Le flegme britannique à l'épreuve des pertes de données

L'administration britannique fait face à de nombreux vols et pertes de données. Qu'en est-il de la France ? Les britanniques sont-ils plus transparents que dans notre pays ?

En matière de vols et de pertes de données dans l'administration, la Grande Bretagne est mise depuis quelques mois au banc des accusés. Au point que les sujets de sa majesté pourraient perdre leur flegme légendaire, et que l'affaire prend une tournure politique, l'opposition tory soufflant sur les braises du mécontentement populaire.

Dernier incident en date, le vendredi 22 août 2008, le ministère de l'intérieur regrettait la disparition de 43 ordinateurs et 94 téléphones portables au cours des trois dernières années. Un aveu de faiblesse et d'impuissance qui s'ajoutait à l'annonce la veille par le même ministère de la perte des données personnelles de 84 000 détenus en Angleterre et au Pays de Galles.

Le même jour, c'est le ministère de la défense qui déplorait le vol de 600 ordinateurs depuis le début 2007. Et le plus gros cas de perte de données remonte justement à novembre 2007. A l'époque, le gouvernement reconnaît la perte des fichiers informatiques de 25 millions de bénéficiaires d'allocations familiales, soit 7 millions de foyers), conservés sur 2 CD-ROM.

Des pertes de données qui sont le fait de vol, mais aussi souvent de négligences comme le précise Guillaume Durand, Responsable du Département Audit et Gestion de la Sécurité chez Solucom group. " Je me souviens d'un cas en Suède où une personne a oublié dans une bibliothèque une clé USB contenant des informations confidentielles. Mais il arrive très fréquemment par exemple que des ordinateurs soient mis au rebut sans que les informations qu'ils contiennent ne soient nettoyées. Les voleurs dans ce cas n'ont qu'à faire les poubelles ".

" Les administrations propriétaires des informations sont responsables de la protection des données "

Ces annonces de pertes et de vol de matériel informatique contenant des informations personnelles ne rassurent en rien le public sur la compétence des autorités à protéger ses administrés. Surtout que le gouvernement, mis en cause par les médias et les associations de défense des libertés individuelles, en lutte contre la création d'une prochaine carte d'identité informatisée, se défausse sur les agences de sous-traitance chargées de gérer les fichiers.

" Les administrations propriétaires des informations restent responsables de la protection des données " précise Guillaume Durand. " Le fait de faire appel a des sous traitant ne déresponsabilise en rien l'administration qui reste le responsable ultime de la sécurité des données ".

Mais qu'en est il de la France ? Les pertes et les vols de données sont ils tus ? Ou bien sommes-nous plus à l'abri de ce type d'incidents que nos voisins ? " Objectivement, il n'y a pas moins d'incidents qu'ailleurs. Mais il y a chez les anglo-saxons une tendance culturelle au full disclosure que nous n'avons pas " souligne Guillaume Durand. " Par ailleurs, la loi américaine oblige les entreprises victimes de pertes ou de vol de données à avertir les clients, ce qui rend la communication publique beaucoup plus fréquente. Un tel mécanisme n'existe pas en France. "

De fait, cette loi initiée en 2003 en Californie a fait école et c'est aujourd'hui près de 40 états qui obligent les victimes de perte ou de vol de données à communiquer sur l'incident.

Reste que la médiatisation de ces affaires, si elles peuvent nuire à l'image des entreprises et des administrations qui y sont confrontées, peut avoir un aspect positif auprès du public. " Tout ceci peut alimenter la prise de conscience des responsables d'entreprises et des RSSI sur la nécessité de sensibiliser les employés et de faire en sorte que les systèmes d'informations soient mieux protégés contre des pertes et des intrusions " conclut Guillaume Durand.