Dans un point de vue récent nous soulignons la montée en puissance de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), son travail de renforcement de la sécurité des données, notamment par ceux que nous appelons les OIV, les Opérateurs des Infrastructures Vitales du pays : opérateurs télécoms, opérateurs de services publics, banques, hôpitaux, etc.

Des moyens insuffisants

Nous sommes cependant encore bien loin du niveau nécessaire de prise en compte, de maturité individuelle que chaque collaborateur de ces OIV - d'abord eux mais ensuite tous les acteurs économiques - devra appliquer dans son travail quotidien. Nous sommes encore loin de la volonté stratégique et des moyens nécessaires que les entreprises doivent mettre en œuvre pour couvrir les risques et les failles, en évolution et adaptation permanentes.

Pas une semaine sans que des acteurs importants n'annoncent, spontanément ou parce que la presse les y oblige, un vol de données, une fuite d'informations ou une intrusion dans leur système. Que dire de l'opérateur national Orange qui a informé la CNIL et certains de ses abonnés qu'ils ont été « la cible d'une intrusion le 16 janvier 2014 à partir de la page « Mon Compte » de l'espace client du site Orange.fr ». Et dans son communiqué, publié par PCinpact - heureusement que les journalistes existent - l'opérateur essaie de rassurer en expliquant que « les mots de passe ne sont pas concernés. » Facile de le dire quand on imagine les utilisations possibles de ces 800 000 identités : phishing, hacking, prolifération de malwares, revente et usurpation d'identités, etc.

Une prise de conscience trop lente

Plusieurs éléments structurels expliquent probablement la lenteur de la prise de conscience de la sécurité des données. D'abord la croissance très rapide de l'Internet qui est aujourd'hui devenu une part importante de notre vie. Ces dix dernières années ont vu l'explosion de l'usage d'Internet grâce aux applications que tous les acteurs économiques, historiques ou nouveaux venus, ont bâti sur le modèle du e-quelquechose (souvenons-nous du célèbre Be « e » or be eaten, du début des années 2000).

Cette croissance fulgurante, propulsée par la création de nouvelles activités, par des gains en productivité et par des sources d'économies (par exemple, la dématérialisation des processus au sein des entreprises) ou par de nouveaux services à valeur ajoutée, a d'abord été dictée par le cœur-business, laissant au second plan la sécurité ou les performances d'accès et d'usages. Les banques et les telcos ont été les premières à accorder quelque importance à la sécurité. Mais, le domaine évolue fonctionnellement et technologiquement très vite - les dangers et les menaces aussi - ce qui implique une prise en charge permanente de la sécurité.

Les acteurs de l'internet ont minimisé les risques

Un deuxième élément structurel explique également la lenteur de la prise en compte de la sécurité. Les applications phares de l'Internet telles que Facebook, Snapchat ou Google, reposent sur l'exploitation et la monétisation des données personnelles. Agréger des informations d'usage de l'Internet, de géolocalisation, de paiement en ligne avec des données personnelles volontairement saisies par les utilisateurs, fournit une connaissance très précise de ces derniers.

Les acteurs de l'Internet, dont certains ont tout fait pour que l'utilisateur oublie jusqu'à l'existence même de l'univers de l'Internet au profit de son espace applicatif restreint, ont donc volontairement minimisé les risques pour développer leurs applications. Et pourtant pour l'utilisateur lambda, la sécurité est l'élément clé de l'acte d'achat sur Internet (lors d'un achat, qui ne vérifie pas l'existence du petit cadenas en bas de la page du cybermarchand ?!).

A cela, s'ajoutent certaines autres raisons comme les coûts, la difficulté d'établir un Return on invest (ROI) sur la sécurité, le manque de ressources humaines, etc.

Les banques, un cas particulier

Les banques constituent un cas intéressant, voire un bon exemple sous l'angle de la sécurité. Elles ont toutes ouvert leurs systèmes d'information pour donner de la visibilité à leurs clients. Puis, elles ont ajouté des outils de gestion en ligne, fonctionnellement de plus en plus riches. Elles sont gagnantes sur deux tableaux : la réduction des coûts de fonctionnement en agence grâce à l'Internet mais aussi les effets de liberté, visibilité, universalité, autonomie,… apportées aux clients. Mais, à cause de leur métier et de leur grande habitude à gérer des systèmes d'information, les banques ont en parallèle investi dans la sécurité des transactions en ligne et la protection des informations. Restent les problèmes de stockage des transactions et des données de paiement. Mais là aussi, les grands opérateurs de cartes Visa, Amex, MasterCard, devant la croissance des incidents, ont bâti et imposé leur propre norme de sécurité (PCI DSS). Et cette norme de l'industrie couvre tous les acteurs utilisant des paiements par carte de crédit.

Une multiplication des incidents

Ces dernières années et en particulier ces derniers mois, la multiplication des incidents de sécurité est pourtant forte. L'ANSSI, la CNIL et les obligations légales et réglementaires sont la source d'un progrès, certes forcé, mais qui au final contraindra les acteurs, OIV et autres, au renforcement constant de la sécurité ; eh oui ! Constant, régulier et permanent, car la sécurité Internet n'est pas une destination figée mais un voyage permanent dont l'horizon recule sans cesse.

L'autre clé ? Ce sont les utilisateurs, les clients - personnes physiques et entreprises - qui, comme pour le critère coût/prix des services payés, seront de plus en plus sensibles aux éléments de protection de leurs données. La sélection des acteurs se fera entre ceux qui mettront les moyens et l'énergie nécessaires pour garantir la protection des informations et les autres. Et, la presse publiera très certainement des analyses et des classements des prestataires de services Internet suivant ce critère de sécurité (par exemple avec un scoring ou une notation de la sécurité du Service informatique, à l'instar de ce qui se fait pour les marchés de l'assurance ou des dettes). Et ce sera pour le bien de tous !