« Un débat permanent sur l’équilibre entre le secret et la responsabilité en matière de renseignement et d’application de la loi est plus que jamais essentiel. Elle soulève l’inquiétude du public quant au fait que certains des outils ayant fait l’objet d’une fuite, s’ils sont exploités de manière inappropriée, peuvent être utilisés contre la vie privée des citoyens et même contre leur sécurité ; comme le ransomware WannaCry, qui était extrêmement nuisible pour les organisations. Les fuites d’informations provenant des forces de l’ordre et des services de renseignement conduisent certainement à un environnement moins sûr pour l’ensemble des citoyens, car même les cybercriminels les moins expérimentés, sans budgets ni ressources comparables à la CIA, peuvent désormais tirer parti des résultats de leur travail pour cibler les particuliers et les entreprises.

Le problème est que la majorité des organisations, en particulier les petites entreprises, n’atteindront jamais ce niveau de protection contre les outils utilisés par les attaquants des États-nations. Cela met une pression extrêmement forte sur les fournisseurs et l’industrie de la cybersécurité, ainsi que sur les professionnels dans ce domaine. Cependant, la principale leçon que nous devrions tous tirer est que nous ne devrions pas ignorer les bases de la cybersécurité, même si le budget et l’accès aux nouvelles technologies ne peuvent être comparés à ce qu’avait la CIA.

Cette enquête montre que de nombreuses violations de données auraient pu être évitées par des pratiques assez simples, comme la limitation des droits d’accès (moindre privilège), le fait de ne pas utiliser de comptes partagés sans système PAM (Pluggable Authentication Module, module d’authentification enfichable) approprié et le contrôle de l’accès des utilisateurs aux données les plus sensibles. Il est capital que les organisations gouvernementales de ce niveau puissent présenter une cybersécurité sans faille. »