Lors de l’événement Ars Frontiers à Washington, DC, j’ai eu le privilège d’animer deux panels sur deux sujets étroitement liés : la confidentialité numérique et la sécurité de l’information. Malgré des tentatives importantes pour améliorer les choses, des priorités contradictoires et une politique inadéquate ont affaibli à la fois la confidentialité et la sécurité. Certains des mêmes problèmes fondamentaux sous-tendent les faiblesses des deux : la confidentialité numérique et la sécurité des informations sont encore trop exigeantes pour être gérées, et encore moins maîtrisées, par le commun des mortels.
Notre panel de confidentialité était composé du directeur adjoint de l’Electronic Frontier Foundation Kurt Opsahl, de la chercheuse en sécurité Runa Sandvik et de l’analyste principal des politiques de l’ACLU Jay Stanley. Les personnes qui tentent de protéger leur vie privée numérique sont confrontées à « une course aux armements constante entre ce que les entreprises essaient de faire, ou font parce qu’elles le peuvent, et ce que les gens disent qu’ils aiment ou n’aiment pas », a expliqué Sandvik.
Les panélistes ont souligné l’écart dans la façon dont la vie privée est traitée aux États-Unis par rapport à l’Europe et ailleurs. « Dans de nombreux endroits, la vie privée est considérée comme un droit de l’homme », a déclaré Opsahl, « pas un concept transactionnel que vous payez avec des choses pour votre vie privée ». Selon Opsahl, la nature transactionnelle de la façon dont la vie privée est traitée aux États-Unis « risque de marchandiser une partie essentielle de qui vous êtes et de ce qu’est votre être ».
Stanley a décrit les États-Unis comme « parmi les pays les plus sauvages du Far West au monde » en ce qui concerne la confidentialité. « Nous sommes le seul grand pays qui n’a pas de loi globale sur la protection de la vie privée », a-t-il déclaré. « Cela compte beaucoup… si vous n’avez pas de norme nationale [for privacy]alors il n’y a pas de stabilité des attentes. »
D’autre part, l’un des problèmes de la sécurité de l’information est que les attentes ont été aussi écurie. Dans notre panel infosec, Wendy Nather de Cisco, Vineetha Paruchuri, chercheuse en sécurité, et Elizabeth Wharton, vice-présidente des opérations de Scythe, ont parlé des problèmes structurels fondamentaux dans la façon dont nous abordons la sécurité de l’information, comment les logiciels sont fabriqués et qui a accès au domaine de la sécurité de l’information.
Nather, responsable de l’équipe de conseil en chef de la sécurité de l’information chez Cisco, a noté que si la technologie se démocratise de plus en plus, la façon dont nous pensons à la sécurité de l’information est toujours coincée dans le monde descendant. « La sécurité doit être gérable et compréhensible par tout le monde dans le contexte de ce qu’ils font », a déclaré Nather.
Nather, Paruchuri et Wharton ont tous plongé dans les problèmes fondamentaux liés à la conception des politiques de sécurité et au développement des logiciels. « Aujourd’hui, nous n’avons pas de modèle de fabrication de développement de logiciels », a déclaré Wharton. « Nous avons un modèle littéraire où chacun fait son propre truc artistique. » Paruchuri a souligné l’importance de ce qui est qualifié de « compétences non techniques » en matière de sécurité de l’information, souvent négligées par les responsables de la sécurité de l’information.
Et les trois panélistes ont discuté des décisions commerciales par ailleurs rationnelles qui conduisent souvent à des catastrophes en matière de sécurité de l’information simplement en raison de la difficulté d’une bonne sécurité de l’information. « Il existe plusieurs façons de faciliter les choses », a noté Paruchuri, notamment en utilisant la technologie pour simplifier les choix humains affectant la sécurité de l’information.
Image de la liste par iStock / Getty Images Plus