La sécurité de l’information a-t-elle encore un sens ou suffit-il de se conformer aux exigences légales ? Qu’est-ce qui se cache derrière le concept ISMS ?
Nous jetons un coup d’œil derrière les façades et examinons les raisons pour lesquelles les entreprises ont tant de mal à aborder les concepts de sécurité de manière pragmatique et pourquoi on demande encore le ROSI (Return On Security Investment).
Le paysage de la sécurité en Europe est marqué par des réglementations, des lois et des normes qui sont actuellement déployées, alors que le contexte réel de la sécurité de l’information est motivé par des facteurs économiques. Dans leurs écrits, Ross Anderson et Tyler Moore, ainsi que d’autres co-auteurs, expliquent comment la sécurité de l’information est dirigée par l’économie, quels problèmes en résultent et quelles recommandations les experts peuvent proposer – Un aperçu de la force motrice de la sécurité de l’information.
Pour comprendre si la mise en œuvre de la sécurité de l’information est utile aux entreprises, il faut d’abord comprendre pourquoi la sécurité est nécessaire et qui en est à l’origine. A cet égard, il existe encore de vastes défis à relever dans l’économie si l’on veut que la sécurité soit au cœur des services.
Jusqu’à présent, selon Anderson et Moore, les entreprises ne sont pas incitées à développer et à proposer leurs services en toute sécurité, ce qui est dû à un manque de compréhension des avantages et des inconvénients des services. Cet état de fait devient plus évident si nous examinons de plus près les perspectives des parties concernées : Les prestataires de services et les acheteurs disposent d’informations différentes sur le niveau de sécurité du produit proposé. Cette asymétrie d’information est l’un des grands défis de la sécurisation des services et des systèmes. Comme la sécurité offre peu d’anticipation et que les services sécurisés ne se distinguent guère des services non sécurisés dans leur forme, il y a peu de besoin de systèmes sécurisés coûteux tant que des services moins chers sont proposés¹. Du point de vue de l’acheteur, rien ne l’incite dès le départ à acheter un service sûr. Cela a pour conséquence que, du point de vue des vendeurs également, l’incitation à investir dans des services sûrs diminue. Aux États-Unis, ce problème de visibilité des problèmes de sécurité et des incidents qui en découlent est traité par une loi qui oblige une entreprise confrontée à un incident de sécurité à le signaler à une autorité compétente². Au moins en partie, l’avantage ou l’inconvénient des services incertains devient ainsi visible. Depuis, des approches similaires ont vu le jour en Europe dans cette direction. Cette obligation de notification a pour effet de créer artificiellement un passage de mesures obligatoires à une incitation pour les entreprises à prendre des mesures de sécurité si elles veulent échapper à la publication de leurs manquements³.
Il n’est toutefois pas clair si et dans quelle mesure l’asymétrie de l’information et le manque d’incitations à mettre en œuvre la sécurité de l’information peuvent être combattus. Les réglementations extérieures n’ont qu’une influence limitée sur la représentation externe des services sécurisés et tant que ceux-ci ne sont pas rémunérés en fonction des coûts élargis de développement ou de mise en œuvre, il appartient aux entreprises de décider si la sécurité est finalement rentable pour le prestataire de services.
Souvent, les conséquences des incidents de sécurité ne sont pas directement perçues par le responsable. Par exemple, quelqu’un qui connecte un appareil non sécurisé sur le réseau de son entreprise ne subit pas forcément les conséquences d’une attaque qu’il a lui-même rendue possible. La question reste ouverte de savoir à qui devrait revenir la responsabilité d’éviter ces incidents. Il est judicieux de répartir cette responsabilité pour éviter les risques, comme l’utilisation d’appareils peu sûrs, de manière à ce que non seulement celui qui doit en subir les conséquences soit tenu de rendre des comptes, mais aussi celui qui est le mieux à même de gérer ou d’endiguer le risque en question⁴. Au mieux, il s’agirait d’une seule et même personne. Malheureusement, cette répartition avantageuse des responsabilités n’est pas toujours le cas. Souvent, l’incitation à réduire le risque n’incombe pas à celui qui doit subir les conséquences d’un incident, mais, dans le pire des cas, à celui qui, de surcroît, n’a aucune idée de la manière de gérer le risque. Un exemple classique serait une assurance dommages dans laquelle l’assuré agit de manière inconsidérée, augmentant ainsi les chances d’un sinistre⁵.
Le laisser-faire en matière de transfert de responsabilité et la mise en place d’incitations peuvent, malgré tous les efforts, ne pas suffire à imposer un niveau de sécurité adéquat, voire une mise en œuvre étendue de mesures de sécurité efficaces. Le coût de la mise en œuvre d’une sécurité suffisante dans une large mesure est encore trop faible par rapport aux pertes subies par les entreprises. Une possibilité d’application serait des sanctions fixes⁶. C’est l’approche adoptée par l’UE, du moins dans le domaine de la protection des données, avec l’entrée en vigueur en 2018 du règlement général sur la protection des données de l’UE. L’adoption d’une loi européenne sur la protection des données à caractère personnel peut être appréciée par les individus, mais elle est encore très éloignée d’une solution globale au problème de la sécurité. En outre, il ne résout pas le problème d’une solution efficace pour la mise en œuvre.
Ce phénomène va toutefois plus loin, car les incitations des uns et des autres peuvent diverger. Plus les groupes se ressemblent, et je suppose que ce principe s’applique également aux infrastructures de nature technique, plus celles-ci seraient vulnérables aux attaques⁷. Ce phénomène aurait d’autres conséquences politiques⁸. Les auteurs se réfèrent dans ce cas à la situation des communautés de bien-être qui s’engagent à créer plus de sécurité sociale par le biais de la solidarité. Appliqué au domaine de la sécurité, il reste à décider si une répartition des zones de sécurité avec des préférences différentes au sein d’une organisation entraîne d’une part un certain surcroît de travail, mais d’autre part rend les attaques plus difficiles en raison des caractéristiques différentes.
Le manque d’incitation à mettre en œuvre des mesures de sécurité constitue un certain nombre d’obstacles, mais ce n’est pas le seul problème soulevé par les auteurs pour mettre en œuvre des systèmes et des services plus sûrs. En faisant allusion à la question de la responsabilité dans la mise en œuvre des mesures de prévention des risques, les facteurs externes restent au premier plan. En plus du manque d’incitation, les conséquences des influences externes compliquent la mise en œuvre des mesures de sécurité. Dans de nombreux cas, un certain nombre de systèmes ou de points finaux doivent mettre en œuvre une mesure pour qu’il y ait une valeur ajoutée⁹. Il n’est pas rare que cet état de fait empêche la mise en œuvre de mesures qui devraient être appliquées simultanément par toutes les parties. Je tiens notamment à souligner ici que ce problème a depuis été abordé et que des solutions existent. Un exemple est la série de normes NIST SP 800, c’est-à-dire spécialement le NIST Risk Management Framework, qui se base sur ce principe et intègre la sécurité dans le cycle de développement des systèmes. Non seulement le développement sûr s’en trouve amélioré, mais les mesures à mettre en œuvre sont en outre adaptées en permanence à chaque système individuel. Cette série de normes a été introduite dans la législation américaine par la FISMA et semble aller dans le même sens, à savoir la mise en œuvre de mesures liées à un système plutôt qu’à l’ensemble du système. D’autres approches existent également en Europe, qui sont toujours en cours de développement et s’alignent sur des normes établies au niveau international.
Relever le défi, du moins pour les prestataires de services qui proposent des applications, pourrait faire apparaître une loi selon laquelle seuls des produits sûrs pourraient être proposés. Les fabricants et, en fin de compte, les développeurs devraient être tenus pour responsables si des applications non sécurisées sont achetées et utilisées par les utilisateurs¹⁰. Les auteurs fondent leur hypothèse sur le fait que la sécurité du produit n’est pas évidente pour l’utilisateur final¹¹ et que même si elle était clairement visible, l’acheteur mettrait toujours en balance la sécurité et le supplément de prix du produit. Les questions relatives aux caractéristiques qu’un « produit sûr » doit remplir et à la mesure dans laquelle le patching en fait partie doivent être clarifiées.
Dans l’ensemble, il ne semble guère y avoir de moyen efficace de faire pression de l’extérieur sur les entreprises pour qu’elles mettent en œuvre la sécurité de manière plus complète. Adelman avait montré que même les certificats censés assurer la sécurité ne pouvaient pas être considérés comme un gage de qualité¹². La raison en était que les entreprises qui proposaient des sites web peu sûrs, en particulier, cherchaient à obtenir ces certificats afin de détourner l’attention de cette situation peu sûre. Anderson et Moore montrent qu’indépendamment de l’état de la technique, certains facteurs indiquent que la sécurité de l’information est un sujet peu attractif pour de nombreuses entreprises et qu’elle ne peut être que vaguement imposée par des réglementations. Il reste à observer si les conditions économiques continueront à rendre difficile l’application des exigences de sécurité tant que les risques ne seront pas rendus visibles et que les responsabilités ne seront pas clairement établies. Nous constatons aujourd’hui dans de nombreux secteurs que la sécurité est mise en œuvre au minimum et surtout pour des raisons de conformité à la loi. La question de savoir si et chez qui il y aura à l’avenir un changement culturel pour considérer la sécurité comme un bien justifiant un certain supplément de prix reste passionnante.
Une contribution d’Alexander Kühl.
[1] EIS, page 5 ; tiré de « The Economics of Information Security », par Ross Anderson et Tyler Moore, University of Cambridge, UK, publié en 2006. dans « Science » ; ici en abrégé EIS
[2] SEEP, page 5 ; tiré de « Security Economics and European Policy », par Ross Anderson, Rainer Böhme, Richard Clayton and Tyler Moore. Computer Laboratory, University of Cambridge, UK, Technische Universität Dresden, DE, 2008, publ. dans ISSE 2008 Securing Electronic Business Processes ; ici en abrégé SEEP
[3] SEEP, page 5
[4] EIS, P. 2
[5] EIs, p. 2
[6] SEEP, P. 10
[7] SEEP, P. 3
[8] SEEP, P. 3
[9] EIS, P. 4
[10] SEEP, P. 13
[11] EIS, P. 5
[12] B. Edelman, Actes du cinquième atelier sur l’économie de la sécurité de l’information (2006).