La sécurité des données personnelles, un enjeu de taille

Alors que les grands leaders mondiaux de l’internet ont traversé l’Atlantique pour rendre visite au président Macron, reconnaissant en celui-ci un fier ambassadeur de la technologie et du développement de la Start-up Nation, les commentaires sur la sécurité de nos données personnelles alimentent les salons (et pas seulement celui de VivaTech). Nous, les européens, avons bien l’intention de nous défendre contre la menace d’engloutissement de la data par les redoutables GAFAM (auxquels il convient désormais d’ajouter des acteurs comme Netflix ou AirB&B). Mais la menace qui semble nous guetter n’est-elle pas à rechercher chez les acteurs publics qui détiennent en toute légalité bon nombre de nos informations les plus intimes ?

Comment peut-on les protéger ?

Lorsque nous fournissons notre carte vitale à notre médecin référent, lorsque nous indiquons nos revenus en détaillant nos placements, ou nos adresses, lorsque nous confions notre passeport aux agents de contrôle des frontières, quelle garantie avons-nous que les données recueillies soient protégées ?

C’est certainement ce qui a conduit le gouvernement américain du président Trump à produire un rapport dont les conclusions sont éloquentes : cela ne va pas du tout !

Alerte lancée outre-atlantique que l’on pourrait bien voir arriver sur nos territoires dans quelques mois. La situation semble très sérieuse tant les systèmes de protection sont soit manquants soit inefficaces. Quelques chiffres extraits du rapport pour illustrer le malaise ambiant :

  • Seulement 55 % des organismes publics américains limitent l’accès en fonction des caractéristiques et des rôles des utilisateurs.
  • Seulement 57 % d’entre eux examinent et assurent le suivi des privilèges administratifs.
  • Seulement 27 % des organismes fédéraux déclarent qu’ils ont la capacité de détecter et d’enquêter sur les tentatives d’accès à de grandes quantités de données, et encore moins déclarent tester ces capacités chaque année.
  • Seulement 52 % de ces organismes ont déclaré avoir validé les rôles d’intervention en cas d’incident pendant des essais réalisés au cours de la dernière année.
  • Moins de 16 % d’entre eux peuvent crypter les données au repos c’est-à-dire stockées, mais 73 % déclarent en revanche être en mesure de crypter les données en transit.

Ce rapport produit par l’OMB (Bureau de la Gestion et des Budgets) et par  la DSH (Département de la Sécurité Intérieure) indique en outre que seuls 38% des incidents (sur les 30899 répertoriés) ont permis d’identifier la méthode d’attaque ! Et ce malgré les 5,7 milliards de dollars prévus pour remédier aux différentes urgences sur une année. Aussi la question de la sécurité n’est-elle pas circonscrite à l’utilisation de appareils plus ou moins faciles à pirater. Elle se pose à toute entité physique qui stocke quelque part la data. En cela, la montée en puissance de la blockchain est peut-être une réponse. Éclater les données les plus sensibles et les dispatcher sur de multiples points afin qu’elles ne soient plus menacées par l’attaque d’un seul serveur, doit-il être envisagé comme une solution durable ?

Il appartient aux organisations gouvernementales de s’emparer du problème et c’est une fonction régalienne des Etats que d’assurer la sécurité des citoyens, donc de leurs données. La digitalisation n’est pas une garantie en elle-même. Elle induit aussi des failles. Il est urgent d’en prendre conscience dans tous les types d’organisation publique ou privée et d’imaginer de nouvelles solutions pour rendre nos données inaccessibles.