L’utilisation accrue des Systèmes d’Informations (SI) est incontestablement un progrès qui s’est accompagné de nouveaux comportements dans le cyberespace.
En effet, le développement de l’accès aux réseaux de télécommunications et aux Technologies de l’Information et de la Communication (TIC) ont fait courir un risque grandissant en matière de sécurité, marqué par un accroissement des infractions dans le cyberespace.
Ces infractions portent essentiellement sur les réseaux de télécommunications et les SI mais surtout sur leur socle fondamental à savoir les données personnelles des utilisateurs.
Face à la recrudescence des infractions commises via les réseaux de télécommunications, la Côte d’ivoire s’est dotée depuis 2013, d’un arsenal juridique dans le secteur du numérique visant à protéger les acteurs (consommateurs et opérateurs) de cet espace. Il s’agit notamment des lois :
Les textes sus-rappelés visent d’une part, à encadrer tout traitement et protéger les données personnelles et, d’autre part, à sanctionner toute infraction de nature pénale commise au moyen ou sur un réseau de télécommunications, un SI ou sur les données personnelles.
Le thème « cybercriminalité et protection des données personnelles » sera traité sur le fondement des lois précitées selon la démarche qui consistera (i) à définir ces notions (ii) afin d’en déterminer le trait d’union entre elles et leur caractéristique (iii) pour leur assurer une protection adéquate.
La Cybercriminalité est composée du préfixe cyber servant à former de nombreux mots relatifs à l’utilisation du réseau internet et du mot criminalité qui est l’ensemble des actes criminels commis dans un groupe social donné au cours d’une période donnée.
Par cybercriminalité, il faut entendre l’ensemble des infractions pénales commises sur les réseaux de télécommunications en particulier internet à l’aide d’outils informatiques en piratant, par exemple des données existantes afin d’obtenir illégalement un quelconque profit.
Les données personnelles, se définissent, quant à elles, comme toute information de quelle que nature que ce soit indépendamment de son support qui permet d’identifier ou de rendre identifiable une personne physique.
Il convient à présent de s’interroger sur les causes et formes courantes de la cybercriminalité en rapport avec les données personnelles ?
Les causes de la cybercriminalité sont diverses et variées. Il peut s’agir de défis techniques et technologiques, dans d’autres cas, d’appât du gain facile ou encore d’une simple envie de nuire, etc.
Toujours est-il qu’on s’imagine aisément que les méfaits sont beaucoup plus simples à réaliser derrière un écran d’ordinateur que dans la réalité.
Aussi, importe-t-il de souligner que ces méfaits portent dans la plupart des cas sur la fraude liée à la carte de crédit, d’usurpation d’identité, d’extorsions de fonds, de fraude commerciales, d’abus de confiance, d’escroquerie et de menaces répréhensibles diverses.
Comme on peut le voir dans les exemples les plus courants sus rappelés, ces méfaits portent dans la majeure partie des cas sur les données personnelles.
La cybercriminalité et les données personnelles sont étroitement liées.
Les données personnelles sont pour la révolution numérique ce que le pétrole a été dans le domaine de l’énergie au début du XXème siècle. Cette révolution numérique qui façonne notre mode de vie, sans même que nous nous en rendions compte, vers plus d’informations, plus de vitesse de connexion, plus de transparence a malheureusement l’inconvénient de fragiliser notre vie privée.
C’est tout aussi vrai que l’utilisation des réseaux de communication fait désormais partie de notre quotidien et nécessite dans la quasi-totalité des cas, la collecte et le traitement de données personnelles.
En effet, toute connexion à un site internet quelconque passe inéluctablement aujourd’hui par une identification voire une authentification de l’utilisateur qui renseigne dès lors ses identifiants (adresse mail, contact, nom et prénom, …) associés aux informations de connexions recueillies (adresse IP) faisant ainsi des données personnelles l’assise indéniable des SI.
Il n’est donc plus à démontrer la facilité qu’il y a de commettre des méfaits sur les données personnelles par le biais de son ordinateur que dans la réalité.
Plusieurs exemples permettent d’étayer la criticité des cyberattaques aussi bien sur les réseaux informatiques que sur les données personnelles. Nous n’en retiendrons que quelques-uns.
Actuellement, « Sur le marché noir, la valeur des données de santé dépasse celle des numéros de carte bancaire ou de sécurité sociale». On note un hausse de 600% d’attaques contre les hôpitaux (chiffre de 2014 selon Websense une agence de cybersécurité américain).
La vulnérabilité du secteur de la santé s’explique essentiellement par la faiblesse des systèmes informatiques, un manque de culture des professionnels à la protection des données etc.
Citons aussi, le vol de 40.000 identifiants, bilan et analyses sanguines par Hackers Rex Mundi qui demande 20.000 € de rançons contre la non-diffusion de données volées. Face au refus de payer certains bilans non cryptés (environs 15 000 identifiants de connexion ont été publiés sur le site Rex Mundi)
Pour les hackers, les données de santé seraient donc un nouvel eldorado. Le secteur de la santé serait bien moins préparé que d’autres industries souvent ciblées par les attaques informatiques, tels que le commerce de détail ou la banque, qui ont élevé leur niveau de protection en ligne. Le secteur de la santé est à la traîne en matière de sécurité informatique.
Plus récemment, au cours de la première semaine de Mai 2020, la compagnie aérienne britannique avait été victime d’une cyberattaque avec soustraction frauduleuse des données personnelles d’environ 9 000 000 de clients pour réaliser des arnaques dans une période sensible liée à la COVID 19 : emails, détails de voyage et références des cartes de crédit des passagers.
La plateforme en ligne de prise de rendez-vous, Doctolib, a également été victime d’un vol d’environ 6000 données personnelles de ses clients.
Par ailleurs, une étude menée en 2016 par le CESIN (Club des experts de la sécurité de l’information et du numérique) indiquait qu’en moyenne une entreprise française subit 29 cyberattaques par an.
Selon l’institut PONEMON, il faut en moyenne 201 jours à une entreprise pour découvrir qu’elle a été victime d’une cyberattaque. Et encore 70 jours pour venir à bout des dégâts occasionnés. Autant dire que les hackers peuvent prendre leur temps pour siphonner toutes les informations possibles. Et plus le temps passe, plus les dégâts économiques et ceux portant sur la marque s’amplifient : 3,23 millions de dollars pour une détection à moins de 100 jours ; 4,38 millions pour une durée supérieure.
Terminons notre série d’illustrations avec le fameux scandale Facebook-Cambridge Analytica avec la fuite massive de données personnelles de 87 millions d’utilisateurs Facebook que la société Cambridge Analytica a recueilli dès 2014 et qui ont servi à influencer les intentions de vote en faveur d’hommes politiques qui ont retenu les services de Cambridge Analytica. En 2015, l’implication de Cambridge Analytica est dévoilée lors des primaires présidentielles du parti républicain américain de 2016 ainsi que dans la campagne électorale du Président américain Donald TRUMP.
Les conséquences d’une cyberattaque pour une entreprise pourraient se résumer plus globalement en 4 points selon la criticité croissante suivante : - La perte financière - L’atteinte à l’image de la société - La suspension de l’activité - La perte de confiance des clients et partenaires.
Si certaines conséquences sont pécuniaires comme on a pu le noter ci-dessus, d’autres en revanche, ont tellement de valeurs qu’elles sont hors de prix tels que l’atteinte à l’image de la société, la perte de confiance des clients et partenaires.
A la suite de la révélation de la fuite, les publics américain et britannique ont exprimé leur indignation. Facebook s’est donc excusée. Mais cela n’a pas empêché 26% d’utilisateurs de se désabonner. Et, pour la 1ère fois, les titres de Facebook ont brutalement chuté en bourse.
Dès lors, il s’avère capitale, dans cette ère numérique, pour toutes entreprises désireuses de renforcer la confiance de ses clients de disposer de mécanismes de sécurité informatique efficaces et fiables pouvant assurer la sécurité des données personnelles de ses clients dans le cadre de ses activités de collecte et de traitement des données personnelles.
C’est du reste et à juste titre ce que prévoit la loi relative à la protection des données personnelles en renforçant les droits des personnes concernées, augmente la responsabilité des responsables de traitement. Elle exige des responsables de traitement, une robustesse de leur SI et des réseaux d’exploitation capables de garantir la sécurité des données personnelles des utilisateurs.
La révolution numérique consacre un lien indissociable entre la lutte contre la cybercriminalité et la protection des données personnelles.
Les risques les plus significatifs que court une entreprise en matière de lutte contre la cybercriminalité et de protection de données personnelles sont regroupés en quatre (04) grandes catégories, savoir :
Fort heureusement, face à ces risques majeurs, il existe des moyens tout aussi adéquats. Le plus efficace de tous, reste incontestablement la sensibilisation accrue contre les risques de cyberattaques.
En effet, parmi les thérapies non exhaustives recommandées, il faut définir au quotidien, les bonnes pratiques de sécurité, connaître les antivirus, leurs capacités et leurs limites, le rôle et impact des Firewall, intégrer des outils de lutte contre la fuite de données, utiliser en tant que de besoin, des outils de gestion des traces informatiques et pratiquer aussi souvent que possible des audits de sécurité.
Ne dit-on pas qu’aux grands maux, il faut de grands moyens.
Par ailleurs, c’est également l’occasion de rappeler que la loi relative à la lutte contre la cybercriminalité sanctionne lourdement toute manipulation de données personnelles non autorisées, savoir :
Les peines encourues sont l’emprisonnement pour des durées allant de 1 à 5 ans et une amende de 5 000 000 à 100 000 000 FCFA.
L’entreprise peut également écoper des sanctions ci-après, en cas de non-respect des dispositions légales visant à protéger et sécuriser les données personnelles :
En conclusion, la lutte contre la cybercriminalité et la protection des données personnelles sont au centre de la préoccupation d’Orange Côte d’ Ivoire.
La Direction générale qui s’est donnée les moyens pour renforcer la confiance de ses clients B2B et B2C, s’est engagée dans une démarche irréversible de conformité réglementaire et de sécurisation de ses infrastructures technique et informatique. Aussi, a-t-elle fait adopter une politique de sécurité réseau et informatique communiquée périodiquement à l’ensemble du personnel et une lettre de cadrage adressée à toutes les directions opérationnelles en lien avec le traitement des données personnelles.
Son engagement est traduit par le slogan affiché partout où besoin : « Orange Côte d’Ivoire respecte votre vie privée et protège vos données personnelles ».
La lutte contre la cybercriminalité et la protection des données personnelles sont l’affaire de Tous !
Rédigé par : AKA Désiré
Correspondant à la Protection des Données personnelles
