Cybersécurité - Innovations digitales et numériques

Quand bien même elles ont globalement identifié les menaces sécuritaires qui pèsent sur leur patrimoine numérique, les PME sont peu nombreuses à avoir adopté des mesures concrètes en matière de gouvernance des données. C’est l’un des principaux constats dressés par le cabinet d’audit et de conseil PwC dans la 3e édition de son étude annuelle – conduite en partenariat avec Iron Mountain – sur la perception, dans les entreprises américaines et européennes, des risques liés à la gestion des informations.

Parmi les solutions à la disposition des départements de TI pour faire face aux risques d’attaques informatiques et à la possible augmentation de la perte de contrôle sur les appareils, sur les réseaux et sur les applications, Gartner mentionne se doter d’une infrastructure avec plusieurs niveaux d’information.

La firme mentionne aussi le besoin pour les entreprises d’augmenter leurs investissements en surveillance et en analyse de sécurité, autant dans les environnements internes qu’externes, en capacités d’évaluation des menaces concernant l’information et en capacité de réponse aux incidents.

Face aux possibilités techniques d’analyse de l’information que permet aujourd’hui la technologie, la problématique du respect légal des données personnelles est à considérer sérieusement.

«L’utilisation de moyens techniques pour l’analyse de comportement, par exemple, s’apparente à un traitement de surveillance», commente Cyril Pierre-Beausse, avocat à la cour. «Or, l’utilisation des données personnelles n’est pas permise à des fins autres que ceux pour lesquelles elles ont été collectées. Compte tenu de ce constat, les sociétés qui ont collecté des données depuis des années, dans l’espoir d’en tirer profit un jour d’une manière ou d’une autre sans avoir préalablement défini à quoi elles pourraient servir, seront de la revue.»

Le «big data» ne serait-il, dès lors, qu’une belle utopie? Non. Mais pour en tirer profit, les entreprises doivent envisager les possibilités de traitement des données qu’elles vont collecter à l’avenir, prévoir ce qu’elles vont et pourront en faire, afin d’obtenir l’aval de celles et ceux qu’elles concernent.

«Il faut se préparer bien en amont, afin de pouvoir, le jour où l’on souhaitera exploiter ces informations, être en conformité avec la législation sur la protection des données. L’erreur pour une entreprise, aujourd’hui, serait de ne pas prévoir une utilisation potentielle des données que l’on compte faire plus tard», ajoute l’avocat à Cour. Dans un monde qui bouge, rien n’est moins simple.

Le problème n’est pas qui a accès à l’information mais ce qu’ils font de l’information. Si vous avez des ordinateurs beaucoup plus puissants, cela ne peut pas créer une société équitable. Au lieu d’essayer de plaider pour la transparence et le respect de la vie privée, nous devrions nous préoccuper de ce qui est fait avec les données accumulées. Nous vivons à une époque où il y a deux tendances contradictoires. D’un côté, tout le monde dit : n’est-ce pas formidable cette décentralisation du pouvoir, grâce à Twitter etc. De l’autre côté, la richesse est de plus en plus centralisée. Comment est-il possible que le pouvoir soit décentralisé et la richesse de plus en plus centralisée ? En fait le pouvoir qui est décentralisé est un faux. Quand vous tweetez, vous donnez de vraies informations aux gros ordinateurs qui traquent vos mouvements

Répartition hasardeuse des compétences, responsabilité rarement confiée aux personnes adéquates, écart entre déclarations d’intention et mesures concrètes : les PME européennes n’ont pas encore réellement intégré la sécurité des informations dans leur culture.

Telles sont les principales conclusions d’une étude menée dans 6 pays (France, Allemagne, Espagne, Royaume-Uni, Hongrie et Pays-Bas) auprès de 600 entreprises de 250 à 2500 employés par le cabinet d’audit et de conseil PwC, en collaboration avec Iron Mountain.

Les intervenants clés, tels que les cadres dirigeants, managers des équipes informatiques, équipes de sécurité et auditeurs de conformité devraient avoir une visibilité sur l’état dynamique, actuel de l’API. Ils devraient toujours être sürs que la version qu’ils regardent est la bonne version dans le contexte du cycle de vie.

Les API devraient aussi être sujettes aux processus d’authentification et d’autorisation pour protéger le patrimoine informatique de l’entreprise des abus, des menaces envers la disponibilité ou des failles de confidentialité des données, tout en s’assurant que les exigences de surveillance et de contrôle sont remplies.

« Environ la moitié des organisations estiment que ces menaces internes sont de plus en plus difficiles à détecter, et les responsables informatiques sont extrêmement inquiets de ce que leurs utilisateurs peuvent faire avec les données de leur entreprise, déclare Andrew Kellet, analyste principal chez Ovum, le cabinet d’analystes en charge de l’enquête.Ce risque se combine avec la menace posée par les cyberattaques qui visent les comptes utilisateurs – ce qui n’est pas complètement ignoré puisque 30 % des organisations citent les Menaces Persistantes Avancées comme motivation principale pour l’amélioration des défenses contre le vol de données. »

Selon Business Week, l’attaque aurait commencé quelques jours avant l’Action de grâce américaine le 28 novembre, avec l’installation du programme malveillant pour capturer des données. Un code de commande, ajouté deux jours plus tard, aurait été détecté par l’outil, qui aurait émis des alarmes qui ont été ignorées.

Décrite ainsi, la situation européenne semble tout à fait inacceptable. Et c’est dans cette optique qu’il faut lire le projet (encore un peu flou) d’un internet européen porté par Angela Merkel. Que propose la Chancelière ? De doter l’Europe de sa propre infrastructure pour garantir sa souveraineté sur les données. L’intention est bonne, mais le projet se trompe peut-être d’outils pour arriver à ses fins. Le problème de notre continent n’est pas de bâtir des clouds souverains ou un réseau internet dédié. Ce qu’il nous manque plutôt, c’est une plate-forme capable de faire produire des données (aux Européens et au reste du monde), de les raffiner et de les industrialiser ensuite pour produire nos propres services.

L’idée ici n’est pas de plaider pour l’avènement d’un Google européen. Tenter de faire émerger des copies (forcément pâles) de Facebook, Amazon ou LinkedIn serait un projet coûteux et vain. Non. Pour reprendre la main sur la production et l’exploitation des data, l’Europe doit tenter de prendre position sur la prochaine vague, celle qui se profile dès maintenant, celle de l’internet des objets. Il n’est pas écrit que les Gafa (Google, Apple, Facebook, Amazon) réussiront à dominer ce nouveau marché.

- Partie 1 : Les logiques d’exploitation derrière le Big Data du gisement de données à explorer, partagées entre une vision capitaliste extrême tendant à la consumérisation effrénée des humains et de leurs rapports, et celle plus ou moins humaniste, du moins « ouverte » de Tim berner Lee avec le web des données liées, sans parler des logiques de surveillance d’états.

Le document A 2009 de la NSA stipule que cette dernière peut « voir et lire le trafic SMS ». Ces données incluent les contact, les listes d’appels, les SMS reçus et envoyés, les notes et les données de localisation d’un utilisateur. Pour cela, la NSA a mis en place des équipes de spécialistes afin d’implanter en secret des brèches au sein de chaque système d’exploitation.