Les autorités fédérales s’adaptent aux nouveaux usages du numérique
Largement commentée, la portée de la nouvelle Loi sur la Protection des Données (nLPD) qui entrera en vigueur en septembre 2023 est encore sous-estimée: son esprit et plus particulièrement son article 8 «Sécurité des données», font peser d’inédites exigences sur les acteurs participant à la chaîne de délivrance des services numériques. Dès lors, est-il possible de se mettre en conformité?
Pour les gouvernements, il est d’autant plus nécessaire de créer le cadre propice à un climat de confiance dans l’outil numérique qu’il est légitime d’avoir des doutes sur le respect de la confidentialité de nos données privées.
La transformation numérique est en marche et s’accélère. Des usages impensables à un instant donné finissent par devenir réalité quelques années plus tard. Nous sommes désormais rompus à l’idée que le progrès numérique n’a probablement pas de limite concevable, «plus rien ne nous étonne!»
Les barrières d’utilisation tombent, notre vigilance et notre esprit critique s’effacent: nous nous abandonnons et succombons aux promesses des mondes virtuels. Pourtant, il y a un sacré revers à la médaille!
Peu d’utilisateurs savent que ces pratiques ont des conséquences en matière de «données personnelles», autrement dit, des informations qui caractérisent sans ambiguïté un utilisateur, une personne.
Les systèmes informatiques sont déterministes et mécaniques. L’approximation, la globalisation, le hasard ou le droit à l’oubli n’y existent pas. Ces technologies, pour être pertinentes, doivent collecter des données sur les comportements de leurs utilisateurs: historique de recherche, d’achats, de communications, usage de telle application avec tels paramètres, géolocalisation…
Prises isolément, les informations peuvent apparaître comme sans intérêt, sans réelle valeur. Cependant, la capacité de stockage et de calcul des ordinateurs change totalement la donne! Ces derniers sont en effet capables de faire naître du sens à partir des données agrégées, corrélées puis finement analysées (on parle de «Business Intelligence»).
Cela permet d’obtenir une photo du passé et du présent puis d’en extrapoler les tendances économiques et sociétales, donc, de se positionner idéalement pour prédire le futur. Les enjeux sont considérables pour les acteurs, autant privés qu’institutionnels.
On comprend que nos données personnelles soient doublement précieuses: elles sont un élément constitutif d’une masse d’information plus large, intrinsèquement porteuse de sens, et elles sont surtout l’empreinte fidèle et indélébile de notre vie numérique, qui, désormais, se confond totalement avec notre existence sociale.
«En cas de litige, la cascade de chaînes de responsabilités serait complexe à établir tant un système informatique est un patchwork de composants et de technologies…»
Or, plus besoin d’être une célébrité ou un riche entrepreneur pour être visé par une violation de la confidentialité de nos données. Les «hackers» – «pirates informatiques» ou «cyberassaillants»- bénéficient d’un arsenal technique prêt-à-l’emploi pour accéder à nos données les plus intimes et s’adonner, à distance et dans une relative impunité, à des exactions de vol, de chiffrement de données et de chantage.
50 ans après la commercialisation du premier ordinateur, le domaine du numérique s’apparente toujours au Far-West: un vaste champ des possibles, des places à prendre pour les plus rapides et les plus visionnaires et surtout, peu de régulation.
Mais, plus que la conséquence de son immaturité, ce sont les caractéristiques intrinsèques de cette industrie qui empêchent la mise en place de la normalisation qui pourrait contribuer à rendre les systèmes plus sécurisés.
La nLPD pose l’exigence de la «sécurité adéquate» de l’édifice global du système d’information et donc, implicitement, de toutes ses briques constitutives. Les spécialistes parlent de «supply chain security», sous-tendu par le concept selon lequel la résistance d’un dispositif global est égale à celle de son maillon le plus faible.
En cas de litige, la cascade de chaînes de responsabilités serait complexe à établir tant un système informatique est un patchwork de composants et de technologies… On comprend bien l’intention du législateur, mais cette invocation de la Sécurité ne relève-t-elle pas… d’un vœu pieux?
Certaines industries produisant des biens et services critiques sont arrivés à un niveau de sécurité satisfaisant avec la mise en place d’exigences et de tests contraignants: on peut penser aux tests «Euro-NCAP» de l’industrie automobile qui mesurent le degré de résilience aux chocs des véhicules en voie d’homologation.
L’industrie informatique ne dispose pas d’un «crash-test» équivalent. Pourquoi?
Les cas d’usage d’implémentation et d’utilisation des systèmes numériques étant quasi-infinis, identifier un ou des scénarii représentatifs des menaces prévisibles serait une gageure.
«Bonnes pratiques» et recommandations
Par ailleurs, plus que d’un simple accident, c’est en réalité de menaces ciblées et intentionnelles, fruits de l’intelligence et de la technicité d’ultra-spécialistes qu’il convient de se protéger. Dans une lutte perpétuelle, l’ingéniosité et la virtuosité des spécialistes en sécurité des systèmes informatiques se confrontent à celles des hackers, tous ces acteurs jouant sur le même terrain et disposant peu ou prou des mêmes outils.
En réalité, à défaut de normes précises ou de modèles figés dont la sécurité pourrait être jugée définitivement satisfaisante, les acteurs du numérique, conscients des enjeux et des menaces, ont mis progressivement en place des référentiels internationaux de «bonnes pratiques».
«Il y a un décalage entre l’exigence de la loi et les moyens disponibles pour s’y conformer»
Les respecter permet de faire preuve de la déontologie requise, du niveau de professionnalisme attendu et de se mettre raisonnablement à l’abri des menaces les plus triviales.
Certaines de ces recommandations sont techniques («Center for Internet Security»), d’autres relèvent plus de la gouvernance globale à appliquer («ISO 27001»/«National Institute for Standards and Technology»/«Control Objectives for Information Technology»).
Pour autant, rien qui ne soit assez précis et prescriptif pour garantir quelque certitude que ce soit en matière de sécurité à l’échelle d’un système d’information global. Ainsi, il y a un décalage entre l’exigence de la loi et les moyens disponibles pour s’y conformer. Les premiers cas de jurisprudence seront donc intéressants à analyser.
L’industrie numérique continuera à se développer sereinement et à amener de nouveaux usages disruptifs à la condition expresse que les mécanismes de régulation qui lui font tant défaut aujourd’hui se renforcent.
Comment normaliser un système par définition interconnecté, très ouvert, aux ruptures technologiques et à l’évolution si rapide? C’est une équation qui n’a pas été résolue jusqu’à aujourd’hui.
Les initiatives des gouvernements, des organisations faîtières, des grands acteurs privés de cette industrie témoignent d’une farouche intention d’améliorer la sécurité des systèmes.
Mais pour l’instant, on observe que les menaces se développent aussi vite que les moyens de défense et rien n’indique, à ce stade, quand la tendance s’inversera.
Auteur: Jean-Frédéric Lasserre,
dans Bilan