Éviter la catastrophe : comment une base de données des « quasi-accidents » pourrait révolutionner la transparence en cybersécurité

C’est l’alerte de sécurité qui n’a jamais fait la une : un email de phishing a presque trompé un employé, mais une règle chanceuse du pare-feu ou un second regard a stoppé l’attaque net. L’entreprise, soulagée, passe à autre chose en silence. Mais que se passerait-il si ces « quasi-accidents » - les cyberattaques qui ont failli réussir - étaient systématiquement suivis, anonymisés et partagés ? Lors de la conférence RSAC de cette année à San Francisco, des experts du secteur ont soutenu que la collecte et l’analyse des quasi-accidents pourraient être la percée dont la cybersécurité a besoin pour devancer les attaquants et enfin instaurer une culture de réelle transparence.

Le secret inavoué de la cybersécurité n’est pas seulement les violations dont vous entendez parler - ce sont les milliers de fois où la catastrophe a été évitée de justesse puis oubliée. Selon Wendy Nather (1Password) et Bob Lord (hacklore.org), ce silence coûte cher aux organisations. « Un quasi-accident, c’est tout ce qui a failli arriver, qui vous fait dire : “wow, si ce n’était pas pour ce détail, ça aurait été vraiment grave” », explique Nather. Pourtant, au lieu d’analyser ces incidents évités de justesse, la plupart des entreprises poussent un soupir de soulagement et continuent, ratant ainsi une occasion cruciale d’apprendre.

Pourquoi cela arrive-t-il ? La réponse réside dans un mélange toxique de culture du blâme, de peur réglementaire et de bouc émissaire perpétuel de l’erreur humaine. Quand quelque chose tourne mal - ou a failli tourner mal - le premier réflexe est de pointer du doigt, généralement un employé qui a cliqué sur le mauvais lien ou réutilisé un mot de passe. Mais comme le souligne Lord, cette mentalité passe à côté de l’essentiel. « Chaque fois que vous êtes tenté de blâmer quelqu’un pour un quasi-accident, c’est le signal qu’il faut regarder plus en profondeur le système, pas la personne. » En d’autres termes, l’erreur humaine devrait être le point de départ de l’enquête, pas sa conclusion.

Les experts proposent un changement radical : créer une base de données volontaire et anonyme pour signaler les quasi-accidents, à l’image de la façon dont l’aviation suit les incidents évités de justesse. En agrégeant et anonymisant les données, les organisations pourraient partager ce qui a failli arriver, ce qui l’a empêché, et quels contrôles ont été déterminants - sans s’exposer au blâme ou à des sanctions réglementaires. Une telle base de données pourrait révéler des tendances, mettre en lumière des faiblesses systémiques et fournir aux régulateurs et aux défenseurs les renseignements nécessaires pour prévenir la prochaine grande violation.

Fondamentalement, cette approche exige une nouvelle forme de transparence - qui valorise la franchise plutôt que la conformité et considère les quasi-accidents comme des occasions de renforcer la confiance, non comme des aveux de faiblesse. « La confiance se construit entre individus, pas entre organisations », insiste Nather. Des récits authentiques, partagés en toute sécurité, pourraient transformer la capacité du secteur à apprendre et à s’adapter, faisant de chaque incident évité de justesse une véritable leçon.

À mesure que les menaces cybernétiques gagnent en complexité et en fréquence, la frontière entre la catastrophe et la routine professionnelle est souvent très mince. En mettant en lumière les quasi-accidents, la communauté de la cybersécurité pourrait enfin dépasser la peur et la recherche de coupables - et aller vers des défenses plus intelligentes et résilientes. Le secteur saura-t-il partager ses secrets avant que le prochain incident évité de justesse ne devienne une catastrophe ?

WIKICROOK

• Quasi-accident : Un quasi-accident est une situation où une cyberattaque a presque réussi mais a été stoppée avant de causer des dommages, mettant en évidence des vulnérabilités et des opportunités d’amélioration de la sécurité.
• Renseignement sur les menaces : Le renseignement sur les menaces est une information concernant les cybermenaces qui aide les organisations à anticiper, identifier et se défendre contre de potentielles cyberattaques.
• Indicateurs de compromission (IoCs) : Les indicateurs de compromission (IoCs) sont des indices comme des noms de fichiers, des adresses IP ou des fragments de code qui aident à détecter si un système informatique a été compromis.
• Rançongiciel : Un rançongiciel est un logiciel malveillant qui chiffre ou bloque des données, exigeant une rançon des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
• Authentification multifacteur (MFA) : L’authentification multifacteur (MFA) est une méthode de sécurité qui exige que les utilisateurs fournissent deux preuves d’identité ou plus avant d’accéder à un compte.