Sécurité et Stratégie est une publication du CDSE

03

Dernier numéro : mars 2010

2010- 2020, Une nouvelle décennie de menaces ?

Les organisations : sentinelles aveugles de la sécurité des données personelles ?

Aux États-Unis, de 2006 à 2008, plusieurs grandes entreprises de distribution et des opérateurs de paiement se faisaient dérober plus de 200 millions de numéros de cartes de crédit par le pirate informatique Albert Gonzalez. En octobre 2007, le Ministère anglais du budget égarait les informations personnelles1 et bancaires de 25 millions de bénéficiaires des allocations familiales. Ces deux incidents, abondamment médiatisés, ont permis aux opinions publiques occidentales de prendre conscience, d’une part de l’ampleur des quantités de données accumulées par les organisations publiques et privées sur leurs usagers ou leurs clients, et d’autre part des pratiques frisant l’insouciance qui régissent le traitement de celles-ci.

En effet, dans le premier cas, les mesures de sécurité déployées par certaines entreprises ciblées violaient impunément les normes de protection des transactions financières : certaines communications se faisant sur des réseaux sans fil n’étaient, par exemple, pas chiffrées ou utilisaient des solutions de chiffrement anciennes faciles à contourner en quelques minutes à l’aide d’outils disponibles sur Internet. Dans le second cas, les coûts induits par « la stérilisation » des données (environ 15 000 livres ou 16 000 euros) furent jugés excessifs par l’employé responsable de l’opération.

Si ces deux affaires illustrent de manière particulièrement édifiante les conséquences
catastrophiques de dysfonctionnements organisationnels en matière de protection des données personnelles et de sécurité de l’information, elles ne constituent que des cas d’espèce d’une longue litanie d’incidents qui viennent faire, à intervalles réguliers, la une des médias. Il est néanmoins possible de dépasser cette dimension anecdotique pour analyser de manière plus systématique les facteurs de risques associés aux pertes et aux vols de données dans les organisations. Un tel exercice
vise notamment à évaluer la performance des organisations publiques et privées en termes de sécurité des informations personnelles de leurs usagers, clients et employés, et à concevoir des stratégies de protection fondées sur des données probantes plutôt que sur de gros titres sensationnalistes ou des arguments
commerciaux.

Dans une première partie, nous exposerons donc les résultats tirés de l’analyse des
brèches informatiques survenues en Amérique du Nord entre 2005 et 2007, avant d’examiner, dans une seconde partie, comment de telles données pourraient être mises à profit afin d’élaborer des stratégies de prévention efficaces, ancrées dans l’approche criminologique de la prévention situationnelle.

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE