemment délicate pour toutes les parties concernées. La plupart des professionnels de la cybersécurité vont supposer le pire et agir en conséquence. En tant que tels, les fournisseurs de plateformes d'infrastructures sensibles seront presque toujours contraints de divulguer beaucoup plus d'informations qu'ils ne l'auraient initialement jugé souhaitable ou même prudent.

Dans un monde idéal, bien sûr, des protocoles standard devraient être mis en place pour assurer la divulgation des failles en fonction de leur gravité. Tous les incidents, par exemple, n'impliquent pas forcément le vol d'un code pouvant être modifié par ingénierie inverse afin d'élaborer une attaque. Cependant, les victimes d'une faille ne seront pas les juges les plus impartiaux de toute vulnérabilité potentielle du code. Seule une évaluation par un tiers permettra de lever les doutes qui subsistent. Malgré cela, il y aura toujours des personnes qui continueront à se demander quelles informations pourraient être entre les mains de cybercriminels agissant pour le compte d'un État-nation qui dispose de nombreuses ressources en matière de développement de logiciels.

Les professionnels de la cybersécurité savent pertinemment que le système de sécurité parfait ne verra jamais le jour. Le mieux que l'on puisse faire est d'atteindre un niveau de risque raisonnable. Chaque entreprise doit naturellement déterminer pour elle-même le niveau de risque acceptable. La seule chose qui soit certaine, c'est qu'il y aura davantage de failles au sein des plateformes informatiques stratégiques. La façon dont les fournisseurs de ces plateformes gèrent ces failles de sécurité sera tout aussi déterminante que les contrats.

 

 

Remonter en haut de page
Tweeter
Partager
Partager