Le dernier épisode de «Wall & Street Live» abordé le cas Equalizele dossier illégal de 800 mille noms connus et moins connus par une agence d'enquête qui a violé les systèmes informatiques publics et privés. Nous avons analysé les implications de l'histoire avec la contribution de Alessandro Curioniprésident et fondateur de Di.Gi. Académie.

Comment un citoyen peut-il se défendre contre les violations de la vie privée numérique ?

«En tant que citoyens, nous pouvons faire de notre mieux pour utiliser en toute sécurité les appareils dont nous disposons, qui sont désormais nombreux. Il n’y a plus seulement le smartphone, l’ordinateur portable, la tablette, nous avons aussi les téléviseurs, les appareils électroménagers et bien d’autres appareils connectés à Internet à la maison. Ce qu'il faudrait faire de manière générale, c'est que l'opinion publique commence à exiger, comme exigence de tout ce qu'elle achète ou de tout service fourni, même par l'État, que la sécurité fasse partie intégrante».

Qu’est-ce qui distingue l’affaire Equalize ?

«Nous sommes confrontés au pire scénario possible, à savoir celui que l'on appelle initiéla taupe à l'intérieur des systèmes, qui de temps en temps pouvait être un agent des forces de l'ordre, un employé ou quelqu'un d'autre jusqu'à ce que ce système s'industrialise lorsqu'il a réussi à s'infiltrer à l'intérieur des entreprises chargées de la maintenance de ces systèmes des techniciens, donc des administrateurs système, qui ont donc permis à cette agence d'installer un malware qui a créé un porte arrièrec’est-à-dire une porte dérobée, un canal de communication caché, qui lui a permis d’exfiltrer massivement les données présentes. »

Comment améliorer la sécurité des systèmes d’accès aux données du gouvernement ? Dans ce cas, on a violé le SDI, qui est le système inter-agences du ministère de l'Intérieur qui concerne le signalement des délits et des délits commis, mais si telle est la pratique, il pourrait également être facile d'accéder au système d'échange de données du ministère de l'Intérieur. Agence du revenu.

«Le problème ici n'est pas que ces systèmes ne disposent pas de certaines mesures de sécurité, le fait est que lorsque des anomalies surviennent, car si quelqu'un accède à 15 000 fichiers en l'espace d'un mois, cela pourrait être anormal, il faut que quelqu'un vérifie. Cependant, si personne ne vérifie, il est clair que c’est un jeu facile pour ceux qui veulent violer le système. Alors tu en as besoin dissuasion. Je dois avoir le doute que si je fais quelque chose qui sort des sentiers battus, quelque chose qui n’est pas normal, ils me verront probablement, ils le remarqueront. Et puis cela a un effet dissuasif. Pour détecter les anomalies, il existe des technologies qui font leur travail, mais il faut que quelqu'un examine ces anomalies, les reconnaisse et effectue une série d'activités qui doivent conduire non seulement à l'identification de la personne, mais aussi à la compréhension du cas, c'est-à-dire si c'est une violation ou une activité ordinaire. Je comprends qu'il pourrait alors y avoir toute une série d'implications en matière de vie privée, mais si nous reconnaissons qu'il existe des bases de données qui présentent un risque très élevé parce qu'elles contiennent des données particulièrement sensibles, cela signifiera que pour travailler dans ce secteur, il faudra s'attendre à un compression, d'une manière ou d'une autre, de ses droits ».

Et en termes de gouvernance dans le secteur privé, qu’est-ce qui doit changer ?

«L'autorité de protection des données il y a quelques années, il a publié une disposition spécifique pour obliger les banques à éviter exactement le cas qui s'est produit récemment avec un employé de banque qui espionnait les relations avec les clients. Notre garant a estimé qu'il fallait empêcher et contrôler la possibilité pour les employés de la banque d'accéder aux données et aux informations de tous les clients de la banque, et donc pas seulement de ceux dont ils s'occupaient personnellement. Et même avant cela, notre Autorité Garante, en 2008-2009, avait lancé une disposition spécifiquement destinée à vérifier les activités des administrateurs système. Ces règles sont toujours restées en arrière-plan, elles ont été plus ou moins adoptées par toutes les organisations, mais il est clair que l'Autorité garante elle-même dans ses dispositions s'est justement heurtée à la question des droits des travailleurs, les données les concernant au travail sont appartiennent au travailleur, c'est-à-dire qu'ils constituent des éléments fondamentaux de son activité professionnelle et ce qu'il fait pendant son activité professionnelle ne peut même pas être surveillé du point de vue du travailleur. Statut des travailleursparce que cela ne peut pas être surveillé de manière absolue, mais parce qu'il y a un risque sous-jacent d'évaluer la performance du travailleur et donc nous sommes toujours restés un peu au milieu de cette question. Trouver un équilibre n’est pas très facile, mais ces technologies sont si omniprésentes que si l’objectif est de protéger la vie privée à un niveau assez élevé, alors la couverture devient inévitablement trop courte. »

Gian Maria De Francesco

Tags : Agence du revenu, Alessandro Curioni, porte dérobée, banques, cybersécurité, dissuasion, Di.Gi. Académie, Privacy Guarantor, hacker, insider, Malware, Ministère de l'Intérieur, vie privée, SDI, sécurité informatique, système d'échange de données, Statut des Travailleurs, cheval de Troie

Equipe Eureka Formation
Equipe Eureka Formation

En tant que rédactrice pour notre équipe, Lucie apporte sa passion pour l'écriture et sa créativité à nos contenus. Son expertise dans divers domaines enrichit nos publications et assure une diversité de sujets captivants. Quant à Mathieu, notre journaliste, sa curiosité sans limite et son professionnalisme aiguisé garantissent des articles perspicaces et informatifs pour nos lecteurs.

A lire également