A lire sur: http://www.linformaticien.com/actualites/id/30845/rsa-conference-securite-respect-de-la-vie-privee-vont-de-pair.aspx
par , le 29 octobre 2013 16:32
Art Coviello, CEO de RSA, nous a accordé une interview à
l’occasion de la RSA conference qui se tient à Amsterdam. Il affiche un
point de vue novateur sur les notions de sécurité et exhorte les
gouvernements à faire preuve de calme et à engager des discussions pour
sortir de la crise actuelle liée aux révélations sur les pratiques de la
NSA.
Que pensez-vous des informations relatives à la NSA et cela a-t-il impact sur l’activité de votre entreprise ?
En premier lieu, le problème de la NSA est leur problème, pas le nôtre. Ensuite, je dirais que le contexte de menaces croissantes fait que les besoins en sécurité sont également croissants. Dans le contexte actuel des révélations se pose le problème de la confiance. Et la seule réponse que vous pouvez donner est la transparence. Vous devez expliquer à vos clients et aider vos clients à expliquer aux employés la politique que vous mettez en place. Les flux de données que vous analysez, ce que vous enregistrez, ce que vous n’enregistrez pas. Ce que vous faites des données collectées. Dès lors que vous avez un discours de vérité et de transparence, les gens suivent et approuvent car ils comprennent également les menaces possibles. J’ajoute que outre cette transparence vous devez également avoir une gouvernance, c’est-à-dire non seulement un ensemble de règles, de politiques mais également les outils et les moyens pour auditer ces règles et ces politiques. Notre outil Archer qui est employé pour cela pourrait parfaitement être mis en place dans un cadre gouvernemental.
Ce que vous préconisez au sein de l’entreprise s’apparente à un conseil pour les gouvernements ?
Absolument de telles politiques peuvent et doivent être adoptées. De manière générale, nous devons ôter toute l’émotion consécutive à ces révélations et engager des discussions calmes et claires et s’écouter. Lorsque nous aurons des discussions plus civiles, les gens devront s’écouter. Tout le monde a une opinion sur ces sujets. Mon intervention de ce matin ne reflète pas ma pensée propre mais l’opinion de clients, de collaborateurs, de l’industrie. J’essaie de parler pour toute l’industrie. C’est une volonté collective de sortir par le haut et de réconcilier sécurité et respect de la vie privée
Qui est dans une meilleure position pour comprendre les enjeux de vie
privée et de sécurité que notre industrie. Nous comprenons la
technologie, nous comprenons la dynamique entre sécurité et vie privée.
Et nous sommes les mieux placés pour mettre en place cette balance. Mais
nous voyons également les attaquants. Et nous voyons la progression
inéluctable de ces attaques.
Vous pronez un modèle où la sécurité va de pair avec le respect de la vie privée et non pas l’antagonisme que l’on voit habituellement...
Effectivement ce sont les deux. Trop souvent nous fournissons des informations trop directes, pas assez réfléchies. Et c’est ce qui fait dire que pour avoir de la sécurité il faut renoncer à la vie privée. Je rejette cette notion. Je sais que certains seront en désaccord avec moi. De même que certains seront en désaccord quand je prétends que l’anonymat total n’est pas une garantie de sécurité. Voulez-vous donner l’anonymat à un terroriste, à un criminel ? Où est la limite et qui la fixe ? C’est exact. C’est un point important. Et c’est pourquoi le modèle de transparence et de gouvernance est important. Et il est transposable à une entreprise comme à un Etat.
Voilà ce que nous allons faire et comment nous allons le faire. C’est ce qu’il faut dire. Evidemment il n’y aura pas un accord à 100%. On ne peut pas plaire à tout le monde mais nous devons créer une construction qui satisfasse le plus grand nombre. Sinon, l’alternative est de débrancher l’Internet. Et nous ne pouvons pas le faire. Il y a trop de progrès en jeu. Il y a également le niveau de vie et les économies des pays de l’ouest. Nos standards de vie sont en risque si nous ne tirons pas plus d’avantages des technologies, notamment eu égard aux montagnes de dettes qui caractérisent nos économies. Nous ne pouvons pas débrancher. Il faut régler ce problème. Il en va de même pour les attaques. Je parlais ce matin de la création du marché commun en Europe avec les pays qui ont décidé d’arrêter de poursuivre des intérêts propres pour promouvoir des intérêts communs. C’est la même chose. Je suis dans le business de la technologie et nous devons régler ce problème.
Quelles leçons avez-vous tiré de la faille dont RSA a elle-même été victime ?
Je dirais que la faille RSA que nous avons subie voici 18 mois a finalement été une bonne chose. Non seulement parce qu’elle a permis d’élever le niveau de sophistication de nos technologies mais elle nous a également permis de mieux comprendre les mécanismes d’attaques. Et que si une entreprise de sécurité comme la nôtre pouvait être attaquée au travers d’une faille, n’importe quelle entreprise pouvait l’être. Nous avons été transparents, totalement. Franchement, nous étions humiliés. Nous avons été victimes d’une attaque très sophistiquée mais nous avons voulu nous assurer qu’une telle chose ne pourrait plus se reproduire ou du moins nous serons en meilleure position pour la stopper.
Cette façon de faire peut servir également de leçon pour les gouvernements. Bien entendu les gouvernements vont continuer à s’espionner mais ils peuvent regarder comment Internet doit être utilisé. Jusqu’à quelles limites. Notamment en matière de protection de la propriété intellectuelle. Sur les attaques que les Etats peuvent mener. Il y a plein de sujets. Et le rôle de la presse est très important. Vous devez initier ces sujets et pas seulement attiser les braises de la controverse.
En premier lieu, le problème de la NSA est leur problème, pas le nôtre. Ensuite, je dirais que le contexte de menaces croissantes fait que les besoins en sécurité sont également croissants. Dans le contexte actuel des révélations se pose le problème de la confiance. Et la seule réponse que vous pouvez donner est la transparence. Vous devez expliquer à vos clients et aider vos clients à expliquer aux employés la politique que vous mettez en place. Les flux de données que vous analysez, ce que vous enregistrez, ce que vous n’enregistrez pas. Ce que vous faites des données collectées. Dès lors que vous avez un discours de vérité et de transparence, les gens suivent et approuvent car ils comprennent également les menaces possibles. J’ajoute que outre cette transparence vous devez également avoir une gouvernance, c’est-à-dire non seulement un ensemble de règles, de politiques mais également les outils et les moyens pour auditer ces règles et ces politiques. Notre outil Archer qui est employé pour cela pourrait parfaitement être mis en place dans un cadre gouvernemental.
Ce que vous préconisez au sein de l’entreprise s’apparente à un conseil pour les gouvernements ?
Absolument de telles politiques peuvent et doivent être adoptées. De manière générale, nous devons ôter toute l’émotion consécutive à ces révélations et engager des discussions calmes et claires et s’écouter. Lorsque nous aurons des discussions plus civiles, les gens devront s’écouter. Tout le monde a une opinion sur ces sujets. Mon intervention de ce matin ne reflète pas ma pensée propre mais l’opinion de clients, de collaborateurs, de l’industrie. J’essaie de parler pour toute l’industrie. C’est une volonté collective de sortir par le haut et de réconcilier sécurité et respect de la vie privée
Vous pronez un modèle où la sécurité va de pair avec le respect de la vie privée et non pas l’antagonisme que l’on voit habituellement...
Effectivement ce sont les deux. Trop souvent nous fournissons des informations trop directes, pas assez réfléchies. Et c’est ce qui fait dire que pour avoir de la sécurité il faut renoncer à la vie privée. Je rejette cette notion. Je sais que certains seront en désaccord avec moi. De même que certains seront en désaccord quand je prétends que l’anonymat total n’est pas une garantie de sécurité. Voulez-vous donner l’anonymat à un terroriste, à un criminel ? Où est la limite et qui la fixe ? C’est exact. C’est un point important. Et c’est pourquoi le modèle de transparence et de gouvernance est important. Et il est transposable à une entreprise comme à un Etat.
Voilà ce que nous allons faire et comment nous allons le faire. C’est ce qu’il faut dire. Evidemment il n’y aura pas un accord à 100%. On ne peut pas plaire à tout le monde mais nous devons créer une construction qui satisfasse le plus grand nombre. Sinon, l’alternative est de débrancher l’Internet. Et nous ne pouvons pas le faire. Il y a trop de progrès en jeu. Il y a également le niveau de vie et les économies des pays de l’ouest. Nos standards de vie sont en risque si nous ne tirons pas plus d’avantages des technologies, notamment eu égard aux montagnes de dettes qui caractérisent nos économies. Nous ne pouvons pas débrancher. Il faut régler ce problème. Il en va de même pour les attaques. Je parlais ce matin de la création du marché commun en Europe avec les pays qui ont décidé d’arrêter de poursuivre des intérêts propres pour promouvoir des intérêts communs. C’est la même chose. Je suis dans le business de la technologie et nous devons régler ce problème.
Je dirais que la faille RSA que nous avons subie voici 18 mois a finalement été une bonne chose. Non seulement parce qu’elle a permis d’élever le niveau de sophistication de nos technologies mais elle nous a également permis de mieux comprendre les mécanismes d’attaques. Et que si une entreprise de sécurité comme la nôtre pouvait être attaquée au travers d’une faille, n’importe quelle entreprise pouvait l’être. Nous avons été transparents, totalement. Franchement, nous étions humiliés. Nous avons été victimes d’une attaque très sophistiquée mais nous avons voulu nous assurer qu’une telle chose ne pourrait plus se reproduire ou du moins nous serons en meilleure position pour la stopper.
Cette façon de faire peut servir également de leçon pour les gouvernements. Bien entendu les gouvernements vont continuer à s’espionner mais ils peuvent regarder comment Internet doit être utilisé. Jusqu’à quelles limites. Notamment en matière de protection de la propriété intellectuelle. Sur les attaques que les Etats peuvent mener. Il y a plein de sujets. Et le rôle de la presse est très important. Vous devez initier ces sujets et pas seulement attiser les braises de la controverse.
Aucun commentaire:
Enregistrer un commentaire