Confidentialité dans le messaging: silence, on nous écoute !

Sharing is caring!

L’affaire Cambridge Analytica et les nombreux scandales similaires l’ayant suivi ou précédé ont attiré l’attention des consommateurs sur un sujet de premier ordre. Ces derniers sont de plus en plus préoccupés par l’usage fait de leurs données, un phénomène qui trouve écho dans les différentes législations adoptées à travers le monde.

Les réseaux sociaux et leurs algorithmes toujours plus sophistiqués, combinent ces informations pour sélectionner les contenus aptes à vous conserver le plus longtemps possible sur l’application vous montrant ainsi un maximum de publicité. Sur Instagram (entre autres) c’est votre attention qui est vendue à des entreprises par des géants du Web, d’où l’adage : « Si c’est gratuit c’est que vous êtes le produit ».

De l’autre côté de l’écran

Les révélations d’Edward Snowden en 2013, bien qu’elles n’aient pas provoquées le séisme attendu, ont contribué à mettre en lumière l’importance d’une vie numérique privée. La confidentialité des échanges, un problème jusqu’alors peu discuté, devient une norme à adopter et donc à mettre en avant.

La digitalisation des pratiques entrepreneuriales, renforcée par le confinement et l’explosion des services de messaging accroît ce phénomène. Tout nouvel outil numérique peut devenir un gouffre dans lequel iront se perdre conversations privées et secrets professionnels.

Ainsi en moins d’une semaine Zoom, l’application de visioconférence plébiscitée au début de la crise sanitaire a été épinglée pour collecte de données, transfert d’informations personnelles à Facebook, utilisation de la caméra et du microphone sans l’accord de l’usager et violation des limitations de macOs lors de l’installation.

Or ce type de service se fait de plus en plus courant. Depuis un an, le messaging est devenu le nouveau standard de la relation client et il sert parfois les échanges d’entreprises en possession de données sensibles (secteur bancaire, domaine de la santé).

Protéger ces interactions est donc une nécessité absolue pour l’entreprise comme pour le client qui pourraient perdre beaucoup en cas de fuite. Dès 2012, ce constat amène l’Union Européenne à voter le règlement pour la protection des données (RGPD) qui entrera en vigueur six ans après.

Il exige une transparence totale des entreprises collectant des données et place le consentement du client au cœur de cette démarche. Vous avez probablement remarqué les différentes mises à jour des conditions d’utilisation générale de vos réseaux sociaux ainsi que les pop-ups désormais omniprésents vous demandant d’accepter ou non certains cookies : c’est la partie visible du RGPD.

De l’autre côté de l’écran, de nombreuses garanties sont établies. Vos données, lorsqu’elles sont traitées, doivent être anonymisées et toute information superflue permettant de vous retrouver (adresse IP, mail, nom, âge) ne peut être collectée. Vous bénéficiez en outre d’un droit regard, d’opposition et d’oubli sur les données recueillies.

Le non-respect de ce règlement peut coûter 4% du chiffre d’affaire de l’entreprise incriminée ou une amende de 20 millions d’euros. Il a une application extraterritoriale et tout individu ou société traitant les données d’un ressortissant européen doit s’y plier.

Cet attrait protectionniste touche peu à peu les cinq continents. Un nombre de pays toujours plus important adopte un règlement semblable au RGPD. Une nouvelle aussi rassurante en apparence que problématique en profondeur.

En effet, ces textes fondés sur une idée et une volonté commune divergent fortement. Or le règlement européen accepte que des entreprises étrangères traitent vos données si elles tombent sous le joug d’une législation sensiblement similaire, c’est par exemple le cas du Cloud Act aux Etats-Unis.

Ce dernier assure donc la confidentialité des données traitées entre autres par les GAFAMS alors qu’il est jugé par beaucoup de spécialistes français comme bien moins protecteur que le RGPD, plaçant nos informations personnelles collectées outre-Atlantique face à un risque réel.

Un collaborateur averti en vaut mieux que deux

Bien que ces dernières semblent vouloir faire amende honorable en offrant de plus en plus de garanties, s’appuyer sur les applications de messaging américaines reste potentiellement dangereux. WhatsApp ou Messenger ont ainsi mis en place un cryptage de bout en bout, mais l’absence de regard de leur propriétaire est loin d’être garantie.

Pour des échanges confidentiels il est préférable de se tourner vers des alternatives comme Wire, une application recommandée par Edward Snowden ou certains concurrents de Zoom. Il est ensuite primordial de former correctement ses collaborateurs pour éviter que des acteurs mal intentionnés ne mettent la main sur des informations sensibles.

Aujourd’hui le premier facteur responsable d’une fuite de données est le risque humain. En effet la plupart des attaques en ligne sont des tentatives de phishing. Un individu, sous couvert d’une fausse identité (faux mail de votre banque, de l’Etat…) vient vous demander certaines informations personnelles. Il pourra par exemple les utiliser pour vider vos comptes bancaires.

Cette menace entraîne une demande en moyens de protection et donc une offre de plus en plus diversifiée. La technologie est au cœur de cette démarche mais bien qu’elle soit un atout important elle reste malheureusement faillible. En effet elle est constamment concurrencée par les avancées technologiques et les nouveaux types de fraude.

L’intelligence artificielle peut par exemple repérer et bloquer les mails frauduleux. Leur fermer la porte ne suffit évidemment pas puisqu’ils ne manqueront pas de revenir sous une autre forme, depuis une autre adresse IP.

Pour devenir plus performante et apprendre, l’IA a besoin d’un grand nombre d’exemples or, selon Verizon, seul 17% des mails de phishing sont signalés au service informatique. En cause ? L’absence, ou la superficialité des formations reçues par les salariés qui travaillent pourtant constamment sur des outils numériques.

Ces séminaires ont généralement lieu tous les ans, un temps suffisamment long pour que les mesures de protection soient oubliées alors que les arnaques auront eu le temps d’évoluer. Choisir un mot de passe fort, apprendre à repérer un courriel douteux, changer régulièrement de navigateur de recherche sont des réflexes à apprendre et à appliquer au quotidien.

Il est établi que la solidité d’une chaîne se mesure à son maillon le plus faible et dans le domaine de la cybersécurité, l’expression fait état de loi. Si un seul employé commet une erreur c’est toute l’entreprise qui peut se placer elle comme ses clients dans une situation de préjudice de grande ampleur.

Sharing is caring!