La confiance numérique traverse de nos jours une crise sans précédent dans nos Smart Cities autant au niveau des organisations que des individus. En effet, on entend de plus en plus parler de hacking, de phishing, d’intrusion dans les systèmes informatiques, d’usurpation d’identité… De ce fait, les questions de la sécurisation de notre transformation digitale ou de la réponse adaptée à produire en cas d’attaque se posent.
La confiance numérique battue en brèche
Les exemples sont désormais légions. Ceux présentés ci-après montrent à quel point nous sommes tous vulnérables et les risques que nous encourons au quotidien.
La société SONY Pictures Entertainment
Elle a fait l’objet d’un piratage massif de ses données en novembre 2014. Parmi ces données, se trouvaient 5 films dont 4 non encore sortis en salle. Les pirates ont réclamé le versement d’une rançon pour ne pas rendre publiques les données récupérées. Par ailleurs, ils exigeaient le retrait du film « The interview » qui mettait à mal la Corée du Nord et son dirigeant. A l’origine de ce désastre, un malware implanté dans leur système qui a coûté plusieurs millions de dollars à cette société.
La société GEMALTO
Ce leader mondial de la sécurité numérique a fait l’objet de tentatives d’intrusion en 2010 et 2011. Elles étaient vraisemblablement liées à la NSA (américaine) et au GCHQ (britannique). Ces actions ont eu un impact direct sur son image et sa notoriété. Pour l’essentiel, elles visaient à récupérer les clés de chiffrement des cartes SIM. Cette manœuvre devait permettre de suivre les échanges téléphoniques vocaux. Par ailleurs, elle concernait aussi le trafic de données émanant des clients des opérateurs mobiles au niveau mondial. Là aussi, l’implantation d’un malware sur plusieurs ordinateurs de cette société aurait permis d’accéder à son réseau, mais également au système de paiement des opérateurs mobiles.
De nombreux sites américains
Twitter, Netflix, Spotify, eBay et plusieurs plates-formes de médias ont fait l’objet tout récemment d’une cyberattaque. Ainsi, un très important volume de requêtes adressées par des pirates a provoqué le blocage de leurs serveurs. Même si on ne connaît pas pour le moment l’origine de cette cyberattaque, le Département de sûreté intérieure américain mène son enquête. En attendant, il y a des millions d’utilisateurs pénalisés et les entreprises concernées voient leur chiffre d’affaires directement impacté.
La messagerie Yahoo !
Les hackers ont volé 500 millions de comptes personnels (nom, adresse, numéro de téléphone) après son piratage. Alors que des négociations pour son rachat par Verizon sont actuellement en cours, cette nouvelle tombe très mal. Cela aura nécessairement des répercussions à la baisse sur la valorisation de Yahoo ! estimée à 4,4 milliards d’euros jusqu’à présent.
La mise sur écoute d’un téléphone mobile
Cette pratique se développe à l’insu de son propriétaire par les agences de renseignement. C’est pourquoi la chancelière allemande Angela Merkel exige qu’avant le démarrage d’une réunion, les téléphones mobiles des participants restent à l’extérieur de la salle. Récemment, elle est intervenue auprès de Barack Obama en se plaignant du fait que son propre mobile avait fait l’objet d’une surveillance par la NSA.
L’usurpation d’identité
Elle peut affecter aussi bien les entreprises que les particuliers. Qu’il s’agisse d’un faux site web, du piratage d’une adresse mail, d’une fraude bancaire ou du vol de papiers, les conséquences peuvent s’avérer désastreuses. La société COLAS en a fait dernièrement les frais. Des escrocs se faisant passer pour elle ont tenté d’ouvrir des comptes-client auprès de différents prestataires ou de lancer des commandes en se faisant passer pour elle. Au passage, ils ont usurpé le nom de son directeur des achats. Pour parachever leur usurpation d’identité, ils n’ont pas hésité à utiliser le KBis de l’entreprise, son RIB, sa dénomination sociale, son logo et sa marque. COLAS a engagé une action pénale à leur encontre.
Le mouse jacking
Il s’agit de la nouvelle technique utilisée pour le vol de voitures. Elle s’appuie sur l’électronique embarquée dans les véhicules. A cet effet, le voleur utilise un petit boîtier pour brouiller les ondes au moment où vous fermez votre voiture. Il pénètre ensuite dans l’habitacle et peut démarrer le véhicule en se branchant sur la prise diagnostic OBD (On Board Diagnostic). Ainsi, il peut reprogrammer une nouvelle clé.
Confiance numérique et données personnelles
A juste titre, les consommateurs s’inquiètent des risques qu’ils encourent en confiant leurs données personnelles à des organisations publiques ou privées. Ces dernières montrent n’avoir pas toujours une expertise approfondie de la sécurité pour les protéger contre ces attaques malveillantes. Cependant, parfois aussi, ces mêmes organisations utilisent leurs données abusivement et à leur insu.
A l’origine, un POI désignait un point d’intérêt, c’est-à-dire un site public ou privé (monuments, hôpitaux, écoles, musées, stations-service…). Leurs coordonnées X, Y, Z permettaient un référencement utilisable par les systèmes d’information géographique. C’est bien sûr toujours le cas et la géolocalisation par GPS par nos systèmes de guidage embarqués ou nos téléphones mobiles en est le meilleur exemple.
Pour autant, les objets connectés que nous portons quotidiennement sur nous ou qui nous entourent nous transforment progressivement en « POI » = Persons Of Interest. En effet, que nous en ayons conscience ou pas, nous laissons régulièrement des traces numériques qui reflètent nos habitudes quotidiennes.
Lire ses mails, y répondre, les supprimer, utiliser son mobile, surfer sur le web, consulter un site Internet, utiliser des services en ligne, avoir chez soi un compteur électrique intelligent… en voilà quelques exemples.
Ces données sont conservées sur une longue période, intégrées dans des bases de données, analysées grâce au data mining par de puissants algorithmes. Elles représentent un véritable pactole pour les entreprises, d’une manière générale. Pour certains acteurs (Apple, Google, Amazon, Facebook, Twitter…), c’est également le cas en particulier.
Ainsi, il leur est désormais possible de tout connaître sur nos habitudes et d’anticiper nos besoins. En effet, nos données personnelles valent beaucoup d’argent. Le Smart Data succède ainsi au Big Data. Cependant, que les choses soient claires, le numérique en tant que tel n’est pas ici mis en cause. Par contre, les utilisations débridées des données personnelles qui en sont faites sans anonymisation et à l’insu de leurs propriétaires le sont.
Régulation et contrôle pour une meilleure confiance numérique
Pourtant, les organisations sont soumises à des obligations de privacy pour les collectes de données personnelles afin de respecter la vie privée des utilisateurs. En France, la CNIL a pour rôle de les protéger contre les usages abusifs relatifs à leurs données. Cela passe par une information explicite faite à l’utilisateur, par une acceptation de sa part au moyen de l’opt-in. La durée de conservation des données doit également faire l’objet d’une déclaration de même que la description de leurs usages. A cela s’ajoutent des dispositifs de sécurité mis en œuvre dès la conception du système d’information (Privacy by Design) : serveurs, réseaux, stockage, locaux sécurisés, accréditations, niveaux d’habilitation, identification, management des risques…
Le nouveau règlement européen GDPR (General Data Protection Regulation) va dans le même sens. Il s’appliquera dès 2018 à toute entreprise, association, collectivité territoriale, administration et syndicat d’entreprise. Dès lors qu’une organisation collectera, traitera et stockera des données personnelles, elle devra s’y soumettre. En cas d’intrusion ou de piratage, l’organisation devra le notifier à la CNIL en France sous 72 heures maximum. De même, elle devra en avertir les personnes directement concernées au regard des risques liés à cet événement. Qui plus est, il reviendra à l’organisation d’indemniser les personnes lésées matériellement ou moralement. Des sanctions financières assez lourdes lui seront également infligées s’il s’avère qu’elle n’a pas appliqué les règles de sécurité prônées par l’état de l’art du moment. Cela vise à responsabiliser les acteurs concernés.
En conclusion
Comme on peut le constater, les choses commencent à bouger parce que les utilisateurs (citoyens et consommateurs) n’acceptent plus que leurs données personnelles soient aussi mal protégées. Cela met clairement en cause la confiance numérique. Par ailleurs, le régulateur a fini par prendre conscience des risques énormes tant économiques, politiques que sociaux auxquels les états et les organisations se trouvaient exposés. La privacy et la sécurité des SI doivent être traitées en profondeur. C’est pourquoi l’audit régulier des SI s’impose afin d’identifier leurs failles et d’engager les actions nécessaires pour y remédier. En effet, il vaut mieux analyser le plus en amont possible les causes possibles de hacking par le management des risques et une politique de sécurité adaptée que de devoir gérer leurs conséquences désastreuses a posteriori.