B. LIBERTÉ DE L'USAGE DU NUMÉRIQUE ET LIBERTÉS DE SES USAGERS
« Un peuple prêt à sacrifier un peu de sa liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux »
Benjamin Franklin
À la liberté des débuts de l'Internet, de la multiplication des outils de communication, de la créativité des logiciels ont répondu, après septembre 2001, une surveillance accrue des libertés à travers ses expressions numériques : le Patriot Act , le Foreign Intelligence Surveillance Act (FISA) et l'activisme de la NSA en sont autant d'illustrations .
Dès lors, la fragmentation de l'Internet en des Internets s'est accélérée et un étrange jeu de cache-cache dans les réseaux s'est mis en place.
Il a été rappelé aux plus inattentifs que le net signifiait la toile et qu'était de moins en moins anonyme l'araignée à l'affût des informations individuelles, commerciales ou culturelles qui s'y prenaient.
Araignée boulimique, ascendant fourmi, qui réclame de plus en plus de données et stocke même celles qu'elle ne sait pas encore déchiffrer pour les analyser un jour avec des algorithmes encore plus performants.
« Ouvrir un compte sur gmail , c'est accepter de voir ses informations livrées à l'administration américaine si elle en fait la demande ».
Me Christiane Féral-Schuhl,
|
En France, dès 1978, la Commission nationale de l'informatique et des libertés (CNIL) a été érigée en gendarme vigilant des libertés face aux fichiers. Mais l'accélération des évolutions technologiques a fait naître des menaces excédant le seul contrôle des fichiers. La CNIL a évolué et a été complétée par l'ANSSI.
Les auditions ont montré la coopération et la complémentarité entre la commission et l'agence nationales.
« Les actions de la CNIL et de l'ANSSI sont complémentaires. En général, en matière de sécurité des systèmes d'information, on s'intéresse aux risques pour l'entreprise, alors qu'en matière de protection des données, on s'intéresse aux risques pour les personnes . Les mesures techniques à mettre en place dans chacun de ces cas sont souvent similaires. Par exemple, le chiffrement des données garantit la confidentialité des échanges, ce qui protégera la personne mais aussi l'entreprise. »
M. Gwendal Le Grand
|
La CNIL ne protègerait pas seulement les personnes tandis que l'ANSSI ne protègerait par uniquement les entreprises.
En réalité, existent des préconisations de la CNIL aux entreprises - comme celles sur le stockage de données dans les nuages informatiques , le guide à destination des PME publié par la CNIL en 2010 ou encore, en 2012, le guide avancé de gestion des risques élaboré grâce à une méthode mise au point par l'ANSSI ou, enfin, les pactes de conformité permettant aux entreprises d'intégrer la préoccupation de protection de la vie privée dès la conception des produits.
« Concrètement, nous devons apporter une réponse de « sécurité en réseau ». En effet , aucun acteur n'a l'ensemble des clés pour piloter à lui seul la sécurité de cet univers. En revanche, si l'on s'adresse à l'ensemble des acteurs concernés, et que chacun d'entre eux a une action, une responsabilité particulière en termes de sécurité, alors nous pouvons collectivement garder cet univers sous contrôle, en tout cas au niveau de la sécurité de celui-ci. Qu'est-ce que signifie avoir une « sécurité en réseau » ? Le premier axe, ce sont les entreprises . Vous l'avez dit, madame Le Dain, c'est le coeur de votre préoccupation d'aujourd'hui. L'objectif est de responsabiliser ces acteurs professionnels et ces entreprises, afin qu'ils intègrent dans leur propre fonctionnement cet objectif de garantie de la sécurité des réseaux, et pour nous, à la CNIL, de la sécurité des données personnelles. »
Mme Isabelle Falque-Pierrotin
|
La CNIL comme l'ANSSI doivent s'adapter sans cesse. Cela a été illustré récemment par la CNIL face à Google mais le niveau des amendes qu'elle peut infliger devrait se situer dans une gamme propre à dissuader réellement les auteurs d'atteintes aux libertés individuelles par le numérique.
« L'action menée récemment par la CNIL vis-à-vis de Google , en partenariat avec ses homologues au niveau européen, a conduit à conclure que la politique de confidentialité de Google n'était pas conforme aux règles européennes ; l'information donnée aux personnes lors de l'utilisation de ces services, était insuffisante, les utilisateurs ne disposant pas d'un contrôle suffisant sur les combinaisons des données ; enfin, Google ne précisait pas la durée de conservation comme demandé, dans la loi informatique et libertés. C'est la raison pour laquelle, au début de l'année 2014, la formation restreinte de la CNIL a prononcé une sanction financière contre Google qui a interjeté appel de cette sanction. Non pas pour son côté financier mais pour l'obligation de publier cette sanction sur le site de Google : www.google.fr . Un référé suspension contre cette obligation a été rejeté par le Conseil d'État la semaine dernière et, cette semaine, samedi et dimanche derniers, sur le moteur de recherche un avis indiquait que Google avait été condamné à publier le fait qu'il avait été sanctionné pendant quarante-huit heures. »
M. Gwendal Le Grand
|
Pour sa part, l' ANSSI s'attache à la fiabilité des matériels et accorde des labellisations à ceux-ci .
Face à la rapidité et aux aspects techniques sans cesse renouvelés des attaques numériques, il est souvent proposé d'accroître de manière significative les effectifs de l'ANSSI toujours davantage sollicitée.
La loi de programmation militaire de 2013 a encore chargé l'ANSSI de nouvelles missions. Cependant, en dépit de la prévention que l'ANSSI développe et de ses indispensables interventions, cette agence ne saurait voir sa mission s'étendre de tous les opérateurs d'importance vitale et des points d'importance vitale à tous les sous-traitants, fournisseurs et clients de ces opérateurs. Pas davantage à l'ensemble des entreprises situées sur le territoire national qui sont, pourtant, toutes menacées par l'insécurité numérique.
Comme l'ont souligné plusieurs personnes entendues, la protection, la défense numérique des entreprises doivent se construire dans la profondeur, avec des couches successives de sécurité .
« Comme les antivirus ne couvrent pas tous les risques du numérique, la protection assurée par les antivirus doit être complétée par l'importante défense en profondeur . Il s'agit de l'empilement de briques de sécurité qui permet d'accorder un certain niveau de sécurité aux outils et aux usages que l'on en fait. L'outil informatique comprend des mises à jours de sécurité des briques matérielles et logicielles car les composants ne sont pas développés de façon suffisamment sécurisée et comportent des failles de sécurité . Tout un écosystème vit de la détection, de la production et de la vente de ces failles de sécurité. »
M. Philippe Le Bouil
|