Selon le dernier rapport de l'Internet Society (ISOC), qui s’est donnée pour mission de « promouvoir le développement, l’évolution, et l’utilisation de l’Internet au bénéfice de tous les individus à travers le monde », il faut d’abord penser en priorité à l’intérêt des utilisateurs. Ensuite, et c’est la seconde proposition de l’Internet Society, il faut aussi que les entreprises se montrent plus transparentes sur les risques et les conséquences des vols de données. Cela implique également - c’est la troisième proposition de l’ISOC - qu’elles accordent une plus grande priorité à la sécurité des données pour faire en sorte que les violations ne se produisent pas. À noter que l’ISOC n'est pas seulement une autorité morale et technique consultative. L’association apporte aussi un soutien organisationnel et financier à l'Internet Engineering Task Force (IETF), un groupement d’ingénieurs et de chercheurs à qui l’on doit de nombreux protocoles et standards sur lesquels repose le réseau Internet, d’où l’importance des recommandations de ce rapport sur les priorités à accorder à la sécurité.
La quatrième proposition énoncée par Michael Kende, économiste, ISOC Fellow et auteur du rapport, consiste à rendre les entreprises responsables des violations de données. « Certaines entreprises évaluent le coût d'une infraction sur leur activité (4 millions de dollars en moyenne, selon l’ISOC) et investissent en conséquence dans la prévention, mais elles ne tiennent pas compte de coûts externes, notamment ceux qu’auront à supporter les utilisateurs affectés par un vol de données », a ainsi déclaré Michael Kende. Il est assez facile de compenser le coût de remplacement d’une carte de crédit et d’autres documents quand les données volées sont utilisées pour usurper l’identité d’une personne, mais certains coûts ne peuvent toujours pas être calculés. « Personne, aujourd’hui, n'a essayé d’évaluer les conséquences possibles d’un vol d'identité trois à cinq ans après un vol de données », a encore déclaré l’auteur du rapport. « En cas d’usurpation de l’identité d’une personne, il n’est pas toujours possible de remonter à l’événement ou au vol de données, en particulier dans les pays qui n'ont pas de règles de divulgation ».
Un vrai label sécurité pour les sites web
Dans la dernière proposition, l’ISOC estime que les entreprises devraient afficher plus clairement le niveau de sécurité de leurs sites web et de leurs services. Michael Kende suggère par exemple l’ajout de logos permettant d’identifier les processus de certification mis en place par ces sites. Selon lui, les sites de commerce certifiés auraient tout à gagner, parce que les visiteurs auraient confiance et feraient plus facilement des achats en ligne. Cet avantage fait dire à Michael Kende que les entreprises pourraient supporter le coût supplémentaire de cette certification.
Mais cette certification ajoute un nouveau problème : comment, en effet, rendre la certification digne de confiance ? Le site de rencontre canadien Ashley Madison s’était affublé d’un faux « Prix de la sécurité » sur son site web avant de subir une violation massive de données. Restaurer la confiance dans l'Internet risque de prendre du temps. « Si c'était aussi simple, nous aurions trouvé la solution depuis longtemps ! », reconnaît Michael Kende.
Commentaire