BYOD, Mobilité et responsabilités légales

Ces partisans de la politique de l’autruche se trompent doublement. Premièrement, les hackers apprécient tout ce qu’ils peuvent glaner, ne serait-ce que pour le simple vol d’identité, lequel, d’après le Identity Theft Resource Center, a coûté aux entreprises et aux consommateurs un demi- trillion de dollars en 2010. Deuxièmement, les tribunaux tiennent les entreprises pour responsables des violations de données, selon la doctrine «fiduciary duty», stipulant qu’une bonne sécurité des données figure parmi les “pratiques usuelles et habituelles” minimales qu’une organisation doit utiliser pour protéger les données qui lui sont confiées.

Par exemple, dans le cas de Shames-Yeakel v. Citizens Financial Bank, le tribunal de l’Etat de l’Illinois a jugé la banque négligente dans son usage de l’identification par mot-de-passe à un seul facteur pour les transactions en ligne. Les plaignants étaient des clients de la banque accusée et avaient été victimes d’un vol d’identité après qu’un hacker ait volé leur crédit d’emprunt de 26 500 $.

Cette constatation excluait les règlementations de la banque sur les données en ligne, lesquelles niaient
toute responsabilité pour des transactions non autorisées. Le tribunal a fait valoir l’obligation légale (fiduciary common law duty) de la banque de protéger les informations confidentielles de ses clients. Et les plaignants ont fait remarquer que l’authentification à un seul facteur était inadéquate, car il existait des méthodes multifacteurs volontairement ignorées par la banque.

Les règles de gouvernance spécifiques ne font qu’accentuer vos obligations en matière de sécurité des données. HIPAA, par exemple, édicte que les entités concernées «implement policies and procedures to restrict access to, protect the integrity of, and guard against the unauthorized access to electronic Public Health Information.» (Mettent en oeuvre les règles et procédures pour restreindre l’accès, protéger l’intégrité, et empêchent l’accès non autorisé aux informations de santé publiques). HIPAA ne cite pas de mesures de sécurité spécifiques, simplement parce qu’aucun protocole ou technique de cryptage ne couvre tous les cas (situations ou organisations). Mais l’intention est claire : empêcher tout accès non autorisé. De la même manière, le Sarbanes-Oxley Act, qui s’applique aux sociétés publiques et à leurs cabinets de comptabilité publics, identifie des objectifs de sécurité front-end, back-end, et dans un certain périmètre, sans spécifier aucune technologie. Les règles sont suffisamment détaillées pour déterminer si telle conception de réseau ou telle mesure de sécurité répond aux objectifs fixés.

Les appareils mobiles posent un problème particulièrement épineux quant à la sécurité, parce qu’ils
s’éloignent du profil traditionnel : un utilisateur à distance devant son bureau dans un environnement présumé sûr. Premièrement, les appareils mobiles apparaissent souvent comme un navigateur ordinaire aux yeux des plates-formes Software as a Service (SaaS), telles que des applications de gestion de données de santé. À moins que l’application ne recherche spécifiquement des utilisateurs mobiles et ne restreigne les données en conséquence, les règles peuvent être transgressées. Deuxièmement, les utilisateurs distants peuvent fort bien télécharger des données sensibles et les stocker sur leur appareil mobile sans aucun cryptage, avec les conséquences qu’on devine. Enfin, les appareils mobiles se prêtent à la photo d’écran et à un regard indiscret par-dessus l’épaule (shoulder surfing). Un voleur de données peut accéder facilement à une application distante, puis prendre des photos d’écran qu’il enverra par e-mail pour exporter des données sensibles.

Il est important de connaître vos responsabilités légales parce que vous serez amené à demander à votre
direction l’investissement nécessaire pour assurer une forte sécurité mobile. Vos managers doivent savoir que la loi les oblige à dépenser de quoi protéger les utilisateurs mobiles, sauf à renoncer purement et simplement à l’informatique mobile.