Nouveau code de conduite de l’ISC2 : un changement profond dans le monde de la cybersécurité
La désinformation, les menaces numériques et l’IA posent de grands défis à la cybersécurité. Pour maîtriser ces risques, de simples pare-feux ne sont pas suffisants : les cadres et spécialistes sont tenus d’agir de manière responsable. La nouvelle norme en la matière est le nouveau code de conduite de l’ISC2.
Le slogan « Plus vite, plus haut, plus fort » des Jeux olympiques s’applique à merveille à la transformation numérique : il y a toujours plus de possibilités de collecter, analyser et interpréter des données, et ce – grâce à l’intelligence artificielle – à un rythme à peine perceptible.
Automatisation, processus de décision basée sur des algorithmes et l’interaction de plus en plus étroite entre l’homme et la machine nécessite davantage que de simples mesures techniques pour protéger les utilisateurs. Sans un discours éthique, la technologie n’a aucune valeur, si elle n’est pas franchement dangereuse. La cybersécurité sans éthique : un « no go » absolu.
Tout comme le slogan des Jeux olympiques, il faut également ajouter « ensemble » à la gestion de la transformation numérique : des directives éthiques auxquelles les professionnels du secteur de la cybersécurité doivent se conformer sont nécessaires. Le nouveau code de conduite de l’ISC2 – le Code of Professional Conduct – en est l’une d’entre elles.
Quelles sont les nouveautés du code de conduite de l’ISC2 ?
Le code de conduite de l’ISC2, le « Code of Professional Conduct » est un guide global pour les experts en cybersécurité développé par près de 1400 expertes et experts. Il définit clairement les attentes concernant les obligations et les responsabilités incombant aux cadres et aux expertes et experts en informatique.
Avec ces principes faisant office de norme de sécurité informatique en 2026, les professionnels peuvent prendre des décisions éclairées et ainsi renforcer la confiance dans la technologie. Le code de conduite doit notamment servir de base dans les situations pour lesquelles il n’existe pas encore de règles claires. En effet, le domaine de la cybersécurité évolue à un rythme si effréné que les spécialistes doivent souvent trouver des solutions à des problèmes jusqu’alors inconnus.
Le Code of Professional Conduct est basé sur le code éthique de l’ISC2. Ces deux directives se complètent et mettent l’accent chacune sur différents aspects :
| Code of Ethics | Code of Professional Conduct | |
| Focus | Valeurs fondamentales | Instructions concrètes |
| Caractère | Général | Pratique, détaillé |
| But | Guide pour prise de décision éthique | Norme globale pour les expertes et experts en cybersécurité |
| Caractère contraignant | Pour tous les membres de l’ISC2, prérequis pour les certifications ISC2 | N’est pas limité aux membres de l’ISC2, mais est pensé pour toute la communauté de la cybersécurité |
La différence entre ces deux directives peut être résumée ainsi : si le code éthique explique les principes et met l’accent sur l’importance pour les professionnels de l’informatique d’agir de manière éthique, le code de conduite traduit ces principes en instructions concrètes et décrit le comportement optimal des professionnels dans leur travail.
Les deux piliers de la responsabilité
Le code de conduite de l’ISC2 établit des principes éthiques qui permettent aux professionnels de la cybersécurité d’agir de manière équitable et responsable et de prendre des décisions éclairées, même dans des situations complexes. Le code repose donc sur deux principes directeurs « l’éthique » et « la déontologie ».
Éthique
Le premier pilier traite des thèmes qui contribuent à protéger la société et préservent la bonne réputation de la profession :
- Intégrité : assurer honnêteté et transparence dans tous les domaines d’activité
- Confidentialité : traitement responsable de tous types de données
- Respect des lois, règlements et directives d’entreprise
- Reconnaître les risques et promouvoir des pratiques sûres
- Approche responsable des nouvelles technologies
Déontologie
Le deuxième pilier se consacre aux obligations concrètes qui incombent aux professionnels de la cybersécurité :
- Responsabilité et obligation de rendre des comptes : protéger les humains et les données, communiquer clairement les risques
- Collaboration : collaboration respectueuse, communication claire
- Communiquer honnêtement sur ses propres compétences
- Amélioration continue grâce à la formation continue
- Annoncer les problèmes et failles de sécurité
La cybersécurité à l’ère de l’IA
L’intelligence a de nombreux effets positifs sur notre quotidien professionnel : elle améliore la collaboration dans les équipes et augmente la productivité. Même dans le domaine de la cybersécurité, l’IA est présente, à la fois comme bouclier et comme arme d’attaque.
Les hackers utilisent les technologies pour attaquer rapidement et adapter les attaques à leurs victimes, par exemple à l’aide de deepfakes. Pour se protéger contre les cyberattaques, l’IA est avant tout utilisée sous forme de Machine Learning pour scanner les malwares et reconnaître plus rapidement les codes malveillants, y compris les nouveaux.
Selon une étude de Trend Micro, près de 77% des entreprises suisses utilisent des outils d’IA pour renforcer leur cyberdéfense. Parallèlement, les entreprises considèrent la technologie comme le deuxième plus grand risque, juste derrière les cyberattaques. Probablement aussi parce que l’IA est déjà bien installée dans le quotidien professionnel des Suissesses et des Suisses : plus de 88% des employés de bureau utilisent cette technologie, mais une personne sur deux s’en sert sans précaution et saisit même des données sensibles dans des applications.
À l’ère de l’IA, une coexistence numérique sécurisée nécessite urgemment la mise en place d’un cadre réglementaire standardisé et des directives contraignantes. Parmi celles-ci, on compte notamment des mesures techniques comme le modèle Zero Trust, le chiffrement de bout en bout et un contrôle clair des identités tout autant que les recommandations éthiques figurant dans le code de conduite de l’ISC2. C’est la seule façon d’empêcher l’émergence d’un monde parallèle incontrôlé d’applications d’IA, la « Shadow AI ».
Les avantages pour les entreprises et les professionnels
Les responsabilités que portent les expertes et experts en cybersécurité sont énormes : ils protègent les individus, les organisations et les systèmes du monde entier contre les attaques. Le Code of Professional Conduct constitue un terrain d’entente pour les entreprises et les professionnels de la cybersécurité et revêt donc une grande valeur. En effet, il les soutient pour résoudre des problèmes complexes, pour se protéger juridiquement et renforce ainsi la confiance des pairs, des parties prenantes et de la clientèle.
En tant que professionnel, vous pouvez d’ailleurs attester de vos compétences en cybersécurité grâce aux certifications de l’ISC2. Nos formations en Suisse vous permettent de vous préparer de manière à la certification ISC2.
Perspectives d’avenir : Le code de conduite de l’ISC2 comme « document vivant »
Le nouveau Code of Professional Conduct repose sur l’expérience de près de 1400 expertes et experts qui ont participé bénévolement à sa réalisation. Mais ce n’est pas un document gravé dans le marbre. Au contraire, ce code de conduite doit être compris comme un « document vivant » et donc être continuellement complété et affiné – parallèlement au développement continu de la branche de la cybersécurité.