Quels sont les événements qui ont entraîné un tel emballement médiatique autour de révélations sur des programmes secrets de la NSA ?
Deux journaux (le Guardian et le Washington Post) ont publié des documents identifiés comme Top Secret en provenance de la NSA. Ils ont été fournis par un prestataire des services secrets américains, Edward Snowden. Ce dernier, intervenant en tant qu’administrateur de système, a été choqué par les informations auxquelles il avait accès. Il a alors décidé de contacter des journalistes pour les faire connaître au grand jour. Il s’agit d’un comportement proche, mais certainement plus raisonné, de celui de Bradley Manning l’homme à l’origine de la fuite des câbles diplomatiques repris sur Wikileaks depuis 2010 et actuellement en train d’être jugé aux États-Unis.
Qu’est ce qui a été révélé concrètement ?
Trois documents ont été rendus publics : une requête judiciaire demandant à l’opérateur Verizon de fournir l’ensemble des données relatives aux appels téléphoniques sur son réseau (mais sans le contenu des appels), une présentation sur le programme PRISM qui décrit l’organisation des actions d’écoute avec les grands acteurs du web comme Microsoft, Google ou encore Facebook et, finalement, un document sur les capacités offensives et la construction de liste de cibles par la NSA dans le cyberespace. Ces documents, classifiés TOP SECRET, constituent des premières preuves de ce que les experts imaginaient précédemment. Ils ne constituent pas une surprise en soi, mais ont cependant eu un impact médiatique très important outre-manche où l’on parle même du « national spy gate ». Certaines informations ont été démenties, en particulier par les acteurs majeurs du web, qui réfutent le caractère automatique et simplifié de l’accès aux données. L’accès aux données par les forces de l’ordre est très encadré – Encadré mais certainement pas impossible ! La réaction de Google est en ce sens est particulièrement claire.
Quels impacts ont ces révélations en France et en Europe ?
Ces évènements ont eu des effets jusqu’en France et en Europe. Les débats idéologiques séparent les partisans d’une défense de la vie privée à tout prix et ceux qui jugent que ces écoutes sont nécessaires pour assurer la sécurité publique. Françoise Castex, eurodéputée et vice-présidente de la commission des affaires juridiques du Parlement européen, a adressé une question écrite à la Commission européenne. En réponse, le Commissaire en charge de la politique des consommateurs, Tonio Borg, se déclare inquiet et demande des éclaircissements aux Etats-Unis. Le gouvernement français a également réagi par l’intermédiaire de Fleur Pellerin, Ministre en charge de l’innovation et de l’économie numérique. Ces différents éléments mettent aussi en lumière les limites et les difficultés relatives au futur règlement européen sur la protection des données à caractère personnel. Un lobby très fort des acteurs américains est en cours pour réduire la portée du texte et par conséquence la protection qu’il conférerait aux européens.
Comment les entreprises doivent réagir vis-à-vis de ces révélations ? Est-ce un levier pour le RSSI ?
Ces révélations ne sont pas une surprise pour la majorité des acteurs de la sécurité. Les risques d’écoute étatiques sont intégrés depuis longtemps dans les analyses de risques relatives au projet de Cloud Computing.
Ces évènements sont surtout une opportunité pour le RSSI ! Ils mettent sur le devant de la scène une situation souvent inconnue des métiers et de la direction.
Il s’agit d’un bon levier de sensibilisation pour faire réagir sur deux thèmes : l’utilisation des outils de communication « personnels » et le rôle des administrateurs.
Les révélations sur PRISM montrent qu’il est simple et facile pour les États-Unis d’accéder aux données de personnes résidant en dehors du territoire américain. Nombre de cadres dirigeants ont souvent le réflexe de transférer sur des adresses emails personnelles ou dans des services cloud (de type Dropbox, iCloud…) des documents. Ces pratiques paraissent souvent insignifiantes, mais nous avons maintenant des éléments concrets pour montrer qu’elles peuvent mener à une fuite de données.
D’autre part, il est intéressant d’étudier l’origine de la fuite : Edward Snowden était un prestataire de service, intervenant comme administrateur système pour le compte de la NSA, embauché depuis moins de 3 mois par sa société de service. Et pourtant, il avait un accès à des documents TOP SECRET qu’il a pu faire sortir sans être inquiété. Il s’agit ici d’un rappel évident du risque attaché à la fonction d’administrateur et l’importance de prévoir un encadrement et des contremesures pour éviter ce type de situation.
Le RSSI peut donc utiliser ces révélations très médiatisées pour rebondir vers les métiers et la direction générale dès maintenant. Il faut battre le fer quand il est chaud !