La cybersécurité peut-elle se passer de confiance ? C’est en tout cas ce que semblent penser certaines entreprises, selon les prévisions 2019 de Forrester qui estime qu’elles sont de plus en plus nombreuses à remettre en question, et ce manière continue, la sécurité de toutes leurs activités internes et externes. Il est facile de comprendre l’attrait que revêt le principe « zéro confiance ». Ce serait oublier qu’en matière de lutte contre la criminalité, l’union fait la force.

Dans le monde numérique, la confiance se définit comme la combinaison de la cybersécurité, de la protection efficace des données privées, de la responsabilité et la traçabilité, ainsi que du traitement éthique, inspirant la confiance des clients dans une entreprise. Le travail des spécialistes de la cybersécurité – collecter et traiter des informations sur les fichiers suspects et malveillants, chasser les malwares, partager les données de veille des menaces et collaborer entre eux mais aussi avec les forces de l’ordre et les pouvoirs publics – devient impossible en l’absence de confiance. Récemment, ce pilier de l’écosystème économique numérique est mis à mal par des forces extérieures.

Les tensions géopolitiques se manifestent sur Internet, où les logiciels de sécurité et autres produits technologiques deviennent des armes potentielles. En conséquence, les utilisateurs, les entreprises et les pouvoirs publics se préoccupent de plus en plus de ce que les logiciels de cybersécurité pourraient faire à ou avec leurs données et équipements.

Mondialisation contre nationalisme

La disparition de la confiance va de pair avec une montée du nationalisme technologique car le monde est engagé dans un jeu dépourvu de règles : il n’existe aucune norme internationale unifiée et indépendante pour encadrer la cybersécurité. Cette situation n’est pas vraiment surprenante : la cybersécurité est un secteur relativement récent, cherchant encore ses marques, et un cadre mondialement reconnu n’a pas été jugé essentiel jusque-là.

Or le moment est venu.

A l’ère du tout-connecté, le temps est venu pour le secteur de la cybersécurité de prendre son destin en mains car c’est lui qui sous-tend la confiance des utilisateurs dans la sécurité de leur économie nationale, des infrastructures critiques et de leur vie quotidienne. Le monde a besoin d’un ensemble de normes et principes internationaux respectés par tous et caractérisés par leur clarté, leur transparence et leur traçabilité.

L’industrie automobile a mis en place son cadre réglementaire mondial dès 1952, notamment par la constitution du Forum mondial pour l‘harmonisation des réglementations sur les véhicules sous l’égide de la Commission économique des Nations unies pour l’Europe (UNECE). A travers ce groupe de travail, les principaux pays producteurs d’automobiles élaborent en commun des réglementations essentielles, applicables à tous les véhicules motorisés.

En même temps, chaque pays est différent, présentant des besoins, approches et réglementations qui lui sont propres. Dans le cas du secteur de la santé, l’OMS détaille les législations et méthodologies de santé des différents pays à travers le monde. Imaginez qu’il existe des institutions comparables dans le domaine de la cybersécurité ; que les acteurs du secteur puissent opérer à l’international sur un pied d’égalité, au sein d’un cadre de confiance régissant l’ensemble de la profession mais avec la liberté d’adapter leurs activités et leurs choix aux besoins et réglementations spécifiques de chaque pays.

Le risque lié à l’inaction

L’absence de cadre international expose le secteur au risque dit de « balkanisation », c’est-à-dire la mise en place de barrières, de restrictions, voire d’interdictions pures et simples, par des gouvernements dans le but d’exclure des fournisseurs de technologies jugés indésirables. Le nationalisme technologique est préjudiciable, de nature à étouffer la concurrence, l’innovation et la collaboration, ainsi qu’à saper la confiance dans l’économie numérique mondial. Les seuls ayant à y gagner sont les cybercriminels, qui ne connaissent ni ne respectent aucune frontière.

La réponse des gouvernements aux besoins du secteur en matière d’insécurité doit plutôt être fondée sur le dialogue avec les acteurs concernés ainsi que sur des preuves concrètes et une évaluation des risques potentiels.

Nous ne sommes pas les seuls à nous préoccuper de la confiance et de l’avenir de la cybersécurité. Le secteur a vu apparaître des partenariats et des appels à une Convention de Genève du numérique, notamment, dernièrement, l’appel de Paris. Nous sommes de fervents partisans de toutes ces initiatives. Cependant, nous pensons également qu’il est temps d’aller au-delà des bonnes intentions et de passer à l’action, afin de prendre des mesures concrètes destinées à apporter des preuves de fiabilité, d’intégrité et de résilience.