26 mai 2007

Les entreprises peuvent-elles vraiment protéger nos informations personnelles?

Un récent sondage du Ponemon Institute, une entreprise de consultants spécialisée dans les questions de protection de la vie privée, laisse penser que non.

Le sondage, mené aux USA auprès de 700 gestionnaires de sécurité informatique (selon un méthodologie critiquable comme souvent dans ce type d'études) nous donne quelques résultats qui laissent songeur: bien que 85% des répondants aient déclaré avoir été victimes d'incidents ayant menacé l'intégrité des données personnelles de clients ou d'employés de l'entreprise par le passé, moins de la moitié avaient planifié et mis en oeuvre un plan d'action afin d'éviter que ce type d'incident ne se reproduise. L'explication la plus fréquemment avancée était que les entreprises ne croient pas que la compromission des données personnelles dont elles sont les détentrices se traduira par une perte de revenus ou de clientèle.

Il apparaîtrait que cette "pensée magique" relève d'un aveuglement délibéré, puisque les résultats du sondage montrent que:
  • 74% des victimes organisationnelles d'une perte ou d'un vol de données déclaraient avoir perdu des clients;
  • 59% s'exposaient à des poursuites devant des tribunaux;
  • 33% risquaient de recevoir des amendes de la part de diverses autorités règlementaires;
  • et 32% avaient vu la valeur de leurs actions baisser à la suite de la divulgation (obligatoire aux USA) de tels incidents.
Ce sondage s'attaque également au mythe des pirates informatiques qui collaboreraient avec le crime organisé pour s'emparer massivement de données personnelles. En effet, presque la moitié des incidents résultaient de la perte ou du vol d'équipements informatiques comme des ordinateurs portables, des téléphones cellulaires professionnels (type BlackBerry ou Treo), des clés USB, etc. La seconde source de vulnérabilité concerne les employés négligents, les employés temporaires et les sous-traitants.

La négligence et l'insouciance des organisations (entreprises et services publics) semble donc à l'heure actuelle une menace bien plus réelle qu'une conspiration mondiale de pirates informatiques alliés aux parrains du crime organisé traditionnel.

2 commentaires:

Anonyme a dit...

Etonné de l'absence de commentaires sur votre blog !
Vos sujets sont pourtant très interessants.

La divulgation des incidents est obligatoire aux USA.
Pourquoi l'Europe n'adhère t'elle pas à cette politique de transparence ?

Quote: "L'explication la plus fréquemment avancée était que les entreprises ne croient pas que
la compromission des données personnelles dont elles sont les détentrices se traduira par une
perte de revenus ou de clientèle."

Vu sous cet angle, on observe bien l'état d'esprit dans lequel elles se trouvent.

La guerre de l'information, sous toutes ses formes et quel que soit le milieu,
est une réalité ; surtout si il y a des intérêts financiers à la clef.
Si il y a compromission des données personnelles, c'est qu'il y a des demandeurs.
Puisqu'il y a également des offreurs, on peux évoquer le terme de marché ?
Le moteur principal est l'argent. Ce business de l'information est difficilement
quantifiable ; en effet les éléments qui le compose sont étroitement liés.

Les pirates informatiques sont t'ils si inactifs que ça ?
Etant dans l'analyse malware, je peux vous assurer que les codeurs des pays de l'Est
sont loins d'être au chômage à ce niveau là. Des kiddies, ces enfants reccrutés par
des mafias pour leurs compétences créent de véritables outils warfare en forme de kits.
Exemple d'actualité >> http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html
etc... sans compter les nombreux mass stealers comme Pinch & Cie.

Pour résumer (ironiquement), le problème c'est tout simplement l'Homme ;)=~

Merci pour votre blog,
Big brother is watching you...

Benoît Dupont a dit...

Bonjour et merci pour votre commentaire. Je remarque en effet qu'il y en a peu sur le site, et je ne peux que le regretter. Si vous avez plus d'infos sur les programmeurs de malwares et autres marchés souterrains de l'information, je suis preneur.
Benoît Dupont