La sécurisation des données sur Internet: un enjeu majeur

By 29 April 2013

C) La sécurisation des données: un enjeu majeur

1) Un environnement exposé

Le système d’information des entreprises est devenu vital pour leur développement : accès au réseau, transfert de fichiers, envoi d’emails, échange d’information sont devenues les composantes classiques d’une journée de travail.

Dans cet environnement mouvementé, les attaques et les menaces se multiplient. Les vulnérabilités des réseaux et l’importance croissante des conséquences néfastes de ces nuisances montrent que le niveau de sécurité informatique est loin d’être au niveau qu’il devrait être. La sécurité du système est une problématique qui touche l’ensemble des employés, et tous les départements d’une entreprise, quelle que soit sa taille ou son secteur. Les entreprises aujourd’hui se voient contraintes de développer et de mettre en place une politique globale de sécurité, qui devient même une partie intégrante de sa stratégie.

L’informatique est devenu un outil de gestion, d’organisation, de production et de communication. Le réseau de l’entreprise met en œuvre des données sensibles, les stocke, les partage en interne, les communique parfois à d’autres entreprises ou d’autres personnes. Mais aujourd’hui, il est impossible d’isoler le réseau de l’extérieur, ou de retirer aux données leur caractère électronique. Ces données sont donc exposées aux actes de malveillances dont la nature et les méthodes d’intrusion ne cessent d’évoluer. Les prédateurs s’attaquent aux entreprises et aux ordinateurs par le biais des réseaux qui relient l’entreprise à l’extérieur. Et ces attaques sont transfrontalières. (Contrairement aux lois : la lenteur de la coopération judiciaire entre Etat s’ajoute aux différences de législations d’un état à l’autre. De sorte que l’impunité reste de fait)

La délinquance informatique est une réalité pour les entreprises. Non seulement ce ne sont plus des « bricoleurs », mais de vrais malfaiteurs qu’il faut traiter comme tels. Les statistiques Europol – G8 Nice révèlent que 60 % des équipes effectuant des attaques lourdes sont financées par le crime organisé. Les attaquants disposent d’outils efficaces leur ouvrant l’accès à des réseaux pourtant conçus par des professionnels de bon niveau.

2) Les conséquences

Le piratage informatique38 :
– met en jeu la survie des entreprises : une étude du Gardner group montre que 95 % des sociétés de taille moyenne ayant été piratées sévèrement en 2000, ont stoppé leur activité dans les 12 mois qui suivaient,
– paralyse : destruction de données, de la capacité de production, dégradation de l’image de l’entreprise,
– vole : détournement de fond, chantage, impayés etc.

Les impacts peuvent être très graves. Voici quelques exemples frappants :
– Une banque américaine a dû verser 10 millions de dollars de rançon pour récupérer des données volées.
– Vol de données sur une clientèle de particuliers : une société de sondage pour la télévision s’est fait voler un fichier contenant le profil des sondés : 3 millions d’euros de dommages et intérêts, et fermeture de la société ayant volé les données.

Les impacts plus courants :
– Fonctionnels : perte de crédibilité, d’exploitation, de compétitivité (vol d’informations), de savoir-faire (destruction de données)
– Financiers : perte de valorisation boursière, extorsion ou détournement de fonds
– Structurels : perte de confiance interne et externe dans l’entreprise (car l’image qu’elle donnera d’elle sera négative)

Le tableau qui suit39 décrit les différents types d’atteinte à la sécurité :
les différents types d’atteinte à la sécurité

Et celui-ci, le coût des atteintes à la sécurité en France40 :
le coût des atteintes à la sécurité en France

3) L’enjeu des données personnelles

L’enjeu des données personnelles et la sécurisation de ces informations sont encore plus importants dans le cadre des paiements par cartes bleues, notamment sur Internet. On peut distinguer plusieurs risques potentiels, à différents niveaux :

– le risque pour le client, au moment où il effectue sa transaction
– Le risque pour la banque du vendeur
– L’émission de l’acceptation de la transaction par la banque du client.

Le montant de ces transactions est devenu tellement important que les banques investissent beaucoup pour sécuriser au maximum ce moyen de paiement, et plus particulièrement sur Internet. Selon une étude réalisée par la FEVAD41en mai 2004, 23% des français, font leurs achats sur Internet De plus, beaucoup de ces cyber-acheteurs sont récents puisque 41 % d’entre eux ont commencé à acheter sur Internet depuis moins d’un an. Désormais, près d’un français sur 4 fait ses achats sur Internet.

Le montant des paiements par carte bleue (paiement on et off-line) a dépassé les 200 milliards d’euros en 2003. Le nombre de cartes bancaires est également en constante progression, comme on peut le constater sur le schéma suivant42 :
Le montant des paiements par carte bleue (paiement on et off-line)

Une transaction de paiement par carte implique la responsabilité de 4 acteurs :
– La responsabilité du consommateur tient à son engagement de payer une marchandise ou un service qui lui est fourni par un commerçant
– La responsabilité du commerçant est d’utiliser les données fournies par le consommateur (numéro de carte, coordonnées personnelles etc.) pour réaliser le paiement, dans des conditions de sécurité incontestables.
– La responsabilité de la banque est de mettre les moyens à disposition du consommateur et du commerçant permettant un recouvrement sécurisé de la transaction.
– La responsabilité des pouvoirs publics est d’assurer la protection des parties et les conditions d’établissement de la preuve.

M. Kurp, Responsable Marketing et Sécurisation des données, au sein de la société Oberthurs Card System, m’a assuré qu’il n’y avait pas de moyen de paiement plus sécurisé que la carte bancaire. Et une des raisons pour laquelle les banques investissent beaucoup dans ce système de paiement est de continuer à réduire la fraude à un niveau quasiment proche de 0, même sur Internet. Les cas de fraude mis en avant dans les médias, et l’exagération faite sur l’insécurité dans ce domaine n’est pas représentative de la réalité.

L’enjeu des données personnelles sur Internet est également important dans le secteur des applications gouvernementales : déclaration des impôts sur le revenu, demande de carte grise, passeport électronique etc.

C’est un marché émergeant, mais en forte croissance : il s’élevait à 45 millions d’unité en 2003. M. Kurp estime que les 60 millions d’unités seront atteints en 2004. L’enjeu dans ce domaine est important, puisqu’il permet :
_ L’optimisation des ressources (des fonctionnaires)
_ L’amélioration du service rendu au citoyen (en terme de qualité, délais etc.)
_ Un contrôle des flux migratoires (pour les cartes d’identité)
_ La lutte contre le « terrorisme » : exemple : les cartes vitales : M. Douste-Blazy a déclaré en mai dernier qu’il y avait 10 millions de cartes vitales en trop, en circulation.

La sécurisation des données sur Internet est donc un enjeu stratégique. Mais on peut également en déduire que la communication en temps de crise dans ce secteur est pratiquement inexistante : les données sont trop sensibles pour pouvoir mettre au grand jour les failles éventuelles ; de plus il est important de rassurer les consommateurs et de continuer à leur faire comprendre que les données personnelles qu’ils entrent sur Internet sont « ultra- sécurisées ».

Lire le mémoire complet ==> (Internet et la communication de crise: Internet est-il un accélérateur de crise ?)
Mémoire de fin d’études
Groupe ESA-Paris – Master Communication et Marketing