À l'occasion de la journée européenne (et désormais mondiale) de la protection des données, je propose de nous attarder sur une étude américaine qui illustre à quel point les menaces internes, en particulier dans les départements informatiques, doivent être prises au sérieux et requièrent la prise de mesures énergiques dans différents domaines.
Les résultats de cette recherche au long cours – menée à partir d'une enquête de 2020 auprès d'un échantillon d'étudiants en gestion de systèmes d'information et en analyse de données – sont assez édifiants puisqu'une majorité d'entre eux (de l'ordre de 60%) s'avoueraient prêts à divulguer les données de santé auxquelles il pourraient hypothétiquement avoir accès dans l'exercice de leur futur métier… à la seule condition que le prix offert pour leur contribution trahison leur paraisse correct.
Une question posée portait sur le scénario d'une demande d'informations privées sur une personne célèbre de la part d'un ami travaillant dans un média, en supposant que le répondant se trouvait en difficulté financière. Dans ce cas, le tarif perçu comme acceptable par ceux qui se laissent tenter s'étage entre 10 000 et plus de 10 millions de dollars, un des principaux facteurs de variation étant le niveau de salaire, ceux qui gagnent mieux leur vie ne se laissant corrompre que pour des sommes élevées.
Dans une autre expérience (théorique), près de 80% des répondants admettent qu'ils vendraient des données confidentielles concernant une femme ou un homme politique en vue pour 100 000 dollars, s'il s'agissait de couvrir les dépenses médicales de leur mère non prises en charge par son assurance. De manière générale, les circonstances dans lesquelles surviennent l'opportunité de gagner de l'argent représentent un critère de risque important, tempéré uniquement par la crainte d'être repéré.
Ces constats sont préoccupants non seulement par le danger de fuite d'information qu'ils mettent en lumière mais également par ce qu'ils révèlent de l'absence de respect pour la vie privée de tiers et la perte de vue de certaines valeurs… alors que ces dernières sont quasiment, à travers l'enjeu de confiance des clients, l'essence même des métiers de la santé… tout comme de la finance. L'étude ne précise malheureusement pas si ces dérives comportementales sont spécifiques à la classe d'âge du panel interrogé (des jeunes en voie d'entrer sur le marché du travail) ou si elles sont généralisées, ce qui pourrait peut-être aider à formuler des réponses appropriées.
Quoi qu'il en soit, sur le plan défensif, justement, les conclusions de l'étude incitent à recommander une combinaison d'approches afin de limiter au maximum les risques. Sur le plan technique, des barrières physiques (sur l'accès aux matériels, par exemple) et logicielles (après tout, les informaticiens ne devraient jamais pouvoir consulter des données de « production » !) fournissent une première parade. Mais il faut aussi prévoir des interventions sur le volet humain, telles qu'une sensibilisation aux conséquences d'une malversation, pour son auteur et pour l'entreprise, une attention aux conditions psychologiques des collaborateurs en vue de détecter leurs moments de fragilité…
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)