Vous mettez en parallèle l’affaire Snowden et l’évolution des systèmes d’information d’entreprise vers le Cloud Computing. Pouvez-vous nous expliquer pourquoi ?
Le Cloud Computing est un domaine informatique en plein développement. Déjà, avec le Patriot Actdu 26 octobre 2001, le gouvernement des États-Unis est en droit d’exiger de n’importe quel acteur informatique US ou localisé sur le territoire américain de lui fournir les fichiers faisant l’objet d’une réquisition. La mise à jour du système Prism, révélé par l’affaire Snowden, a montré que l’écoute des conversations téléphoniques et des fichiers informatiques était industrialisée à très grande échelle. En clair, tout ce qui transite à un moment donné par une infrastructure informatique américaine est susceptible d’être écouté. Dans les infrastructures de Cloud Computing d’Amazon, Google, Salesforce, dans les logiciels de Microsoft, les réseaux de Verizon ou AT&T… il peut y avoir du Prism. Il n’y a donc pas que le Cloud. C’est toute l’informatique US qui, de facto, est assujettie au Patriot Act. D’ailleurs, tous les ténors de l’informatique américaine ont confirmé, bien avant les révélations d’Edward Snowden, qu’ils fourniraient les données et fichiers exigés par l’Administration américaine.
Après les refroidissements diplomatiques de la France et de l’Allemagne à ce sujet, la visite d’État de François Hollande aux États-Unis a-t-elle changé quelque chose ?
Non. D’ailleurs, avec l’article 20 de dernière loi de programmation militaire française fait sauter un certain nombre de contraintes pour lancer ce type d’écoute et de surveillance en France. Donc, on peut craindre que les pratiques des autorités françaises se rapprochent de celles des États-Unis. Auparavant, il fallait un engagement a priori des pouvoirs judiciaires pour réaliser des écoutes. Maintenant, ce contrôle est réalisé a posteriori.
Si l’État français met en place de tels moyens, quelles entreprises seront ainsi espionnées ?
Difficile à dire. Le propos est avant tout de protéger les intérêts de la France. Le problème, c’est de savoir quand ces intérêts présentent des risques et qui les qualifie. Mais on peut craindre, sans toutefois l’affirmer, une instrumentation des moyens d’écoute.
Les solutions de cryptage des données et les réseaux privés virtuels constituent-ils des parades suffisantes ?
Rien n’est moins sûr. Là encore, les détails des informations liées à Prism laissent à penser que les autorités américaines bénéficient déjà d’une certaine capacité à déchiffrer à la volée autant en stockage des données qu’en communication.
En fait, y a-t-il un paradis pour la sécurité des données informatiques sur Terre ?
De mon point de vue, non. Les États tentent de reproduire une logique de frontières terrestres les frontières terrestres dans l’univers de l’Internet qui s’est bâti sur un postulat contraire. Cette démarche risque d’être très compliquée.
Les entreprises doivent-elles se faire à l’idée que leurs données informatiques sont susceptibles d’être espionnées par les États ?
Oui. L’incident de sécurité, qu’il soit lié ou non à de la surveillance étatique, fait partie de l’univers informatique. Il convient donc d’en moduler l’utilisation en fonction de la criticité des données que l’on manipule.
Que peuvent faire les entreprises pour protéger la confidentialité de leurs données ?
En garder le contrôle ! Il n’y a pas de protection absolue. A côté des pratiques de bon sens (ne pas laisser traîner ses mots de passe sur l’écran…), les entreprises doivent savoir où, physiquement, se trouvent leurs données, par quels logiciels elles sont générées ou traitées et par quels moyens de sécurité elles sont protégées… Une chose est sûre : les actifs les plus critiques n’ont pas à être dans le Cloud public. Les entreprises vivent dans un écosystème imparfait. Et c’est avec cette réalité qu’elles doivent vivre.
Propos recueillis par Erick Haehnsen
Commentez