‘La confiance dans la sécurité est à son niveau le plus bas, et l’on en fait trop peu pour améliorer les choses’

La sécurité en ligne est un bric-à-brac, et les failles dans les grandes sociétés ne font que s’amplifier. Les organisations ne prennent pas suffisamment de mesures du fait qu’une importante brèche dans leur sécurité ne leur coûte pas assez cher, selon une étude internationale à grande échelle effectuée par The Internet Society.

L’on observe à présent les conséquences d’années de fuites de données à grande échelle, comme il ressort de l’étude réalisée par The Internet Society (ISOC). Car l’utilisateur perd toujours plus sa confiance dans internet, indique encore l’étude qui a été effectuée dans 54 pays auprès de 24.000 personnes.

’93 pour cent des fuites de données peuvent être évitées’, déclare l’un des enquêteurs, mais ‘les mesures en vue de réduire les coûts des fuites ne sont pas prises’. Le cryptage ou simplement le non-stockage numérique de données serait souvent un choix valable, mais l’ISOC ne le constate encore que trop rarement.

Le coût d’une faille est trop faible

Selon l’organisation non marchande, cette situation est due en partie à un internet ouvert qui interconnecte trop, ce qui fait qu’il n’y a pas qu’une partie prenante qui soit responsable d’une fuite de données. ‘Nous partageons une responsabilité collective avec d’autres parties prenantes en vue de sécuriser nos données comme un ensemble. Cela vaut tant pour les fournisseurs, les employés, les pouvoirs publics que pour d’autres intervenants encore. Si l’un de ces maillons ne fonctionne pas correctement, c’est la confiance dans la chaîne toute entière qui disparaît.’

‘Protéger les utilisateurs devrait être un but en soi pour toutes les organisations’, déclare l’ISOC. Mais l’une des raisons pour lesquelles les organisations n’y accordent que trop peu d’attention, c’est que cela ne leur coûte pas assez cher, lorsqu’une faille est découverte. Cela est dû au fait que les organisations n’examinent que le coût d’une faille spécifique et pas les frais totaux. Elles n’envisagent pas le coût pour l’utilisateur, ‘alors qu’il devrait être pris en compte dans le calcul de leurs frais’.

Recommandations

Selon l’étude, les organisations investissent certes toujours plus dans des mesures permettant d’éviter les failles, mais cela ne se traduit pas encore dans un recul du nombre de fuites de données. Voilà pourquoi elle fait un certain nombre de recommandations:

1. Accordez la priorité aux utilisateurs – qui sont les principales victimes des fuites de données – dans votre solution. Dans le coût d’une faille, prenez en compte tant les coûts de utilisateurs que ceux de l’organisation elle-même;
2. Amplifiez au niveau mondial la transparence à propos des risques de fuites de données;
3. La sécurisation des données doit être une priorité. Les organisations doivent respecter les normes les plus strictes possibles;
4. Accroissez l’obligation de responsabilisation des organisations en matière de fuites de données;
5. Augmentez la gratification au niveau de l’investissement dans la sécurité. Créez un marché pour un jugement fiable et indépendant de ces systèmes.

La sécurité de l’internet des choses est un gros problème

Les fabricants d’appareils connectés via l’internet des choses doivent aujourd’hui se sentir responsables en matière de protection numérique, selon l’ISOC. Fin octobre, une grande partie d’internet a été paralysée aux Etats-Unis suite à une attaque Ddos provenant majoritairement de caméras de protection et de frigidaires connectés à internet, qui avaient été piratés. Ces appareils disposent souvent à peine d’une protection, mais l’utilisateur ne peut y faire grand-chose, selon l’ISOC. L’attitude des fabricants consistant à dire: ‘Vous avez accepté la licence, ce qui fait que nous ne sommes plus responsables’ n’est plus acceptable. ‘Quelqu’un qui possède un babyphone, un routeur wifi ou une voiture connectée ne peut à présent pas du tout savoir s’il est suffisamment protégé contre des agresseurs éventuels.’

S’il s’agit d’une voiture ou d’un appareil de santé connecté, les clauses de non-responsabilité ne suffisent plus, selon l’ISOC: ‘Un piratage peut alors impacter la sécurité personnelle de l’utilisateur et avoir même des conséquences sur sa vie.’