Lorsque les attaques de ransomware comme Akira et Ryuk ont commencé à paralyser les organisations dans le monde entier, l’instinct premier de l’industrie de la cybersécurité était prévisible : construire des murs plus grands, déployer des réponses automatisées plus agressives et tout verrouiller. Cependant, un autre problème émergeait, selon Romanus Prabhu Raymond, directeur de la technologie chez ManageEngine.
Les clients de l’entreprise exigeaient des fonctionnalités de confinement agressives, mais mettre automatiquement en quarantaine un ordinateur suspect dans un hôpital ou un système de caissier de banque pourrait s’avérer plus dévastateur que la menace initiale. Le dilemme – équilibrer une réponse rapide aux menaces avec les conséquences du monde réel – illustre pourquoi les pratiques éthiques en matière de cybersécurité sont devenues l’un des défis les plus importants de 2025.
Dans notre interview exclusive peu de temps avant sa présentation à l’Expo de la Cybersécurité à Amsterdam, Raymond a révélé comment les organisations de premier plan se libèrent du compromis traditionnel entre sécurité et confidentialité, et pourquoi les entreprises qui embrassent cette « révolution de confiance » peuvent remodeler la sécurité des entreprises.
Pour commencer, l’industrie de la cybersécurité se trouve à un moment crucial. Les breaches de haut niveau, l’évolution des cadres réglementaires et l’intégration rapide de l’IA dans les systèmes de sécurité ont créé de nouveaux défis qui vont bien au-delà de la protection technique. Les organisations se posent maintenant des questions importantes sur la manière de concilier l’innovation et la responsabilité, la confidentialité et la sécurité, l’automatisation et la supervision humaine.
Définir la cybersécurité éthique à l’ère moderne
Selon Raymond, la cybersécurité éthique transcende les notions traditionnelles de défense. « La cybersécurité éthique va au-delà de la défense des systèmes et des données – il s’agit d’appliquer les pratiques de sécurité de manière responsable pour protéger les organisations, les individus et la société dans son ensemble », a-t-il expliqué lors de notre entretien avant sa présentation.
Dans l’environnement cloud-first de 2025, la sécurité n’est pas un différenciateur compétitif, mais une attente de base. Ce qui distingue les organisations aujourd’hui, c’est la façon dont elles gèrent de manière éthique les données et mettent en œuvre des mesures de sécurité.
Raymond utilise l’analogie de l’installation de caméras de sécurité dans un quartier pour protéger les espaces publics sans empiéter sur les zones privées ; en évitant de regarder par les fenêtres des résidents. La cybersécurité doit fonctionner selon le même principe.
ManageEngine a opérationnalisé cette philosophie à travers ce que Raymond appelle une approche « éthique par conception », en intégrant l’équité, la transparence et la responsabilité dans chaque produit dès sa conception. La position de l’entreprise sur les données des clients illustre cet engagement : elle ne monétise ni ne surveille les données des clients, considérant qu’elles appartiennent exclusivement au client.
Le paradoxe de l’innovation et du risque
La tension entre l’innovation et la gestion des risques représente un défi important pour les organisations modernes. Pousser trop fort pour l’innovation sans garanties adéquates expose les entreprises à des violations de données et à des violations de la conformité. Se concentrer trop fortement sur l’atténuation des risques peut empêcher les organisations de rester compétitives sur des marchés en évolution.
La philosophie « confiance par conception » intègre la responsabilité et la responsabilité à chaque étape du développement, ce qui permet une innovation rapide tout en maintenant la conformité et les normes éthiques. Lors du déploiement de composants importants comme les agents d’extrémité, l’entreprise veille à ce que les nouvelles fonctionnalités respectent intrinsèquement les normes de l’industrie et les exigences en matière de sécurité.
Cette méthode s’étend aux opérations mondiales de l’entreprise. ManageEngine maintient des centres de données dans le monde entier qui sont alignés sur les exigences locales en matière de confidentialité et de réglementation, et forme chaque employé – des développeurs aux ingénieurs de support – à traiter les données des clients avec intégrité. La « stratégie de trans-localisation » de l’entreprise garantit que les équipes locales servent les clients locaux, créant ainsi une efficacité opérationnelle et une confiance culturelle.
Intégration de l’IA et supervision humaine
Alors que l’intelligence artificielle devient de plus en plus centrale dans les opérations de cybersécurité, les implications éthiques des solutions de sécurité basées sur l’IA deviennent plus complexes. Raymond reconnaît que l’IA évolue de rôles purement assistifs à des fonctions plus décisives, soulevant des questions sur la responsabilité, la transparence et l’équité.
Raymond développe les « principes SHE AI de ManageEngine » : IA sécurisée, IA humaine et IA éthique. L’IA sécurisée implique la construction de protections robustes contre la manipulation et les attaques adverses. L’IA humaine garantit que la supervision humaine reste intégrale aux actions de sécurité importantes – par exemple, si l’IA détecte un endpoint suspect, elle l’escalade pour validation humaine plutôt que de retirer automatiquement l’appareil du réseau.
Cela est particulièrement important dans des environnements sensibles comme les hôpitaux ou les banques, où bloquer automatiquement les systèmes pourrait avoir des conséquences graves.
La composante éthique de l’IA met l’accent sur l’explicabilité. Plutôt que de générer des alertes « boîte noire », les systèmes de ManageEngine expliquent leur raisonnement. Une alerte pourrait indiquer : « L’endpoint ne peut pas se connecter pour le moment et tente de se connecter à trop de dispositifs réseau. » Cette transparence est essentielle pour la conformité et pour instaurer la confiance dans les systèmes de sécurité pilotés par l’IA.
Naviguer entre les compromis entre confidentialité et sécurité
L’équilibre entre la surveillance de sécurité nécessaire et l’invasion de la vie privée représente l’un des aspects les plus délicats des pratiques éthiques en matière de cybersécurité. Raymond reconnaît que bien que la surveillance proactive soit essentielle pour détecter rapidement les menaces, une surveillance excessive risque de créer un environnement de surveillance qui traite les employés comme des suspects plutôt que comme des partenaires de confiance.
ManageEngine utilise des principes qui mettent l’accent sur la minimisation des données, la surveillance orientée par objectif, l’anonymisation et des structures de gouvernance claires. L’entreprise ne collecte que les informations nécessaires à des fins de sécurité, veille à ce que chaque donnée ait un cas d’utilisation de sécurité défini, utilise des données anonymisées pour l’analyse des tendances, et définit les privilèges d’accès aux données et les périodes de rétention.
Ce cadre montre que la sécurité et la confidentialité ne doivent pas être mutuellement exclusives lorsqu’elles sont guidées par l’éthique, la transparence et la responsabilité.
Leadership industriel et défis futurs
Raymond soutient que les fournisseurs de technologie doivent agir en tant que gardiens de l’éthique numérique, gagnant la confiance plutôt que de s’attendre à ce qu’elle soit accordée aveuglément. ManageEngine affirme contribuer aux normes de l’industrie par la pensée de pointe, la plaidoirie et en intégrant des normes de conformité comme l’ISO 27000 et le GDPR dans les produits dès le départ.
Raymond identifie l’IA autonome pilotée par l’IA et l’informatique quantique comme les plus grands défis éthiques auxquels l’industrie est confrontée. Alors que les centres opérationnels de sécurité se dirigent vers une autonomie totale, les questions d’explicabilité et de responsabilité deviennent critiques. La capacité de l’informatique quantique à casser le cryptage traditionnel menace les fondements de la communication sécurisée, tandis que des technologies comme la biométrie soulèvent des préoccupations en matière de confidentialité si elles ne sont pas gérées avec soin.
Mise en œuvre pratique
Pour les organisations cherchant à intégrer des considérations éthiques dans leurs stratégies de cybersécurité, Raymond recommande trois étapes concrètes : adopter une charte d’éthique en matière de cybersécurité au niveau du conseil d’administration, intégrer la confidentialité et l’éthique dans les décisions technologiques lors de la sélection de fournisseurs, et opérationnaliser l’éthique à travers une formation complète et des contrôles qui expliquent non seulement quoi faire, mais pourquoi cela importe.
Alors que le paysage de la cybersécurité évolue, les entreprises qui réussiront sont celles qui reconnaissent les pratiques éthiques en matière de cybersécurité comme fondement d’un progrès technologique durable et digne de confiance, et non pas comme des contraintes à l’innovation. À l’avenir, les organisations devront innover de manière responsable et maintenir une supervision humaine et les principes éthiques que la confiance numérique exige.