Pendant de nombreuses années, des termes tels que » liste noire » et » liste blanche » étaient couramment utilisés dans les cercles de cybersécurité et d’infosec pour désigner simplement quelle personne ou quelle application avait accès à un système ou à un réseau (et lesquelles étaient refusées).
À la suite de manifestations de plusieurs mois à l’échelle nationale sur des questions telles que l’injustice raciale et l’inconduite policière, les communautés de la cybersécurité et d’infosec ont leur propre débat sur des termes tels que « noir » et « blanc » et sur la signification de ces connotations. Est-il maintenant temps de changer la terminologie de la sécurité pour rendre l’industrie beaucoup plus juste et une communauté plus inclusive?
Certains de ces problèmes ont déjà fait surface.
À la fin du mois d’avril, alors que les manifestations aux États-Unis et ailleurs s’intensifiaient, le Centre national de cybersécurité du Royaume-Uni, qui fait partie de l’agence de renseignement britannique GCHQ et dirige l’équipe d’intervention en cas d’incident de ce pays, a publié une annonce selon laquelle il utiliserait désormais les termes « autoriser la liste » et « refuser la liste » à la place de la liste blanche et de la liste noire plus traditionnelles.
En juin, Cisco Talos, la branche de recherche sur les menaces de la division sécurité de Cisco, a annoncé une mesure similaire.
« Bien que nous reconnaissions qu’il s’agit d’un petit changement, Cisco Talos est en train de remplacer notre utilisation des termes « liste noire » et « liste blanche » par « liste de blocage » et « liste d’autorisation » », selon l’équipe de Cisco Talos. « Même si ces termes sont couramment utilisés dans l’industrie de la sécurité, nous n’accepterons pas d’attribuer par hasard des connotations positives à « blanc » tout en attribuant des connotations négatives à « noir ». »
Il y a même un débat qui se prépare pour savoir si l’un des événements les plus reconnus de la cybersécurité — BlackHat — devrait changer de nom pour refléter le débat plus large. Début juillet, David Kleidermacher, vice-président de l’ingénierie chez Google qui supervise la sécurité Android et le Google Play Store, a annoncé qu’il se retirait d’une conférence prévue pour inciter la communauté infosec à utiliser des termes plus neutres.
« Alors que beaucoup de gens prétendent à juste titre qu’ils n’ont jamais associé consciemment de tels termes au racisme, la réalité est que les mots comptent, et ces mots perpétuent la notion de « blanc » comme « bon » et de « noir » comme « mauvais » », a déclaré Michelle McLean, vice-présidente du marketing des produits chez la société de sécurité StackRox, à Dice. Son entreprise a également commencé à utiliser des termes plus neutres en matière de race et de genre tels que « autoriser la liste » et « refuser la liste. »
« Les linguistes ont longtemps prouvé que les mots façonnent directement notre conscience et notre réalité, nous devons donc prendre des mesures telles que la suppression de ces termes racistes de notre vocabulaire technique comme une petite partie d’un effort beaucoup plus important nécessaire pour créer des environnements et des opportunités positifs pour les Noirs et les autres personnes sous-représentées dans la technologie », a ajouté McLean.
Débat en cours
Bien qu’il puisse sembler que les communautés de l’informatique, des développeurs et de la sécurité n’ont commencé que récemment à débattre des choix de mots tels que la liste blanche et la liste noire, ainsi que « maître » et « esclave », les préoccupations concernant l’utilisation de ces termes et leur signification font partie de la discussion depuis un certain temps.
En 2018, par exemple, deux chercheurs irlandais ont publié un document de recherche traitant de « l’utilisation généralisée du langage raciste dans les discussions concernant la publication prédatrice », y compris les termes liste noire et liste blanche.
Thomas Hatch, directeur technique et cofondateur de la société de sécurité SaltStack, estime que non seulement des termes plus modernes et neutres sur le plan racial aident à éliminer le langage raciste, mais ils offrent également des définitions plus claires de ce que la sécurité devrait signifier pour une organisation.
« Dans le passé, la plupart d’entre nous ne considéraient pas la connotation dans les termes liste blanche et liste noire. Nous avons juste pensé à eux comme des termes informatiques standard « , a déclaré Hatch à Dice. « Cependant, s’éloigner de l’utilisation d’une terminologie qui provient spécifiquement de ces pratiques inhumaines est positif pour l’industrie de la sécurité ainsi que pour d’autres industries. Il a été rafraîchissant de voir cette tendance traverser la technologie. »
Un avenir plus parfait
Alors que le débat sur des termes tels que la liste noire et la liste blanche ne fait que commencer, et que tout le monde ne ressent peut-être pas le besoin de les changer, Heather Paunet, vice-présidente de la gestion des produits de la société de sécurité Untangle, estime que l’élimination de certaines terminologies peut maintenant porter ses fruits en rendant la cybersécurité et infosec plus inclusives et respectueuses des talents sur lesquels elles veulent s’appuyer.
« »Liste noire » et « liste blanche » sont des termes qui devaient être appris par les nouveaux arrivants dans une entreprise de sécurité ou un produit de sécurité, car il n’est pas clair quand vous les rencontrez pour la première fois ce qu’ils signifient », a déclaré Paunet. « L’utilisation de termes où il est évident que ce qu’ils font facilitera la compréhension des solutions de sécurité, ainsi que la promotion d’une culture de ne pas accepter l’utilisation d’une terminologie qui favorise des associations positives ou négatives avec les couleurs « noir » et « blanc ». » »
McLean de StackRox estime également que la mise à jour des mots utilisés par l’industrie peut aider à changer la culture, en faisant de la cybersécurité une carrière plus attrayante pour de nombreuses personnes talentueuses d’horizons divers.
» Le secteur de la sécurité ne bénéficiera que de pouvoir puiser dans un bassin de talents plus vaste et plus diversifié alors que nous travaillons ensemble pour protéger les applications et les infrastructures critiques « , a déclaré McLean. » Penser plus largement crée de meilleures solutions, et l’industrie de la sécurité a plus que jamais besoin de cet outil de talent. »