Blog GlobalSign

09 janv. 2018

Vérifiez vos sources : ne croyez pas tout ce qu’on écrit sur la cybersécurité

Aujourd’hui, la cybersécurité fait beaucoup parler d’elle. La plupart d’entre nous, non-techniciens dans l’âme, n’auraient même jamais compris le concept de l’HTTPS et de l’icône en forme de cadenas si Google n’avait pas commencé à changer son interface utilisateur pour encourager le chiffrement. Pourtant, nous arpentons actuellement la Toile à la recherche de solutions pour éviter ces indésirables messages d’avertissement qui ne tarderont pas à faire leur entrée.

Entrepreneurs, développeurs de sites web et experts SEO se familiarisent actuellement avec les avantages de la technologie SSL et des infrastructures de gestion de clés publiques (PKI) sur Internet. Nous comptons sur les moteurs de recherche pour nous éclairer sur ce qu’est une PKI et sur le fonctionnement des certificats SSL. Nous utilisons également les forums pour trouver des réponses à nos problèmes d’implémentation et de configuration. Dans le même temps, les sites d’informations nous tiennent au fait des dernières évolutions et prouesses dans le monde de la cryptographie et de la sécurité. Mais voilà, nous arrive-t-il de vérifier l’origine de ces articles, billets de blog et autres commentaires sur les forums ? Comment être sûr que ce que nous lisons est exact ?

Plantons le décor

Avant d’entamer ma diatribe, je voulais partager avec vous quelques informations me concernant, afin que vous compreniez mieux d’où vient mon point de vue. Cela fait maintenant deux ans que je travaille dans le secteur de la cybersécurité. Diplômée en langue anglaise et communication, j’ai d’abord passé cinq ans dans l’univers du marketing. Au cours de ces deux dernières années chez GlobalSign, j’ai ÉNORMÉMENT appris sur la cybersécurité et l’infrastructure de gestion de clés publiques (PKI). Et je pèse mes mots.

Puisque je travaille surtout sur le blog, je me concentrerai sur ce dernier. Toutefois, ce qui suit s’applique à tous les types de contenus signés GlobalSign.

J’organise un groupe de brainstorming pour le blog, dans lequel mes collègues discutent du contenu des prochains billets, qu’il s’agisse de cibler un mot ou une expression clé ou d’exposer notre avis d’expert sur un sujet particulier. Nous prenons également le temps de désigner les auteurs de ces billets. Si un membre de l’équipe marketing doit écrire pour le blog, le processus ne se limite jamais aux seules étapes de rédaction, de publication et de diffusion.

En fonction du degré de technicité du contenu, un membre de l’équipe responsable des produits, de celle chargée de l’infrastructure ou de l’ingénierie commerciale lui prêtera souvent main-forte. Ces collaborateurs techniques nous transmettront des informations brutes (généralement dans le cadre d’une conversation informelle), que nous structurerons de façon claire, en les optimisant pour les moteurs de recherche. Puis, ces mêmes experts liront notre billet pour vérifier son exactitude. Si besoin, un autre profil technique le lira également. Une fois le contenu technique approuvé dans son intégralité, le billet doit encore être soumis à la validation de notre responsable des contenus marketing (message), avant d’être finalement relu par notre responsable marketing senior (grammaire et style).

Voilà toute la démarche pour un seul billet de blog.

Pourquoi sommes-nous si minutieux ? Parce que nous nous adressons à une communauté très « technique » en quête de réponses à des questions spécifiques. Ils ne souhaitent donc pas être induits en erreur. La confiance est une composante essentielle de nos solutions cryptographiques, et de nos contenus. Vous devez pouvoir vous fier sans crainte à nos informations sur le chiffrement et les infrastructures PKI. Ainsi, nous vous aidons à mieux assurer votre cybersécurité, avec à la clé un Internet plus sûr et plus sécurisé.

Problème : les auteurs de contenus sur la cybersécurité

Si la communauté informatique ne se laisse pas facilement berner par des contenus inexacts, qu’advient-il des dirigeants d’entreprise, des experts SEO et des créateurs de sites web ? Si demain ils trouvaient un article consacré à la cybersécurité, comment pourraient-ils s’assurer de l’exactitude et de la véracité des informations fournies ?

Très franchement, ils n’ont aucun moyen de vérifier. C’est d’ailleurs l’un des problèmes sur Internet aujourd’hui à l’origine des campagnes contre les « informations bidon » en ligne. Le mot est lâché : « information bidon » (les fameuses « fake news » en anglais). Mais n’ayez crainte, je ne m’élève pas ici contre le journalisme. Je ne supporte pas qu’on induise des professionnels en erreur.

Comme l’un de nos commerciaux l’a si bien exprimé sur LinkedIn :

Vous trouverez tellement d’informations sur le SSL qui sont rédigées par des « gourous » du marketing. Certes, le protocole HTTPS sur un site web booste votre référencement et votre classement dans les résultats de recherche Google. Mais ce n’est pas pour cela que les certificats SSL ont été créés.

Ils ont été conçus pour vous permettre d’identifier votre interlocuteur lorsque vous utilisez un site web et pour vous assurer que personne d’autre ne voit ce que vous saisissez. C’est tout. Le reste ne vise qu’à encourager la sécurité.

Si vous utilisez le SSL pour booster vos taux de conversion plutôt que pour protéger vos clients et votre entreprise, vous avez tout faux.

Ici, il identifie très bien le cœur du problème, à savoir la rédaction de contenus sur la cybersécurité par des auteurs sans expertise. Par exemple, lorsqu’ils vous expliquent comment installer et configurer un certificat SSL, les experts SEO n’adoptent probablement pas la bonne approche. Ainsi, bien qu’ils contribuent tous à justifier une utilisation accrue du chiffrement, ils pourront parfois involontairement fournir des informations inexactes à leurs lecteurs.

Autre erreur des entreprises de cybersécurité : confier la rédaction de leur contenu à un copywriter, ou rédacteur publicitaire. Cela fait normalement partie des bonnes pratiques dans un certain nombre de secteurs, comme la cybersécurité dans une certaine mesure. Mais voilà, comment ce rédacteur va-t-il retranscrire les subtilités de la sécurité des data centers, ou encore celles d’une vulnérabilité logée au cœur d’une bibliothèque de fichiers ? Si l’informatique et, a fortiori, le chiffrement ne lui sont pas familiers, comment parviendra-t-il à expliquer ces concepts ? Enfin, qu’adviendra-t-il lorsqu’un spécialiste trouvera votre billet truffé d’inexactitudes ? La cote de confiance de votre entreprise en souffrira et vous induirez des décideurs en erreur.

Solution : analysez vos lectures

J’ai posé une question simple à mes contacts LinkedIn. « Lorsque vous lisez un billet de blog ou un article en ligne, prêtez-vous attention à l’auteur ? Son identité influence-t-elle le crédit que vous accordez à ses propos ? » Si certains voient l’auteur d’un œil sceptique, la plupart des consommateurs de contenus ne considèrent même pas son identité comme un critère déterminant.

Rappelez-vous bien : la confiance joue aussi un rôle important dans la communication écrite. Vous devez pouvoir vous fier aux publications et auteurs que vous lisez pour éviter d’assimiler de fausses informations. Sinon, vous risqueriez de les insérer dans une présentation à vos supérieurs, de bâtir tout un projet de gestion du changement autour de ces informations ou pire encore, de perdre un temps considérable.

Certes, il incombe tant aux entreprises qu’aux auteurs de veiller à l’exactitude de leurs contenus. Mais c’est à nous aussi de ne pas croire tout ce que nous lisons sur Internet. Nous devons émettre nos propres hypothèses sur la base des informations dont nous disposons. Alors, lorsque vous lirez en ligne votre prochain article sur la cybersécurité, posez-vous les bonnes questions :

  • Qui est l’auteur ?
  • Pour quelle entreprise travaille-t-il ?
  • En quoi est-il qualifié pour écrire cet article ?
  • Quel est l’objectif de ce contenu ? Qu’est-ce que l’entreprise y gagne ?
  • Quels autres articles de ce type a-t-il écrits ?
  • Mentionne-t-il des rapports externes pour étayer ses déclarations ? A-t-il fait suffisamment de recherches ?

Le dernier point est essentiel. Si l’auteur fait référence à d’autres billets de blog écrits par des personnes dont la légitimité est tout aussi contestable, cela n’est pas toujours suffisant. Mais, s’il vous renvoie vers des sites, des rapports et des études fiables et de qualité qui corroborent ses propos, il a plus de chances de mériter votre confiance.

Pour finir, j’aimerais vous inviter à adopter cette démarche toute simple : la prochaine fois que vous lisez un article consacré à la cybersécurité et que l’auteur prétend avoir réponse à tout, posez-vous les questions ci-dessus et demandez-vous si les informations fournies sont dignes de confiance.

Pour poursuivre cette discussion, n’hésitez pas à écrire un commentaire ci-dessous ou à me contacter sur Twitter (@globalsign).

Partager ce blog