Toutes les entreprises doivent faire face au problème de Wikileaks et se demander comment poursuivre leurs activités tout en s'assurant que l’accès à leurs données sensibles et confidentielles reste protégé.

À ce jour, aucun organisme, ni militaire, ni financier ou du secteur public, n'a trouvé de solution à ce problème qui nous touche tous et qui va certainement s’aggraver.

L’année dernière, selon le Credoc* plus 210 000 personnes ont été victimes d’une usurpation d’identité en France. Le vol de données est un fléau dans les quatre coins de la planète et dans tous les secteurs dits sensibles. Aux Etats-Unis, Bank of America ainsi que d’autres institutions se sont vues dérober 800 000 dossiers lors d’une unique atteinte à la sécurité des données en 2005. En 2008, des pirates informatiques ont volé plus de 8 millions de dossiers médicaux sur un site Internet de l’administration et ont ensuite tenté de demander une rançon aux personnes concernées.

Comment peut-on expliquer ce vol de données ? La malveillance humaine, l’incompétence technique et la bêtise commune ont toutes joué un rôle. Il s’avère très difficile de surmonter la nature humaine, mais il n’est pas impossible d’utiliser la technologie pour prévenir et minimiser ces vols.

Nous devrions reconnaître que tous ces vols sont dus à un facteur humain. Aussi, pour éliminer ces fuites d’informations, il est nécessaire de comprendre qui peut accéder à quelles données et en quelles circonstances, et de surveiller en temps réel comment ces données peuvent être utilisées et disséminées. Techniquement, la gestion des identités (ensemble de technologies qui fournit aux personnes un ensemble unique de droits en termes d'accès aux données, tout en contrôlant à quelle fin elles utilisent cet accès) constitue une solution évoluée et bien comprise. Cependant, ces technologies souffrent d’un cruel défaut d’adoption.

Dans le cas de Wikileaks et des récentes fuites d’informations militaires confidentielles qui se sont produites, il semble évident que si des règles de sécurité fondamentales avaient été instaurées, les dégâts auraient pu être minimisés. Si la technologie avait été utilisée correctement, il est certain que l’on aurait pu connaître l'identité du voleur en quelques minutes. Récemment, il a été annoncé que le transfert de données au moyen de clés USB et de CD deviendra impossible. Il s’agit d’une solution de fortune au problème. Le partage légitime de données est un impératif crucial, notamment dans l'armée, et ne devrait pas être restreint. Tous les acteurs doivent donc déployer des technologies de sécurité et renforcer les règles permettant de réduire considérablement les risques liés à la perte de données. Ils devront aussi s'assurer que les auteurs de ces vols pourront être appréhendés avant que l’on ne déplore trop de dégâts.

*Centre de recherche pour l'étude et l'observation des conditions de vie.