À huis clos : pourquoi la culture du secret en cybersécurité nous met tous en danger

Lorsqu’un avion s’écrase ou qu’un patient décède de façon inattendue, l’enquête est implacable, publique et vise à éviter de futures tragédies. Mais lorsqu’une violation massive de données secoue une entreprise, les détails disparaissent souvent derrière les portes du conseil d’administration, cachés par les avocats et enveloppés de honte. Pourquoi la cybersécurité considère-t-elle encore l’échec comme un secret honteux plutôt que comme une leçon essentielle ?

Lors de la conférence RSAC de cette année, les vétérans de la cybersécurité Adam Shostack et Adrian Sanabria tirent la sonnette d’alarme : l’obsession du secret dans l’industrie sabote ses propres progrès. Selon eux, sans autopsies publiques et détaillées des violations - comme l’exigent d’autres secteurs critiques pour la sécurité - les professionnels de la cybersécurité avancent à l’aveugle, répètent les mêmes erreurs et exposent tout le monde à un risque accru.

Shostack, consultant du secteur, et Sanabria, chercheur en sécurité, soulignent que d’autres secteurs considèrent les catastrophes comme des catalyseurs de changement. L’aviation, par exemple, enquête sur chaque crash, disséquant non seulement la défaillance finale mais toute la chaîne d’erreurs qui y a mené. En cybersécurité, cependant, les violations sont souvent balayées sous le tapis, réduites à des déclarations aseptisées ou enfouies dans des dossiers juridiques. Résultat ? Un manque de compréhension partagée de ce qui se passe réellement lorsque les défenses échouent.

La responsabilité juridique est un coupable majeur. Les avocats d’entreprise, craignant les poursuites et les sanctions réglementaires, conseillent systématiquement aux dirigeants d’en dire le moins possible après un incident. Cette posture défensive va à l’encontre de la culture d’ingénierie, qui valorise la transparence pour améliorer la sécurité. L’absence d’exigences fédérales en matière de transparence sur les violations aggrave le problème. Si certaines organisations - comme la British Library après une attaque par rançongiciel - ont publié des rapports détaillés, ces cas restent des exceptions.

Les recherches de Sanabria révèlent une « mine d’or » de leçons négligées enfouies dans des documents publics, des rapports parlementaires et des dossiers réglementaires. Pourtant, ces analyses approfondies atteignent rarement les praticiens, qui se concentrent plutôt sur les causes mises en avant dans les médias - comme les logiciels non corrigés - tout en passant à côté des défaillances de processus sous-jacentes. Lorsque l’histoire complète émerge, l’attention du public est déjà passée à autre chose.

Quelle solution ? Shostack et Sanabria plaident pour des mécanismes institutionnels encourageant les organisations à partager des récits détaillés et anonymisés des violations - sans crainte d’être blâmées. Des refuges réglementaires, des divulgations différées et des rapports structurés pourraient faire évoluer la culture du secret vers celle de l’apprentissage. Sans ces changements, l’industrie risque d’investir dans des « générateurs de tâches inutiles » - outils et listes de contrôle qui ne traitent pas les vrais risques.

Conclusion : Tant que la cybersécurité n’adoptera pas une culture d’analyse honnête et ouverte de l’échec, chaque violation sera une occasion perdue - et la prochaine catastrophe ne sera qu’une question de temps. Comme le dit Shostack : « L’ingénierie moderne repose sur l’étude de l’échec. Nous n’en faisons pas assez en cybersécurité. »

WIKICROOK

• Violation de données : Une violation de données se produit lorsque des parties non autorisées accèdent ou volent des données privées d’une organisation, entraînant souvent l’exposition d’informations sensibles ou confidentielles.
• Post : En cybersécurité, « post » désigne le processus d’envoi sécurisé de données d’un utilisateur vers un serveur, souvent utilisé pour la soumission de formulaires et le transfert de fichiers.
• Refuge réglementaire : Le refuge réglementaire offre une protection juridique aux organisations qui respectent des normes spécifiques de cybersécurité, encourageant la transparence et la gestion proactive des risques sans crainte de sanctions.
• Gestion des correctifs : La gestion des correctifs est le processus régulier de mise à jour des logiciels avec des correctifs de sécurité et des améliorations pour se protéger contre les vulnérabilités et les menaces informatiques.
• Rançongiciel : Un rançongiciel est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.