Sécurité des données : une affaire de psychologie avant tout

La sécurité est un sentiment. On « aime » se « sentir » en sécurité. Aussi, le débat sur la sécurité des données informatiques ne peut pas se résumer à l'établissement d'une liste de bonnes pratiques à suivre ou d'interdictions à respecter, mais doit également s'intéresser aux craintes éventuelles exprimées par les usagers, qu'ils soient utilisateurs finaux, développeurs, entrepreneurs ou cadre dans une grande entreprise. C'est par l'étude de ce sentiment d'insécurité (auquel nos comportements numériques sont intimement liés) et des raisons de son existence, que nous progresserons sur le sujet, en détectant les failles des systèmes mis en place.

Combien d'internautes utilisent les boutons de login sociaux (connect with Google, Facebook ou Twitter) alors même qu'ils affirment ne pas aimer le faire ? Si le besoin de « rester connecté » l'emporte, en général, sur la crainte relativement faible de disséminer des informations personnelles, il n'empêche : au fond de nous, le sentiment de jouer à une forme de roulette russe virtuelle à du mal à disparaître. La probabilité de faire tomber nos données entre de mauvaises mains n'est pas nulle.

500 millions d'euros de fraude à la carte bancaire

Cette probabilité s'avère particulièrement fâcheuse lorsque les GAFA (Google, Amazon, Facebook, Apple) ou d'autres acteurs d'Internet ne se contentent plus d'exiger nos identifiants de connexion, mais nous demandent des données sensibles, comme nos codes de carte bancaire. Notre crainte devient alors palpable. Et pour cause : en 2014, en France, 0.08% des transactions par carte étaient frauduleuses, pour un montant évalué à 500 millions d'euros. En 2013, 840 000 personnes ont dû envoyer une lettre recommandée à leur banque pour déclarer une fraude à la carte bancaire. Un chiffre en constante augmentation.

Chiffrement systématique

Qu'une entreprise ait besoin de nos données pour nous proposer de bons deals, pourquoi pas, c'est une démarche vertueuse puisque « gagnant-gagnant », mais doit-on pour autant prendre le risque d'être détroussés ? Assurément non. Et pourtant, si certains outils sont à même de réduire drastiquement ces risques, voire de les supprimer, ils tardent à être adoptés.

Le chiffrement asymétrique a été inventé dans les années 70. Il permettrait de doter chacun d'une carte d'identité officielle équipée d'une clé privée, ne pouvant être extraite de son boitier électronique. Une bonne façon pour chacun de s'identifier, mais aussi et surtout de s'authentifier sans usurpation possible, si seulement l'État s'était emparé de cette innovation. 40 ans plus tard, il ne l'a toujours pas fait.

Manque d'innovation

Il faut dire qu'en matière d'innovation, l'Etat ne brille pas toujours par la pertinence de ses décisions. Et, quand elles sont bonnes, il pèche bien souvent dans la réalisation. Exemple : le « France connect », une bonne idée de simplification du processus d'identification à la base, qui propose le « connect with France » au lieu du « connect with Facebook ». Problème, dans la pratique, le système a été implémenté de manière très complexe, pour ne pas dire inutilisable, comme on peut le voir sur le site de l'Assurance Retraite https://www.lassuranceretraite.fr/.

Certaines innovations s'en sortent toutefois mieux que d'autres. Linky, le nouveau compteur électrique d'Enedis (ex ERDF), se propose d'aider les usagers à faire des économies d'énergie, en analysant de près leur consommation afin de leur permettre de mieux la gérer. Si certains ont exprimé leurs craintes de voir leurs données être piratées, globalement, la tendance est à la confiance. Un sentiment de sécurité qui vient du fait que certains dispositifs techniques ont été mis en place. Afin de s'appuyer sur les systèmes les plus performants et de rendre son compteur inviolable ou presque, Enedis travaille avec des experts en cybersécurité, qui simulent régulièrement des attaques sur le système. Et si, par extraordinaire, quelqu'un parvenait tout de même à forcer le verrou, pas de panique : en cas d'attaque détectée, les concentrateurs effacent automatiquement les données qu'ils contiennent.

Transparence

Mais la confiance qu'inspire le Linky ne tient pas seulement à sa fiabilité. Elle vient aussi du fait qu'Enedis a joué la transparence sur ce que le produit mesure, comment il l'envoie, à qui, et pour faire quoi. Elle vient, enfin, du fait que conformément à la demande de la CNIL, Enedis ne communiquera les données récoltées par le compteur qu'avec l'accord préalable du consommateur, selon le modèle de l'Opt in. Rien ne pourra se faire sans son consentement. Toutes ces garanties contribuent à forger un fort sentiment de sécurité, que viendra, souhaitons-le, renforcer une expérience heureuse.

Ce soin tout particulier mis à créer un sentiment de sécurité n'est malheureusement pas partagé par tous. Dans un certain nombre de grandes entreprises par exemple, la sécurité n'est qu'un mot dans un contrat, justifiant une liste de contraintes souvent sans lien avec le bon sens ni les sentiments : pour gagner un appel d'offres, une entreprise doit se conformer à des règles de prétendue sécurité mais surtout d'ordre réglementaire, uniquement normatives. Des règles qui peuvent être techniquement ineptes, mais qui doivent être respectées. C'est notamment le cas avec la plupart des entreprises bancaires, des assurances, des organismes de sécurité sociale, avec l'armée, etc.

Il arrive par exemple fréquemment, au nom d'une fausse  « sécurité » déconnectée des réalités de l'usager, que l'on empêche un développeur de faire son travail avec des outils performants, choisis par lui-même, outils sans lesquels sa productivité se trouve divisée par dix. De quoi créer des armées de techniciens frustrés et se comportant comme des robots, sans aucune créativité. Dans ces conditions, l'élaboration d'un logiciel va coûter cent fois plus cher, le développeur n'ayant pas les droits d'administration sur son poste de développement, une connexion internet avec des filtres trop restrictifs, voire pas de connexion du tout, etc. Alors que l'activité de développement n'est techniquement pas un problème de sécurité. C'est le livrable qui doit être scanné avant d'être au contact de données confidentielles, pas son mode de développement !

Analyser les raisons et craintes des managers

Mais les décisions sont souvent prises par des personnes peu au fait des détails de réalisation et des modes de développement de ce qui doit être produit, et qui peuvent rapidement prendre peur, se retranchant derrière un chapelet d'expressions creuses comme « gestion du risque » ou « principe de précaution » pour justifier des investissements absurdes dans des outils de « sécurité » parfaitement inutiles.

Ici encore, il s'agit d'analyser les raisons des craintes de ces managers, et d'essayer de répondre à ces craintes de la façon la plus rationnelle et efficace possible. Certainement pas en appliquant des consignes de sécurité de pure forme, qui les protègent de leur hiérarchie dans un premier temps mais les exposent ensuite, puisque leurs équipes, entravées, feront du moins bon travail, mais en essayant d'innover, de proposer les solutions les plus ajustées à chaque situation. C'est là la seule façon de d'éteindre durablement, et non artificiellement, le sentiment d'insécurité.

Etre connaisseur en dispositifs de sécurité ne fait qu'une infime partie du métier de la sécurité en informatique : le côté psychologique est prépondérant, la sécurité étant davantage affaire de ressenti que de technologie. Aussi, pour répondre avec justesse aux besoins de l'usager, les développeurs ne doivent pas se contenter de relever les défis techniques qui se présentent à eux, mais essayer de trouver la réponse précise à une question plus profonde : comment transformer le sentiment d'insécurité de cet usager en sentiment de sécurité ? Dialogue, compréhension et pédagogie, voilà indéniablement trois éléments de réponse.