« Nous avons besoin de produits sécurisés, et non de produits de sécurité »

produits securises
produits securises

Deux des dirigeants de la CISA (l’ANSSI états-unienne), ainsi que le directeur juridique d’Alphabet et le vice-président pour la confidentialité, la sûreté et la sécurité de Google, en appellent à une sécurité « par défaut » et « by design ». Objectif : empêcher autant que faire se peut les pirates de pouvoir exploiter les failles de sécurité.

« Les entreprises doivent-elles être tenues pour responsables des cyberattaques ? Le gouvernement américain pense que oui – et franchement, nous aussi », viennent d’écrire sur le Security Blog de Google Kent Walker, président des affaires mondiales et directeur juridique de Google et Alphabet, et Royal Hansen, vice-président de l’ingénierie pour la confidentialité, la sûreté et la sécurité.

Leur billet, intitulé « Le gouvernement américain estime que les entreprises devraient assumer davantage de responsabilités en matière de cyberattaques. Nous sommes d’accord. », fait écho à une longue tribune co-signée Jen Easterly (@CISAJen) et Eric Goldstein.

La première a longtemps œuvré à la NSA (y compris dans son unité d’élite Tailored Access Operations, ou TAO, pour Opérations d’accès sur mesure en français) avant d’être désignée directrice de la Cybersecurity and Infrastructure Security Agency (CISA) en 2021, le second est son directeur adjoint exécutif, chargé de protéger et de renforcer l’infrastructure critique du pays contre les cybermenaces.

Intitulée « Arrêtez de vous renvoyer la balle en matière de cybersécurité », sous-titrée « Pourquoi les entreprises doivent intégrer la sécurité dans les produits technologiques » et publiée le 1er février dans Foreign Affairs (la publication états-unienne de référence pour ce qui est des relations internationales, ndlr), leur tribune a le mérite de mettre les pieds dans le plat, estiment les responsables de Google :

« Les incitations au développement et à la vente de technologies ont éclipsé en importance la sécurité des clients. […] Les Américains en sont venus, sans le vouloir, à accepter qu’il est normal que les nouveaux logiciels et dispositifs soient indéfendables « by design ».

Ils acceptent que des produits soient mis sur le marché avec des dizaines, des centaines, voire des milliers de défauts. Ils acceptent que le fardeau de la cybersécurité pèse de manière disproportionnée sur les consommateurs et les petites organisations, qui sont souvent les moins conscients de la menace et les moins capables de se protéger. »

Source