À l’IDP, nous travaillons naturellement sur le désormais célèbre RGPD, ce règlement européen que le patron du CES (Consumer Electronic Show) de Chicago considère comme une entrave au business dont vont souffrir les entreprises du vieux continent. Certes, les citoyens européens ne peuvent, sans leur accord, être ciblés par de la publicité en fonction de leurs orientations politiques, religieuses ou sexuelles, mais cette affirmation est très exagérée, pour peu que l’on prenne la peine d’analyser le RGPD au lieu d’affoler les entrepreneurs en brandissant les amendes que la CNIL peut leur infliger.
Éviter les fuites de données pour ne jamais avoir affaire à la CNIL
Précisément, la meilleure manière de ne jamais avoir affaire à la CNIL est d’éviter que des données puissent être perdues ou volées. Vous aurez beau désigner un délégué à la protection des données, rédiger de belles informations à destination de vos prospects, clients ou salariés, créer de beaux formulaires de consentement, cartographier les données personnelles que vous traitez, etc., si vous (ou l’un de vos collaborateurs) cliquez sur un lien que vous croyez être de désabonnement et qui en réalité va déclencher le téléchargement d’un virus, si vous branchez une clé USB trouvée, si vos machines portables (ordinateurs et smartphones) ne sont pas chiffrées, si votre réseau WIFI n’est pas protégé, si vos sessions de travail ne se verrouillent pas automatiquement et rapidement (ou si le mot de passe est sur un post-it !), tout le formalisme du RGPD ne vous serait d’aucun secours.
À ce stade, peu importe d’ailleurs qu’il s’agisse de données personnelles, même si certaines sont particulièrement sensibles (médicales, sociales, judiciaires, politiques...). Celles de l’entreprise sont tout aussi précieuses, et l’on se souviendra des faillites provoquées par le cryptage à distance de disques durs, non pas tant parce que les données stratégiques avaient pu être volées, mais parce que les sauvegardes avaient été négligées. D’ailleurs, ce point dépasse largement les hypothèses de malversation, car nombreuses sont les entreprises à regretter amèrement le défaut de sauvegarde à la suite d’une défaillance d’un disque dur.
Les entreprises et services publics sont-ils en situation de relever le défi de la sécurité informatique ?
Lorsque j’interviens au sein d’entreprises, parfois même de grandes entreprises, mais aussi de services publics, je suis souvent frappé par la facilité qu’aurait une personne mal intentionnée de créer de gros dégâts au système d’information, pour au moins une des raisons énumérées ci-dessus (parmi bien d’autres). Par exemple, on m’autorise à utiliser une machine connectée au réseau pour diffuser mes vidéos ou présentations en utilisant ma propre clé USB, laquelle peut avoir été infestée à mon insu. D’ailleurs, les professionnels de la sécurité informatique connaissent la méthode dite du « petit poucet », consistant à laisser traîner des clés USB vérolées, car il trouvera bien une personne qui aura la curiosité de la brancher sur une machine. Sachez qu’il existe même des clés USB agissant comme un taser, dans le but de détruire la machine (voir https://usbkill.com/).
C’est ce constat qui m’a encouragé à engager l’IDP sur la voie de la formation aux bonnes pratiques informatiques de l’utilisateur final, évidemment avec le concours de spécialistes et sous la direction d’un architecte système. En somme, former les responsables informatiques pour qu’ils forment tous les utilisateurs. Mais force est de constater qu’ils n’ont pas le temps et que l’utilisateur final n’est pas très motivé pour suivre lui-même une formation classique, fastidieuse, et qu’il faudra bien financer. C’est la raison pour laquelle nous avons opté pour l’e-learning (voir vidéo de présentation à la fin de l'article).
Exemple : comment savoir si vos identifiants ont fuité sur le net et en tirer les conséquences
Prenons un exemple concret : de nombreuses personnes, même dans un cadre professionnel, utilisent les mêmes identifiants (login et mot de passe) pour accéder à tous les sites web et services en ligne, y compris des services bancaires. Si ces données sont piratées, le pirate pourrait accéder à tous leurs comptes. Est-ce votre cas ? Le site internet https://haveibeenpwned.com/ recense les identifiants qui ont fuité sur le net. Le but n’est pas de vous effrayer, mais de vous convaincre qu’il faut un mot de passe différent pour chaque site web et chaque service en ligne, qu’il faut savoir le choisir, le stocker et le renouveler, selon des méthodes déterminées par les professionnels.
En pratique, la sécurité informatique repose évidement sur des infrastructures, mais aussi et surtout sur l’addition de comportements, de pratiques qui doivent devenir des réflexes. Si ce qui est apporté par ce module d’e-learning avait été appliqué, l’immense majorité des dégâts relatés par la presse auraient été évités, ou à minima, leurs effets auraient été bien moins dévastateurs. En quelque sorte, chaque utilisateur doit acquérir une hygiène informatique, devenue indispensable.