+33 178 429 987

Les problèmes de Facebook font grandir les inquiétudes en matière de confidentialité

Ces dernières années, des fuites de données massives ont affecté des millions de consommateurs à travers le monde, avec des sociétés comme Equifax, FedEx, Uber, le site de voyages en ligne Orbitz et d’autres entités qui ont été durement touchées par des cybercriminels. Parallèlement, le département de la Justice des États-Unis et le Bureau Fédéral d’Investigation ont diligenté une enquête sur la société d’exploitation de données Cambridge Analytica dans le cadre du scandale de protection de la vie privée auquel Facebook est mêlé.

Bien qu’il ne soit pas certain que l’enquête soit liée aux prétendus liens de Cambridge Analytica avec la campagne de Donald Trump en 2016, le récent drame qui a touché Facebook est un cas d’école qui apprendra aux organisations et aux entreprises à mieux gérer les données qui leur sont confiées, ont déclaré des experts en cybersécurité interrogés par Crain’s.

Au moins, la perte de contrôle par Facebook des données de ses utilisateurs a permis d’engager un dialogue sur la protection de la vie privée jamais vu auparavant, a noté David Wintrich, directeur académique de Tech Elevator, un institut de formation à la programmation basé à Cleveland.

Il y a eu des fuites de données plus importantes, mais le cas Facebook a touché beaucoup de gens de très près, a déclaré Wintrich. Il y a eu un impact direct sur le cours des actions de Facebook et nombre d’utilisateurs ont quitté la plate-forme. Les entreprises auraient bien fait d’y prêter attention.

Facebook a prétendu que la récente fuite de données n’était pas un véritable piratage du système, maigre consolation pour les 87 millions d’utilisateurs dont les données ont été recueillies par une application de quiz qui a siphonné les informations des listes d’amis de ses participants. Les données ont ensuite été apparemment conditionnées et vendues en violation des termes de service de Facebook pour fournir une expertise de ciblage publicitaire pour la campagne Trump, ce qui représente une violation potentielle des lois électorales américaines.

Que l’incident de Cambridge Analytica constitue ou non une violation – une allégation contestée sur Twitter par le directeur de la sécurité de Facebook en mars – il s’agit en tout cas d’une atteinte à la confiance de millions d’utilisateurs du réseau social qui avaient certaines exigences en matière de confidentialité. Reconquérir la confiance des consommateurs exige de se refocaliser sur la sécurité des données, un aspect de la sécurité qui a culturellement tendance à se perdre dans les environnements trépidants sur fond d’innovation, a soutenu Wintrich.

Facebook est célèbre pour son credo : évoluer rapidement et bouleverser les codes, a-t-il déclaré. Il est clair que le réseau social est prêt à tolérer quelques bugs et aspérités dans son service pour capter des parts de marché. Mais si vous cassez l’infrastructure de base, cela peut être terriblement perturbateur. Facebook ne protégeait pas vraiment la vie privée de ses utilisateurs.

De même que la sécurité physique est intégrée à la culture de la plupart des lieux de travail, la confidentialité des données doit être traitée avec le même respect, en partant des cadres dirigeants et en s’étendant au reste de l’organisation.

Les dirigeants doivent s’approprier cette politique – ils doivent y adhérer, la vivre et lui donner du mordant, a déclaré Wintrich. (Le PDG de Facebook) Mark Zuckerberg était coupable d’avoir créé une culture qui ne mettait pas suffisamment l’accent là-dessus. Vous avez besoin d’un leader au sommet de l’entreprise qui dise : « Nous nous sommes trompés et nous nous efforçons de réparer nos erreurs. »

Robert Eckman, récemment nommé par l’Université d’État de Cleveland au poste de directeur exécutif du centre pour la cybersécurité et la protection de la vie privée du Cleveland-Marshall College of Law, encourage chaque organisation à promouvoir une culture de confidentialité des données face à un paysage de menaces croissantes. Selon une étude de l’institut de recherche indépendant Ponemon Institute, le coût moyen d’une fuite de données est de 7 millions de dollars. Environ un tiers des entreprises du monde entier devraient subir une forme de cyberattaque au cours des 24 prochains mois.

Quand on atteint un tel niveau de pertes de données, les organisations vont inévitablement se recentrer sur la sécurité interne, a déclaré Eckman. C’est la conséquence directe de ces attaques.

Les outils pour lutter contre les logiciels malveillants et autres dangers en ligne se sont répandus dans les entreprises, mais c’est l’utilisateur final qui contribue souvent involontairement à la fuite des données, selon Eckman. Sans une formation appropriée, les employés peuvent ouvrir sans le savoir des courriels d’hameçonnage ou cliquer sur des liens vers des sites web conçus pour voler leurs informations.

Josh Gatka, expert de la sécurité chez Hyland Software, a déclaré qu’une formation de sensibilisation à la préservation de la confidentialité des renseignements personnels devait faire partie du travail de chacun.

Les organisations doivent s’efforcer de former leurs employés, de manière récurrente, sur la façon de gérer les renseignements personnels et privés des personnes avec qui elles traitent, a déclaré Gatka dans un courriel. Cette formation est généralement soutenue par des politiques et des audits qui renforcent et mettent l’accent sur la confidentialité et la sécurité des données.

Pour les entreprises qui se voient confier les données de leurs clients, la première étape consiste à comprendre précisément le type de données dont elles sont responsables, selon Eckman.

Beaucoup d’organisations ne savent pas quelles sont leurs données sensibles, a-t-il déclaré. Cela peut être des dossiers médicaux électroniques ou des numéros de cartes de crédit, mais qu’en est-il de la propriété intellectuelle ? Si vous ne savez pas ce que vous avez, vous ne saurez pas comment le protéger et vous ne pourrez pas le communiquer à vos employés.

Une politique interne de classification des données garantit non seulement que ces informations seront cataloguées, mais détermine également les canaux qu’elles traverseront. Pour Eckman, toutes les universités devraient former une équipe de gouvernance des données contrôlant l’accès aux dossiers des étudiants en fonction des exigences réglementaires de la FERPA (Family Educational Rights and Privacy Act). La conformité à la FERPA établit l’utilisation acceptable des informations des étudiants, en aidant les écoles à rédiger des politiques sur la sécurité des logiciels ou à protéger les mots de passe des réseaux administratifs.

Les entreprises devraient avoir des politiques internes solides pour déterminer qui peut accéder à quelles données, et à quel point il est facile d’y accéder, d’après John Nicholas, professeur de systèmes informatiques à l’université d’Akron. Beaucoup d’entreprises ont fait des progrès, formant leurs employés à créer de bons mots de passe ou limitant, à l’aide de politiques, les sites que les travailleurs peuvent consulter afin d’éliminer les failles des portes dérobées.

De plus en plus d’organisations prennent également en considération la qualité des données, et s’il est légal, éthique ou approprié d’utiliser certains types de données dans un but particulier. Une entreprise comme Goodyear, par exemple, ne devrait pas avoir besoin du numéro de permis de conduire d’un client dans le cadre de son processus de tenue de registres, a déclaré Nicholas.

L’équipe qui prend ces décisions devrait être composée d’une personne ayant accès aux données, qu’il s’agisse d’un responsable des opérations, d’un responsable des ressources humaines ou d’un expert en informatique, a déclaré Eckman de l’université d’état de Cleveland. Étudiez attentivement les réglementations : le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne représente certainement le plus grand changement en matière de sécurité des données en Europe de ces 20 dernières années, une décision qui a un impact sur les entreprises américaines qui recueillent des données personnelles ou d’autres renseignements personnels dans un pays de l’UE. Un manquement aux réglementations du RGPD peut entraîner des sanctions financières massives de 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.

Ce qui motive l’industrie, ce n’est pas simplement le risque de faire la une, a déclaré Eckman. [La non-conformité] aura de véritables conséquences financières qui forceront les entreprises à réévaluer leur structure de revenus en conséquence.

Si le scandale Facebook a appris quelque chose aux entreprises, c’est qu’une fois que leurs données se sont échappées, elles ne peuvent plus être récupérées. De même que les organisations doivent tenir compte de la qualité de leurs données, elles doivent également déterminer l’usage qu’elles font de leurs informations les plus vulnérables.

Les méchants ont et auront toujours une longueur d’avance, d’après Eckman. Alors faites attention à ce que vous partagez et à comment vous le partagez. Restez vigilants et avertis et faites en sorte de tirer vos propres conclusions.

Cet article a été initialement publié par crainscleveland.com

No Comments Yet

Boldon James Ltd, Cody Technology Park, Ively Road, Farnborough, Hampshire GU14 0LX, United Kingdom