La cybersécurité est maintenant une activité essentielle pour veiller à la protection des actifs des organisations et des informations personnelles des citoyens. Alors que les répercussions négatives de la cybercriminalité sont de plus en plus connues, il existe encore très peu de connaissances sur l’efficacité des pratiques et des politiques de cybersécurité. Comment mieux protéger les utilisateurs? Quelle approche adopter pour sécuriser les infrastructures de l’entreprise? Nous ne sommes plus au temps des mesures à la pièce : nous devons revoir notre conception de la cybersécurité.

Certains chercheurs préconisent un changement d’approche radical à l’égard de la cybersécurité. C’est notamment le cas des défenseurs de la doctrine de la cybersécurité publique1. Les objectifs de cette doctrine sont, premièrement, de produire de la cybersécurité, et deuxièmement, de gérer l'insécurité qui peut subsister au sein de la population en équilibrant les droits individuels et le bien-être public. La cybersécurité doit être perçue comme un bien public et cette forme de sécurité devrait aussi être rendue possible dans l'intérêt du public2.

La manière de gérer la cybersécurité pourrait se rapprocher de celle de la santé publique – prévention des maladies et promotion de la santé – en se concentrant sur une population en bonne santé avec une prévalence de maladies plus faible. Dans la gestion de la santé publique, diverses agences sont mandatées pour s'engager dans un large éventail d'activités comme éduquer le public (minimiser l'exposition et faciliter la détection précoce), favoriser la recherche et l'utilisation de diverses méthodes de prévention et de traitement (vaccins), et enfin, identifier et gérer la maladie et l'individu infecté (faciliter l'isolement et la quarantaine)3. Cette dernière étape est réalisée grâce à la mise en place de mécanismes appropriés de surveillance, de collecte et de partage d'informations, d'analyses, de déclarations obligatoires, de tests et de dépistages afin d'identifier les menaces pour la santé publique pouvant affecter l'ensemble de la population et nécessiter un traitement obligatoire. 

Comme il le fait en matière de santé publique, l'État devrait considérer la possibilité de proposer des cadres de gouvernance pour protéger l'ensemble de la population contre les risques de cybersécurité. Par exemple, la santé publique recommande que chaque enfant soit vacciné pour le bien public de la communauté – c’est-à-dire l’immunité collective –, bien que certains enfants puissent avoir des effets secondaires. Au fil des ans, les mécanismes de santé publique, de détection et de prévention des maladies sont devenus la norme pour protéger la population. Diverses stratégies de santé publique ont conduit à une «perception sociétale de la santé, qui est passée d'une préoccupation essentiellement privée à une préoccupation collective4». En analysant attentivement la doctrine de la cybersécurité publique, l'analogie avec la santé publique devrait inspirer les décideurs, les dirigeants et les praticiens dans ce domaine. Comme en santé publique, la prévention et la détection en cybersécurité devraient être la priorité.

Une valeur collective

Au lieu de se concentrer uniquement sur les techniques permettant de gérer les cybermenaces, la cybersécurité devrait être perçue comme une véritable composante sociale de notre existence. La cybersécurité n'est pas seulement une tâche de sécurité commune que les organisations et les gouvernements devraient accomplir dans le cadre normal de leurs activités. En d'autres termes, la cybersécurité est plus qu'une simple liste d'outils, de processus et de systèmes. Il faut la voir comme un bien public qui doit être encadré comme un problème d'action collective pour les acteurs publics et privés. En effet, la gestion de la cybersécurité nécessite la collaboration des secteurs public et privé pour assurer un niveau acceptable de robustesse du système.

En ce sens, le secteur public doit établir des normes, des certifications, des tests et une surveillance de la procédure pour garantir le maintien d'un niveau de sécurité adéquat. En revanche, le secteur privé devrait être responsable de la conception de systèmes et de services robustes pour les utilisateurs5. Pour faire une analogie avec la pandémie, il ne suffit pas de traiter les patients malades un par un pour arrêter la propagation de la maladie. De la même façon, la mise en place de correctifs ou l'amélioration de la conception de systèmes logiciels de manière individuelle ne permettra pas de produire une cybersécurité «globale» pour l’ensemble de la population6. Un bien public est quelque chose que l'on peut consommer sans réduire sa disponibilité pour les autres et dont personne n'est exclu7. Lorsque l'on parle de cybersécurité comme d'un bien public, cela ne signifie pas qu’elle doit être gratuite pour tous et que les gouvernements doivent en payer le prix. La chercheuse Mariarosaria Taddeo recommande plutôt : «Tout comme l'éclairage public et la défense nationale – qui impliquent tous deux des coûts, tout en permettant à tous les citoyens d'un État d'y accéder et de les maintenir grâce à leurs impôts –, la cybersécurité peut fonctionner comme un bien non rival et non exclusif, si ses coûts sont partagés équitablement entre les parties prenantes concernées8».

Miser sur la prévention

La cybersécurité n'a pas été prise en considération dès les débuts de l'Internet. Or, en raison de l’avancement fulgurant de la technologie, les systèmes de sécurité et les logiciels doivent être mis à jour fréquemment pour suivre le rythme des changements technologiques, tout en réduisant les vulnérabilités pouvant être exploitées par des cyberattaquants9.

Par conséquent, les décideurs politiques devraient créer des incitatifs et de nouvelles législations pour les développeurs, les opérateurs, et les utilisateurs de systèmes afin de prendre en compte le bien et celui de la société dans son ensemble lorsqu'il s'agit de cybersécurité10. Tout comme en matière de santé publique, avec la prévention des maladies par la vaccination et la surveillance de la chaîne d'approvisionnement en nourriture et en eau, des structures incitatives, des lois, et de nouvelles méthodes innovantes devraient être utilisées pour accroître la cybersécurité11.

Le respect de la vie privée est primordial en santé publique, comme il devrait l'être en matière de cybersécurité. Par conséquent, la collecte d’information sur la santé d'une personne est similaire à la collecte de données de navigation sur le trafic Internet en termes de respect de la vie privée; tout repose sur la façon dont nous sécurisons les données, leur mode de stockage, leur durée de conservation, et des personnes qui y ont accès12. L'éducation pourrait également jouer un rôle crucial; les développeurs de logiciels devraient construire des systèmes présentant moins de vulnérabilités, alors que les praticiens devraient travailler plus souvent avec les universités13 .

Une nouvelle législation et des normes obligatoires seraient aussi un bon moyen d'améliorer la cybersécurité14. Cela obligerait, par exemple, les fabricants et les acheteurs de produits informatiques à faire les investissements nécessaires en cybersécurité pour maintenir ceux-ci à jour en tout temps. En outre, cela favoriserait les comportements appropriés en matière de sécurité, réduirait les mauvaises pratiques de codage – permettant aux pirates d'exploiter les vulnérabilités –, formulerait des limites de responsabilité en cas de dommages et soutiendrait la recherche identifiant les liens entre les processus de développement de la sécurité et les bons résultats en matière de sécurité15.

Nous devrions également commencer à changer nos paradigmes et à considérer la cybersécurité comme un problème social, à nous appuyer sur les politiques et non seulement sur la technologie. De plus, comme en santé publique et dans plusieurs autres domaines, la pratique fondée sur des données probantes devrait également être privilégiée en cybersécurité. Cela permettrait d’évaluer les outils et politiques communes utilisées par les réseaux de sécurité pour atteindre leurs objectifs, gérer les incidents de cybersécurité et enquêter sur les cybercrimes visant les organisations, car malheureusement, il n’y a pas de paramètres universellement acceptés pour mesurer les contrôles et politiques de sécurité. En dehors du cadre volontaire de la norme NIST (National Institute of Standards and Technology), aucun autre cadre oblige les organisations à s'assurer que les contrôles de sécurité en place fonctionnent, que les systèmes de détection sont efficaces ni à faire la preuve que les données critiques sont cryptées à l’aide de mécanismes rigoureux. Par ailleurs, il n'existe pas non plus d'organismes de réglementation pour le développement des systèmes informatiques, le développement de logiciels et le codage.

Comme le soutiennent les chercheurs Deirdre K. Mulligan et Fred B. Schneider, il faut espérer qu'une doctrine publique en matière de cybersécurité soit adoptée. Elle seule pourra orienter le discours politique vers la détermination d’objectifs raisonnables et encourager l'action publique. La gestion de la santé publique est loin d’être une science parfaite. Toutefois, elle constitue une source inspirante pour élaborer un cadre d’action et des méthodes à la hauteur des risques que présente la cybercriminalité.


Notes

1 Mulligan, D., et Schneider, F., «Doctrine for cybersecurity», Daedalus, vol. 140, n° 4, 2011, p. 70-92. 

2 Taddeo, M., «Is cybersecurity a public good?», Minds & Machines, vol. 29, n° 3, 2019, p. 349-354.

3 Mulligan et Schneider, op. cit.

4 Ibid.

5 Taddeo, op. cit.

6 Schneider, F., Sedenberg, E., et Mulligan, D., «Public cybersecurity and rationalizing information sharing» (document en ligne), Lausanne, International Risk Governance Center (IRGC), 2016, 20 pages.

7 Stevens, T., O’Brien, K., Overill, R., Wilkinson, B., Pildegovičs, T., et Hill, S., «UK active cyber defence – A public good for the private sector» (document en ligne), 2019, 40 pages.

8 Taddeo, op. cit.

9 Schneier, B., Click here to kill everybody : Security and survival in a hyper-connected world, New York, W W Norton, 2018, 288 pages. 

10 Mulligan et Schneider, op. cit.

11 Mulligan et Schneider, op. cit.; Schneier, B., op. cit.

12 Ibid.

13 Ibid.

14 Taddeo, op. cit.

15 Mulligan et Schneider, op. cit.