Lorsque des attaques de ransomwares comme Akira et Ryuk ont commencé à paralyser les organisations du monde entier, le premier instinct de l’industrie de la cybersécurité était prévisible: construire des murs plus gros, déployer des réponses automatisées plus agressives et verrouiller tout. Mais il y avait un problème différent, selon Romanus Prabhu Raymond, directeur de la technologie chez ManageEngine.
Les clients de l’entreprise exigeaient des fonctionnalités de confinement agressives, mais en quarantaine automatiquement un ordinateur hospitalier suspect ou un système de caissier de banque pourrait s’avérer plus dévastateur que la menace d’origine. Le dilemme – équilibrer la réponse rapide des menaces avec les conséquences réelles – illustre pourquoi les pratiques de cybersécurité éthiques sont devenues l’un des défis déterminants de 2025.
Dans notre interview exclusive peu de temps avant sa présentation à la Cyber Security Expo à Amsterdam, Raymond a révélé comment les principales organisations se libérent du compromis traditionnel de la sécurité-privilège et pourquoi les entreprises embrassant cette «révolution de confiance» peuvent remodeler la sécurité des entreprises.
Pour commencer, l’industrie de la cybersécurité est à un moment important. Les violations de haut niveau, l’évolution des cadres réglementaires et l’intégration rapide de l’IA dans les systèmes de sécurité ont créé de nouveaux défis qui s’étendent bien au-delà de la protection technique. Les organisations sont désormais confrontées à des questions importantes sur la façon d’équilibrer l’innovation avec responsabilité, la confidentialité avec la sécurité et l’automatisation avec la surveillance humaine.
Définir la cybersécurité éthique à l’ère moderne
Selon Raymond, la cybersécurité éthique transcende les notions traditionnelles de défense. «La cybersécurité éthique va au-delà de la défense des systèmes et des données – il s’agit d’appliquer des pratiques de sécurité de manière responsable pour protéger les organisations, les individus et la société dans son ensemble», a-t-il expliqué lors de notre entretien avant sa présentation.
Dans l’environnement en cloud-premier de 2025, la sécurité n’est pas un différenciateur compétitif, mais une attente de référence. Ce qui distingue les organisations aujourd’hui, c’est comment éthiquement elles gérent les données et mettent en œuvre des mesures de sécurité.
Raymond utilise l’analogie de l’installation de caméras de sécurité dans un quartier pour protéger les espaces publics sans s’introduire sur les zones privées; L’évitement de regarder dans les fenêtres des résidents. La cybersécurité doit fonctionner sous le même principe.
ManageEngine a opérationnalisé cette philosophie à travers ce que Raymond appelle une approche «éthique par conception», incorporant l’équité, la transparence et la responsabilité dans chaque produit de la conception. La position de l’entreprise sur les données des clients illustre cet engagement: il ne mone ni mone ni monite les données des clients, en maintenant qu’elle appartient uniquement au client.
Le paradoxe à risque d’innovation
La tension entre l’innovation et la gestion des risques représente un défi important pour les organisations modernes. Poussez trop fort pour l’innovation sans garanties adéquates et les entreprises risquent les violations de données et les violations de la conformité. Concentrez-vous trop sur l’atténuation des risques, et les organisations peuvent se retrouver incapables de rivaliser sur les marchés en évolution.
La philosophie «Trust by Design» incorpore la responsabilité et la responsabilité dans chaque étape de développement, ce qui permet une innovation rapide et maintient la conformité et les normes éthiques. Lors du déploiement de composants importants comme les agents de point final, la société garantit que de nouvelles fonctionnalités se conforment intrinsèquement aux normes de l’industrie et aux exigences de sécurité.
La méthode s’étend aux opérations mondiales de l’entreprise. ManageEngine maintient les dataCentres dans le monde qui s’alignent sur la confidentialité et les demandes réglementaires locales, et forme chaque employé – des développeurs à soutenir les ingénieurs – pour traiter les données des clients avec intégrité. La «stratégie de trans-localisation» de l’entreprise garantit que les équipes locales servent des clients locaux, créant l’efficacité opérationnelle et la confiance culturelle.
Intégration d’IA et supervision humaine
Alors que l’intelligence artificielle devient de plus en plus centrale des opérations de cybersécurité, les implications éthiques des solutions de sécurité axées sur l’IA sont devenues plus complexes. Raymond reconnaît que l’IA évolue de rôles purement aidants à des fonctions plus décisives, soulevant des questions sur la responsabilité, la transparence et l’équité.
Raymond exposent les «principes de l’IA» de Manage Engine: sécuriser l’IA, l’IA humaine et l’IA éthique. L’IA sécurisée implique de construire des protections robustes contre la manipulation et les attaques contradictoires. L’IA humaine garantit que la surveillance humaine reste intégrée à des actions de sécurité importantes – par exemple, si l’IA détecte un critère d’évaluation suspect, il dégénère pour la validation humaine plutôt que de supprimer automatiquement l’appareil du réseau.
Ceci est particulièrement important dans des environnements sensibles comme les hôpitaux ou les banques, où les systèmes de blocage automatiquement pourraient avoir des conséquences graves.
Le composant d’IA éthique met l’accent sur l’explication. Plutôt que de générer des alertes «Black Box», les systèmes de ManageEngine expliquent leur raisonnement. Une alerte peut se lire: « Le point de terminaison ne peut pas se connecter pour le moment et essaie de se connecter à trop de périphériques réseau. » Cette transparence est essentielle pour la conformité et la confiance dans les systèmes de sécurité axés sur l’IA.
Navigation de compromis de la sécurité de la confidentialité
L’équilibre entre le suivi de la sécurité et l’invasion de la confidentialité nécessaires représente l’un des aspects les plus délicats des pratiques de cybersécurité éthiques. Raymond reconnaît que si la surveillance proactive est essentielle pour détecter les menaces précoces, les risques excessifs sur la maîtrise de la création d’un environnement de surveillance qui traite les employés comme des suspects plutôt que des partenaires de confiance.
ManageEngine utilise des principes qui mettent l’accent sur la minimisation des données, la surveillance, l’anonymisation et les structures de gouvernance claires axées sur l’objectif. La société collecte uniquement les informations nécessaires à des fins de sécurité, garantit que chaque élément de données a un cas d’utilisation de sécurité défini, utilise des données anonymisées pour l’analyse des modèles et définit les privilèges d’accès aux données et les périodes de rétention.
Le cadre démontre que la sécurité et la confidentialité ne doivent pas être mutuellement exclusives lorsqu’elles sont guidées par l’éthique, la transparence et la responsabilité.
Leadership de l’industrie et défis futurs
Raymond soutient que les fournisseurs de technologie doivent agir en tant que gardiens de l’éthique numérique, gagnant la confiance plutôt que de s’attendre à ce qu’il soit donné aveuglément. ManageEngine affirme qu’il contribue aux normes de l’industrie par le leadership éclairé, le plaidoyer et en intégrant des normes de conformité comme ISO 27000 et RGPD dans les produits dès le début.
Raymond identifie la sécurité autonome et l’informatique quantique dirigée par l’IA comme les plus grands défis éthiques auxquels l’industrie est confrontée. À mesure que les centres d’opérations de sécurité évoluent vers une autonomie complète, les questions d’explication et de responsabilité deviennent essentielles. La capacité de Quantum Computing à briser le chiffrement traditionnel menace des fondations de communication sécurisées, tandis que des technologies comme la biométrie soulèvent des problèmes de confidentialité s’ils ne sont pas gérés avec soin.
Mise en œuvre pratique
Pour les organisations qui cherchent à intégrer des considérations éthiques dans leurs stratégies de cybersécurité, Raymond recommande trois étapes concrètes: adopter une charte d’éthique de la cybersécurité au niveau du conseil d’administration, intégrer la confidentialité et l’éthique dans les décisions technologiques lors de la sélection des fournisseurs, et de l’opérationnalisation de l’éthique et de la formation complète et des contrôles qui expliquent non seulement ce que ce soit, mais pourquoi cela compte.
À mesure que le paysage de la cybersécurité évolue, les entreprises qui prospéreront sont celles qui reconnaissent les pratiques de cybersécurité éthiques comme fondement des progrès technologiques durables et fiables, et non comme des contraintes sur l’innovation. À l’avenir, les organisations doivent innover de manière responsable et maintenir la surveillance humaine et les principes éthiques dont la confiance numérique a besoin.
