En reconnaissant implicitement avoir subi une intrusion qui a permis d’accéder à un catalogue de données privées de millions d’utilisateurs, le cas EBAY met au grand jour l’importance de revoir complètement la manière dont la Privacy est embrassée par les entreprises et les organisations…

« Again and again », ouvre Christophe Bianco, Managing Partner d’Excellium Services et cheville ouvrière des Rencontres de la sécurité informatique qui auront lieu ces 18 et 19 juin 2014 à Mondorf. Pour le consultant en sécurité digitale, « c’est encore un exemple que la sécurité des applications est défaillante et même si la formule est peut être un peu excessive qu’il y a deux types de compagnies : celles qui sont exposées et impliquées par des failles de sécurité et celles qui ne le savent pas encore… Il est clair aujourd’hui qu’une intrusion peut toucher n’importe quelle type d’entreprise, peu importe sa taille, son secteur ou son business et même peu importe ses moyens accordés à la sécurité informatique… »

Aux abois et plus à l’abri

Si « aucune entreprise n’est à l’abri », il est plus que judicieux, sans tarder et avec la plus grande des précautions, de repenser la valeur des données privées qui sont confiées aux entreprises.

« De par la nature de son business, EBAY s’expose au pire… à une class-action, un énormément de sa réputation… Mais somme toute, les clients reviendront faire tourner la boîte à business qu’est la plateforme EBAY… On a connu ce scénario avec les breaches chez Sony, Orange, ou ailleurs… On en rigole, puis on passe à autre chose… »

Au final, ces attaques n’ont que peu de reflets sur la façon les utilisateurs seront impactés directement ou changeront de comportement.

La Privacy, ça compte

Mais que ce passerait-il si une telle intrusion – et donc, la certitude est de mise quant à la faisabilité de celle-ci – se produisait dans un environnement sensible comme une plateforme de données de santé, de finances,… Et à Luxembourg ?

« Il y a deux urgences, dit Christophe Bianco.

La première, c’est de considérer le Privacy By Design, pour éviter la Privacy en défaut. Il est impératif de cartographier les données sensibles par que sur le seul caractère business, mais aussi au regard de l’usage et la protection des données privées. Il faut sensibiliser les équipes à penser la Privacy en amont des développements et pas de l’entourer a posteriori d’une couche posée en périmètre ;

La seconde est de prévoir le plan de réponse. Nous parlons de plus en plus de PIA, de Privacy Impact Analysis. Il doit aussi en découler, le plan de communication aux utilisateurs impactés, de notre capacité à notifier un incident et ses conséquences. »

Un rebondissement de plus dans le vaste sujet qu’est le traitement optimum des données privées, et qui sera, sans nul doute, un des sujets des Rencontres de la Sécurité Informatique, les 18 et 19 juin prochain.

Infos et inscription : http://www.eventbrite.fr/e/excellium-rencontres-de-la-securite-informatique-1819-juin-2014-tickets-11524703699