Le problème de la réglementation de la cybersécurité (et de la sécurité de l’IA)
Avec l’émergence de modèles génératifs, et en particulier des grands modèles de langage (LLM), et la montée fulgurante de la popularité de ChatGPT, des appels se font à nouveau entendre pour davantage de réglementation de la sécurité.
Comme prévu, la réaction immédiate face à une technologie nouvelle et inexplorée est la peur, ce qui peut entraîner une réaction excessive des autorités réglementaires. Même si je pense que la réglementation en matière de sécurité a ses mérites, nous devons garder à l’esprit qu’elle n’apporte pas toujours plus de sécurité. Voici quelques exemples de réglementations liées à la sécurité qui semblaient être une bonne idée au début mais qui ont abouti au résultat inverse.
PCI-DSS est une norme de sécurité développée par l’industrie des cartes de crédit qui s’applique à toute personne souhaitant glisser les cartes client, ou plus techniquement, à toute personne qui stocke, traite et/ou transmet les données des titulaires de carte. La version 1.1 de la norme a été développée en 2006 et exigeait un mot de passe d’une longueur minimale de sept caractères. Cela était peut-être suffisant à l’époque, mais le matériel standard actuel est capable de déchiffrer de tels mots de passe en quelques jours à moins d’une seconde.
En mars 2022, la norme a été mise à jour vers une longueur minimale de 12 caractères (ou, si un système ne prend pas en charge 12 caractères, une longueur minimale de huit caractères). Néanmoins, cette exigence n’est qu’une bonne pratique jusqu’à ce qu’elle devienne contraignante le 31 mars 2025. Mais si 12 vaut mieux que sept, cela deviendra également possible dans les années à venir.
Une réglementation de sécurité très spécifique devient très vite obsolète.
L’inconvénient d’une réglementation générale
Le revers de la spécificité, à savoir une réglementation trop générale, peut également avoir un effet néfaste sur la sécurité. Le Règlement général européen sur la protection des données (RGPD) vient à l’esprit comme exemple d’un tel cas. Le RGPD vise à protéger les informations personnelles. Selon le règlement, les données personnelles sont toute information relative à une personne vivante identifiée ou identifiable. Comme vous pouvez le constater, la définition des données personnelles est très large et englobe tout. La Cour de justice de l’Union européenne a déjà jugé que les adresses IP constituent des données personnelles de l’utilisateur. Il n’est donc pas étonnant que les services de sécurité soient en bataille constante avec les services juridiques sur la question de savoir quels journaux ils peuvent collecter pour assurer la sécurité de l’organisation.
Comme tout professionnel de l’équipe bleue vous le dira, les journaux sont essentiels pour fournir une visibilité sur l’environnement que nous essayons de protéger. Sans journaux, nous sommes pour la plupart aveugles aux activités bénignes et malveillantes sur le réseau. Néanmoins, si les journaux peuvent contenir des informations personnelles sur les employés, les clients et les fournisseurs, vaut-il la peine d’être plus sécurisé au risque d’être condamné à une amende pouvant atteindre 4 % du chiffre d’affaires mondial ? Malheureusement, en raison de l’ampleur de la réglementation, les organisations adaptent leurs réponses à ces questions en fonction principalement du caractère conservateur du service juridique.
Tout le monde a une opinion sur la réglementation
Enfin, nous devons également nous rappeler que toute réglementation est le produit de débats et de négociations interminables entre différentes parties prenantes, législateurs, lobbys politiques, industriels et groupes d’intérêt. En tant que tel, le projet de règlement final reflétera toujours les compromis qui ont été faits tout au long du parcours législatif. Malheureusement pour nous, dans le domaine de la sécurité, de tels compromis créent des ouvertures en matière de sécurité et de réglementation sous-optimales qui peuvent être exploitées par des attaquants.
Par conséquent, nous devons nous rappeler qu’être en sécurité et être conforme à la réglementation sont deux choses distinctes. Ce n’est pas une coïncidence si les organisations conformes peuvent encore être victimes de violations, car la conformité ne garantit pas la sécurité. Ce résultat est assez inquiétant, car il remet en cause la raison d’être fondamentale de la réglementation de la sécurité. Si ce n’est pas là pour garantir que nous sommes réellement en sécurité, alors pourquoi s’en soucier ?
Il y a quelques années, plusieurs chercheurs ont publié un article analysant l’efficacité de la réglementation imposant l’obligation de disposer de sièges d’auto pour les enfants. Selon les chercheurs, les États américains ont progressivement augmenté depuis 1977 l’âge auquel les enfants sont tenus d’utiliser des sièges de sécurité pour enfants. Comme de nombreuses voitures de taille standard ne peuvent pas accueillir trois sièges pour enfants à l’arrière, ces restrictions ont considérablement augmenté le coût d’avoir un siège enfant. troisième enfant. Les chercheurs estiment en outre que 57 enfants de moins sont morts dans des accidents de voiture en 2017 grâce à ces politiques à travers le pays. Dans le même temps, ils ont été responsables de la baisse à long terme des taux de natalité, qui a entraîné une baisse de 145 000 naissances depuis 1980, dont 90 % depuis l’an 2000. Il est alors facile de voir à quel point les bonnes intentions réglementaires peut s’avérer avoir un effet négatif.
Avant d’imposer davantage de réglementations de sécurité aux organisations, nous devons nous demander : améliorons-nous réellement la sécurité, ou imposons-nous simplement davantage de réglementations ?