Les entreprises peuvent-elles vraiment protéger nos informations personnelles?

Un récent sondage du Ponemon Institute, une entreprise de consultants spécialisée dans les questions de protection de la vie privée, laisse penser que non.

Le sondage, mené aux USA auprès de 700 gestionnaires de sécurité informatique (selon un méthodologie critiquable comme souvent dans ce type d'études) nous donne quelques résultats qui laissent songeur: bien que 85% des répondants aient déclaré avoir été victimes d'incidents ayant menacé l'intégrité des données personnelles de clients ou d'employés de l'entreprise par le passé, moins de la moitié avaient planifié et mis en oeuvre un plan d'action afin d'éviter que ce type d'incident ne se reproduise. L'explication la plus fréquemment avancée était que les entreprises ne croient pas que la compromission des données personnelles dont elles sont les détentrices se traduira par une perte de revenus ou de clientèle.

Il apparaîtrait que cette "pensée magique" relève d'un aveuglement délibéré, puisque les résultats du sondage montrent que:

• 74% des victimes organisationnelles d'une perte ou d'un vol de données déclaraient avoir perdu des clients;
• 59% s'exposaient à des poursuites devant des tribunaux;
• 33% risquaient de recevoir des amendes de la part de diverses autorités règlementaires;
• et 32% avaient vu la valeur de leurs actions baisser à la suite de la divulgation (obligatoire aux USA) de tels incidents.

Ce sondage s'attaque également au mythe des pirates informatiques qui collaboreraient avec le crime organisé pour s'emparer massivement de données personnelles. En effet, presque la moitié des incidents résultaient de la perte ou du vol d'équipements informatiques comme des ordinateurs portables, des téléphones cellulaires professionnels (type BlackBerry ou Treo), des clés USB, etc. La seconde source de vulnérabilité concerne les employés négligents, les employés temporaires et les sous-traitants.

La négligence et l'insouciance des organisations (entreprises et services publics) semble donc à l'heure actuelle une menace bien plus réelle qu'une conspiration mondiale de pirates informatiques alliés aux parrains du crime organisé traditionnel.

Les billets de train du Petit Poucet japonais

Le journal La Presse rapporte qu'une compagnie japonaise de chemins de fer de Tokyo vient de lancer un service de localisation des enfants par l'intermédiaire de leur carte de transport. Les parents qui le souhaitent peuvent se prévaloir de ce service gratuit pour être avertis par email des déplacements de leur progéniture dans les transports en commun: lors de chaque passage près d'une borne d'accès aux trains (à l'entrée ou à la sortie des gares par exemple), les cartes sans contact des petits abonnés alimentent une base de données qui peut ensuite être paramétrée pour envoyer des alertes personnalisées. Des messages électroniques peuvent ainsi être directement envoyés par téléphone mobile aux parents lorsque l'enfant vient d'entrer dans la gare de départ, est arrivé à sa gare de destination, ou encore est descendu dans une gare qui ne devrait pas se trouver sur son trajet quotidien.

Selon un sondage réalisé lors de la phase d'expérimentation auprès de 2000 cobayes, le taux de satisfaction des parents est très élevé, avec plus de 98% des répondants se disant davantage rassurés par un tel système. Pourtant, la société japonaise ne semble pas réellement exposée à une vague de criminalité incontrôlée, bien au contraire. Par ailleurs, la nature anxiogène de ce nouveau service, qui génère chez ceux qui l'utilisent de nouvelles attentes concernant le contrôle des allées et venues de leur progéniture et une insécurité accrue lors de tout dysfonctionnement reste complètement occultée.

Un nouveau diplôme universitaire en technologies de la sécurité

L'Université de Portsmouth, au Royaume-Uni, vient de lancer ce qui doit certainement être le premier diplôme en technologies de la sécurité. Cette formation de niveau Baccalauréat (ou Licence en France) a été conçu par le département d'ingénierie électronique et informatique. Il a pour ambition de former des spécialistes de la sécurité qui iront travailler dans les services de police et de renseignement, dans les entreprises d'informatique et chez les grands opérateurs de télécommunication.

Les cours proposés incluent: l'identification biométrique, les systèmes de détection, les systèmes de surveillance intelligents, la sécurité informatique et des moyens de communication, la cryptographie, la détection des intrusions, le contrôle d'accès électronique, les immeubles intelligents, les procédures de sécurité et la sécurité de l'information. Par contre, aucun cours d'éthique ou de droit ne semble être prévu pour sensibiliser les étudiants à l'indispensable équilibre entre sécurité et respect des libertés individuelles.

Des caméras de surveillance qui respectent la vie privée

Deux chercheurs de l'Université Berkeley, en Californie, sont en train de développer un prototype de caméra de surveillance intelligente qui respecterait la vie privée des personnes filmées. Le principe est de superposer numériquement une tâche blanche sur les visages des individus qui circulent dans le champ de vision, afin qu'il soit impossible de les identifier. La technologie, qui en est à son stade initial, nécessite que les individus portent un gilet réflecteur jaune qui peut être facilement identifié par l'ordinateur, ce qui facilitera considérablement le travail de ce dernier. L'objectif final est que les machines rendent systématiquement flous les visages de tous les passants, et que la possibilité de lever ce voile d'anonymisation soit réservée à la police ou aux tribunaux dans certaines circonstances rigoureusement définie (acte de vandalisme par exemple).

D'autres centres de recherche US travaillent sur des technologies identiques, comme le Laboratoire multimédia d'analyse de l'information de l'Université du Kentucky, qui développe des solutions alternatives où les informations d'identification sont séparées du flux des images enregistrées.

Ces initiatives nous rappellent que la technologie offre de nombreuses possibilités, aussi bien dans le domaine de la surveillance que dans celui de la protection de la vie privée, et qu'il revient aux politiques de l'encadrer et de la façonner autant que de prendre acte de ses avancées, au risque de nous déposséder de nos prérogatives de gouvernance.