Alors que de nouvelles règles en matière de sécurité informatique sont actuellement en cours de discussions au sein de l’Union Européenne, il est essentiel que ces débats prennent en considération l’équilibre requis autour du signalement des failles de sécurité.
D’un côté, nous avons l’importance de partager les informations sur les failles afin de réduire le risque pour les autres entreprises d’être attaquées, ainsi que de soutenir la recherche commune autour des cibles, stratégies et outils des pirates informatiques. D’un autre côté, il y a d’autres risques, cette fois-ci provenant de la divulgation de ces failles avant d’avoir compris ce qu’il s’était passé et l’impact qu’elles ont eu.
En vue des changements à venir en matière de régulations européennes liées à la confidentialité, il est important pour les entreprises d’aller au-delà de la simple mise en conformité avec ces règles. Il s’agit de réfléchir à l’impact concret sur leur productivité. Dans cette optique, ces dernières doivent élaborer une stratégie cohérente pour tous les services internes – en gardant à l’esprit que la sécurité est une affaire concernant toute l’entreprise, et pas uniquement le service informatique.
Etablir un équilibre en matière de signalement doit prendre en compte trois aspects essentiels : les besoins de l’entreprise en matière de rétention d’information, l’impact sur l’entreprise de cette divulgation d’informations, ainsi que l’approche stratégique plus générale adoptée par l’entreprise en matière de sécurité.