Dans l’Antiquité, Esope disait que la langue était la meilleure et la pire des choses... Sans doute, cela s’applique-t-il aussi à l’économie numérique de nos jours ! Il suffit pour s’en convaincre de constater la crise de confiance qu’elle traverse actuellement.
En effet, alors que les organisations intègrent de plus en plus le numérique dans la gestion de leurs activités et que les individus sont de plus en plus connectés, l’actualité nous remonte des informations qui font froid dans le dos sur des opérations de hacking, de phishing, d’intrusion dans les systèmes informatiques, d’usurpation d’identité et autres.
Quelques exemples récents
Les exemples sont désormais légions et les consommateurs s’inquiètent, à juste titre, des risques qu’ils encourent en confiant leurs données personnelles à des organisations publiques ou privées. Ces dernières montrent n’avoir pas toujours une expertise approfondie de la sécurité pour les protéger contre ces attaques malveillantes. Cependant, parfois aussi, leurs données sont utilisées par ces mêmes organisations abusivement et à leur insu.
Nous sommes devenus des « POI »
A l’origine, un POI désignait un point d’intérêt, c’est-à-dire un site public ou privé (monuments, hôpitaux, écoles, musées, stations-service...) dont les coordonnées X, Y, Z permettaient un référencement utilisable par les systèmes d’information géographique. C’est bien sûr toujours le cas et la géolocalisation par GPS par nos systèmes de guidage embarqués ou nos téléphones mobiles en est le meilleur exemple.
Pour autant, les objets connectés que nous portons quotidiennement sur nous ou qui nous entourent nous transforment progressivement en « POI » = Persons Of Interest. En effet, que nous en ayons conscience ou pas, nous laissons régulièrement des traces numériques qui reflètent nos habitudes quotidiennes.
Lire ses mails, y répondre, les supprimer, utiliser son mobile, surfer sur le web, consulter un site Internet, utiliser des services en ligne, avoir chez soi un compteur électrique intelligent... en voilà quelques exemples.
Conservées sur une longue période, intégrées dans des bases de données, traitées et analysées grâce au data mining par de puissants algorithmes auto apprenants, ces données représentent un véritable pactole pour les entreprises, d’une manière générale, et pour certains acteurs (Apple, Google, Amazon, Facebook, Twitter...), en particulier.
Il leur est désormais possible de tout connaître sur nos habitudes et d’anticiper ainsi nos besoins. Nos données personnelles valent, en effet, beaucoup d’argent. Le Smart Data succède ainsi au Big Data. Cependant, que les choses soient claires, le numérique en tant que tel n’est pas ici mis en cause, mais plutôt les utilisations débridées des données personnelles qui en sont faites sans anonymisation et à l’insu de leurs propriétaires.
Les organisations sont pourtant soumises à des obligations de privacy pour les collectes de données personnelles afin de respecter la vie privée des utilisateurs. En France, la CNIL a pour rôle de protéger les utilisateurs contre les usages abusifs relatifs à leurs données. Cela passe par une information explicite faite à l’utilisateur, par une acceptation de sa part au moyen de l’opt-in, par une durée de conservation des données dûment déclarée, par une description des usages qui en seront faits, par des dispositifs de sécurité mis en œuvre dès la conception du système d’information (Privacy by Design) : serveurs, réseaux, stockage, locaux sécurisés, accréditations, niveaux d’habilitation, identification, management des risques...
Le nouveau règlement européen GDPR (General Data Protection Regulation) va dans le même sens. Il s’appliquera dès 2018 à toute entreprise, association, collectivité territoriale, administration et syndicat d’entreprise dès lors que cette organisation collecte, traite et stocke des données personnelles. En cas d’intrusion ou de piratage, l’organisation devra le notifier à la CNIL en France sous 72 heures maximum ainsi qu’aux personnes directement concernées par les risques liés à cet événement. Qui plus est, il reviendra à l’organisation d’indemniser les personnes qui auront été lésées matériellement ou moralement. Des sanctions financières assez lourdes lui seront également infligées s’il s’avère qu’elle n’a pas appliqué les règles de sécurité prônées par l’état de l’art du moment. Cela vise à responsabiliser les acteurs concernés.
Comme on peut le constater, les choses commencent à bouger parce que les utilisateurs (citoyens et consommateurs) n’acceptent plus que leurs données personnelles soient aussi mal protégées mettant ainsi en cause la confiance numérique et par le fait que le régulateur a fini par prendre conscience des risques énormes tant économiques, politiques que sociaux auxquels les états et les organisations se trouvaient exposés parce que la privacy et la sécurité des SI n’étaient pas traitées en profondeur. C’est pourquoi l’audit régulier des SI s’impose afin d’identifier leurs failles et d’engager les actions nécessaires pour y remédier. Il vaut mieux, en effet, analyser le plus en amont possible les causes possibles de hacking par le management des risques et une politique de sécurité adaptée que de devoir gérer leurs conséquences désastreuses a posteriori.
Cet article de DIGINOVE Consulting est également paru dans la Lettre hebdomadaire des TIC distribuée par notre partenaire, la Mission ECOTER, à ses adhérents.
Quelques exemples récents
- La société SONY Pictures Entertainment a fait l’objet d’un piratage massif de ses données en novembre 2014. Parmi ces données, se trouvaient 5 films dont 4 n’étaient pas encore sortis en salle. Les pirates réclamaient le versement d’une rançon pour ne pas rendre publiques les données récupérées et le retrait du film « The interview » qui mettait à mal la Corée du Nord et son dirigeant. A l’origine de ce désastre, un malware (ou ver informatique) implanté dans leur système qui a coûté plusieurs millions de dollars à cette société.
- La société GEMALTO, leader mondial de la sécurité numérique, a fait l’objet de tentatives d’intrusion en 2010 et 2011, vraisemblablement liées à la NSA (américaine) et au GCHQ (britannique) impactant son image et sa notoriété. Ces actions visaient à récupérer les clés de chiffrement des cartes SIM. Cette manœuvre devait leur permettre de suivre les échanges téléphoniques vocaux et le trafic de données émanant des clients des opérateurs mobiles au niveau mondial. Là aussi, l’implantation d’un malware sur plusieurs ordinateurs de cette société aurait permis d’accéder à son réseau, mais également au système de paiement des opérateurs mobiles.
- De nombreux sites américains tels que Twitter, Netflix, Spotify, eBay et plusieurs plates-formes de médias ont fait l’objet tout récemment d’une cyberattaque. Leurs serveurs ont été rendus indisponibles par le fait de multiples requêtes adressées par des pirates. L’origine de cette cyberattaque n’est pour le moment pas connue, mais le Département de sûreté intérieure américain mène son enquête. En attendant, ce sont des millions d’utilisateurs qui sont pénalisés et les entreprises concernées voient leur chiffre d’affaires directement impacté.
- La messagerie Yahoo ! a été piratée et 500 millions de comptes personnels auraient ainsi été volés par des hackers (nom, adresse, numéro de téléphone). Alors que des négociations pour son rachat par Verizon sont actuellement en cours, cette nouvelle tombe très mal. Cela aura nécessairement des répercussions à la baisse sur le montant de 4,4 milliards d’euros auquel Yahoo ! était valorisée jusqu’à présent.
- La mise sur écoute d’un téléphone mobile est également une pratique développée à l’insu de son propriétaire par les agences de renseignement. C’est pourquoi la chancelière allemande Angela Merkel exige qu’avant le démarrage d’une réunion, les téléphones mobiles des participants restent à l’extérieur de la salle. Elle est récemment intervenue auprès de Barack Obama en se plaignant du fait que son propre mobile avait fait l’objet d’une surveillance par la NSA.
- L’usurpation d’identité peut affecter aussi bien les entreprises que les particuliers. Qu’il s’agisse d’un faux site web, du piratage d’une adresse mail, d’une fraude bancaire ou du vol de papiers, les conséquences peuvent s’avérer désastreuses. La société COLAS en a fait dernièrement les frais. Des escrocs se faisant passer pour elle ont tenté d’ouvrir des comptes-client auprès de différents prestataires ou de lancer des commandes en se faisant passer pour elle, usurpant au passage le nom de son directeur des achats. Pour parachever leur usurpation d’identité, ils n’ont pas hésité à utiliser son KBis, son RIB, sa dénomination sociale, son logo et sa marque. Une action pénale a été engagée à leur encontre.
- Le mouse jacking est la nouvelle technique utilisée pour le vol de voitures : elle s’appuie sur l’électronique embarquée dans les véhicules. Le voleur utilise un petit boîtier pour brouiller les ondes au moment où vous fermez votre voiture. Il pénètre ensuite dans l’habitacle et peut démarrer le véhicule en se branchant sur la prise diagnostic OBD (On Board Diagnostic) et reprogrammer une nouvelle clé.
Les exemples sont désormais légions et les consommateurs s’inquiètent, à juste titre, des risques qu’ils encourent en confiant leurs données personnelles à des organisations publiques ou privées. Ces dernières montrent n’avoir pas toujours une expertise approfondie de la sécurité pour les protéger contre ces attaques malveillantes. Cependant, parfois aussi, leurs données sont utilisées par ces mêmes organisations abusivement et à leur insu.
Nous sommes devenus des « POI »
A l’origine, un POI désignait un point d’intérêt, c’est-à-dire un site public ou privé (monuments, hôpitaux, écoles, musées, stations-service...) dont les coordonnées X, Y, Z permettaient un référencement utilisable par les systèmes d’information géographique. C’est bien sûr toujours le cas et la géolocalisation par GPS par nos systèmes de guidage embarqués ou nos téléphones mobiles en est le meilleur exemple.
Pour autant, les objets connectés que nous portons quotidiennement sur nous ou qui nous entourent nous transforment progressivement en « POI » = Persons Of Interest. En effet, que nous en ayons conscience ou pas, nous laissons régulièrement des traces numériques qui reflètent nos habitudes quotidiennes.
Lire ses mails, y répondre, les supprimer, utiliser son mobile, surfer sur le web, consulter un site Internet, utiliser des services en ligne, avoir chez soi un compteur électrique intelligent... en voilà quelques exemples.
Conservées sur une longue période, intégrées dans des bases de données, traitées et analysées grâce au data mining par de puissants algorithmes auto apprenants, ces données représentent un véritable pactole pour les entreprises, d’une manière générale, et pour certains acteurs (Apple, Google, Amazon, Facebook, Twitter...), en particulier.
Il leur est désormais possible de tout connaître sur nos habitudes et d’anticiper ainsi nos besoins. Nos données personnelles valent, en effet, beaucoup d’argent. Le Smart Data succède ainsi au Big Data. Cependant, que les choses soient claires, le numérique en tant que tel n’est pas ici mis en cause, mais plutôt les utilisations débridées des données personnelles qui en sont faites sans anonymisation et à l’insu de leurs propriétaires.
Les organisations sont pourtant soumises à des obligations de privacy pour les collectes de données personnelles afin de respecter la vie privée des utilisateurs. En France, la CNIL a pour rôle de protéger les utilisateurs contre les usages abusifs relatifs à leurs données. Cela passe par une information explicite faite à l’utilisateur, par une acceptation de sa part au moyen de l’opt-in, par une durée de conservation des données dûment déclarée, par une description des usages qui en seront faits, par des dispositifs de sécurité mis en œuvre dès la conception du système d’information (Privacy by Design) : serveurs, réseaux, stockage, locaux sécurisés, accréditations, niveaux d’habilitation, identification, management des risques...
Le nouveau règlement européen GDPR (General Data Protection Regulation) va dans le même sens. Il s’appliquera dès 2018 à toute entreprise, association, collectivité territoriale, administration et syndicat d’entreprise dès lors que cette organisation collecte, traite et stocke des données personnelles. En cas d’intrusion ou de piratage, l’organisation devra le notifier à la CNIL en France sous 72 heures maximum ainsi qu’aux personnes directement concernées par les risques liés à cet événement. Qui plus est, il reviendra à l’organisation d’indemniser les personnes qui auront été lésées matériellement ou moralement. Des sanctions financières assez lourdes lui seront également infligées s’il s’avère qu’elle n’a pas appliqué les règles de sécurité prônées par l’état de l’art du moment. Cela vise à responsabiliser les acteurs concernés.
Comme on peut le constater, les choses commencent à bouger parce que les utilisateurs (citoyens et consommateurs) n’acceptent plus que leurs données personnelles soient aussi mal protégées mettant ainsi en cause la confiance numérique et par le fait que le régulateur a fini par prendre conscience des risques énormes tant économiques, politiques que sociaux auxquels les états et les organisations se trouvaient exposés parce que la privacy et la sécurité des SI n’étaient pas traitées en profondeur. C’est pourquoi l’audit régulier des SI s’impose afin d’identifier leurs failles et d’engager les actions nécessaires pour y remédier. Il vaut mieux, en effet, analyser le plus en amont possible les causes possibles de hacking par le management des risques et une politique de sécurité adaptée que de devoir gérer leurs conséquences désastreuses a posteriori.
Cet article de DIGINOVE Consulting est également paru dans la Lettre hebdomadaire des TIC distribuée par notre partenaire, la Mission ECOTER, à ses adhérents.
Flux RSS