(Photo: Unsplash)
Les fuites de données chez Capital One et chez Desjardins ont eu l’effet d’un dur réveil pour bien des consommateurs québécois qui pensaient que ces choses-là n’arrivaient qu’aux autres. Avec 2,9 millions de comptes d’une part, et 6 millions de l’autre, ce sont beaucoup de gens au pays qui se demandent où sur le web obscur se trouve leur numéro d’assurance sociale…
Dans bien des cas, ces personnes ont à la fois une carte Capital One (à peu près obligatoire quand on magasine chez Costco) et un compte chez Desjardins, ce qui ne fait rien pour rassurer quant au sérieux de la sécurité des données dans le secteur bancaire, en particulier, et du commerce au détail, en général.
Le hic, dans cette affaire, est qu’on a tous tendance à prendre de travers la question de la sécurité des données. Même dans les entreprises les plus soucieuses de la vie privée des gens, elles demeurent susceptibles d’être coulées par un employé mécontent, un agent imprudent, ou un contractuel maladroit.
«Il y a toujours trop de gens qui connaissent les processus internes des entreprises. Et avec l’avènement de l’infonuagique, ce sont désormais des entreprises externes qui hébergent ces données», résume David Masson, qui dirige le bureau canadien de la firme de cybersécurité américano-britannique Darktrace.
Qui sera la prochaine victime?
On peut bien se marrer de la décision de Desjardins de confier le suivi sur des données qui pourraient avoir été vendues à des gens aux intentions malicieuses à Equifax, une entreprise américaine qui a elle-même égaré l’information de quelque 160 millions de ses propres clients il y a deux ans.
Ça soulève une question, tout de même : est-ce que créer une agence gouvernementale pour remplacer ces sociétés privées qui semblent tout savoir sur nos habitudes de consommation serait plus approprié?
«Peu importe, il est impossible de protéger à 100% la confidentialité des données. Encore plus maintenant qu’il y en a tant qui circule sur les réseaux nébuleux de l’Internet obscur», poursuit M. Masson. «Ce qu’il faut se dire, c’est que le risque existe toujours et partout. La stratégie la plus sage est de se préparer à la prochaine fuite, car on sait qu’il y en aura d’autres.»
Que la fuite survienne aux États-Unis, en Europe ou ailleurs dans le monde, aucune règle frontalière sur le lieu où les données sont hébergées n’arrêtera les cyberpirates, qui se foutent un peu des lois lorsque vient le temps de récupérer une bonne partie de l’info nécessaire pour faire dans le vol d’identité.
Et la solution est…
Que les gens soient touchés par la fuite de Desjardins, par celle de Capital One, ou pas, il faut adopter une attitude de doute systématique sur les communications provenant de sources inconnues. Dans la boîte de courriel, sur les médias sociaux, par texto… Tout ce qui peut sembler anodin, mais qui demande de l’information inhabituelle sur votre quotidien, vos habitudes, votre comportement, doit être considéré comme suspect, selon le directeur de Darktrace.
«Il faudra désormais surveiller chaque relevé mensuel que vous envoie votre banque, l’émetteur de votre carte de crédit, et tous les autres, pour s’assurer qu’il n’y a pas de transactions louches dans la liste», ajoute David Masson. «Aujourd’hui, on ne peut plus prévenir les fuites. Tout ce qu’on peut faire, c’est les détecter juste assez vite pour qu’on puisse réagir tôt dans leur émergence.»
Ça vaut aussi pour les entreprises, qui doivent sérieusement revoir la façon dont ils surveillent l’information qui circule sur leur propre réseau informatique. «Sortir l’information de 106 millions de personnes de Capital One, ou même les 2,9 millions de comptes chez Desjardins, c’est générer un mouvement important et probablement inhabituel de données sur un réseau d’entreprise. Pourquoi personne n’a pu détecter ça plus rapidement à l’interne?»
Voilà, en somme, la nouvelle pierre d’assise pour réduire au minimum les risques liés aux données confidentielles qu’on confie à un peu tout le monde sur Internet. Et ce n’est qu’une partie de la solution, car dans d’autres cas, la manipulation de ces données au sein de l’entreprise, même si elle se fait sans le consentement des clients, n’est pas commise par des bidouilleurs malicieux.
Pensez à Facebook qui a partagé des infos confidentielles avec des tiers à l’insu de ses utilisateurs…
Bref, en 2019, la protection des données est un jeu du chat et de la souris. Celui qui l’emportera est celui qui court le plus vite, tout simplement.
Aussi bien s’y faire.
Suivez-moi sur Facebook:
Suivez-moi sur Twitter: