Vie Privée, Internet Et Fédéral

En matière de protection des renseignements personnels, nous avons critiqué la semaine dernière l’approche ontarienne, pour trois raisons: 1) elle est trop technologique; 2) elle accentue le sentiment de peur sur des faits peu motivés; 3) elle est fortement centrée sur une technologie d’une compagnie en particulier, Microsoft.

D’un autre côté, le fédéral vient de sortir un document fort emballant s’intitulant «Lignes directrices en matière d’identification et d’authentification» que j’ai découvert en allant sur le blogue de ma référence en sécurité, Bruce Schneier. Il est pour le moins laconique:

«These guidelines were released by the Canadian Privacy Comissioner, is a good document discussing both privacy risks and security threats»

Et c’est vrai qu’elles sont pas mal ces lignes directrices.

1) Elles sont très «organisationnelles» , établissant l’importance pour une personne, morale ou physique, responsable de renseignements personnels, de respecter des lignes de conduite de base que l’on retrouvent dans toutes les documents traitant de sécurité informatique. Plusieurs thèmes y sont traités; illustrés, le tout dans un langage très accessible.

– Authentifier seulement lorsque nécessaire
– Le niveau d’authentification doit être proportionnel au risque
– Répondre à la variabilité des menaces
– Contrôler régulièrement les menaces
– Former les employés
– Rôle des personnes
– Modifier les données d’authentification
– Choix personnels
– Faciles à se rappeler, difficiles à deviner
– Éléments d’identification personnels
– Jetons d’authentification
– Intégrité des processus d’authentification
– Liste maîtresse (plus compréhensible sous le terme de «Audit Logs»)
– Impartition

2) Elles sont très consensuelles, le processus d’élaboration de ces mesures étant le fruit de rencontres avec tous les corps de métiers intéressés (plusieurs représentants de l’industrie de divers secteurs d’activités, des avocats, des technologues, etc.), le tout orchestré par Industrie Canada; en tout plus d’une trentaine d’intervenants d’horizons très diversifiés.

3) Pas de chiffres sortant de nul part montrant la dangerosité d’Internet et criant au loup. Je ne dis évidemment pas que tout est pour le mieux dans le meilleur des mondes; simplement, il me semble que si l’on traite d’hameçonnage par exemple, la situation m’apparaît moins critique qu’il y a 2-3 ans.

J’ai donc fait ma petite enquête et j’ai trouvé sur le site de Phone Busters (lien disponible sur le site de la GRC) (je sais c’est par téléphone mais quand même!), qu’une baisse sensible est visible:

– 2006: 1137 plaintes pour 1,88 millions de perte;
– 2005: 11231 plaintes pour 8,58 millions de perte;
– 2004: 11931 plaintes pour 18,96 millions de perte;
– 2003: 14599 plaintes pour 21,85 millions de perte;
– 2002: 8209 plaintes pour 11,83 millions de perte.

Peu d’informations récentes sont disponibles, si ce n’est la publication, en 2006, de chiffres de 2004. Avant d’avoir peur, je crois qu’il importe de savoir de quoi.

Fédéral «1» – Ontario «0».

APARTÉ:

À propos du précédent billet, je peux notamment faire état d’une étude américaine que je viens de retrouver s’intitulant «Identity Management as a Cybersecurity Case Study» de Mary C. RUNDLE et Ben LAURIE.

Le résumé montre que l’étude en question porte sur ce concept de «Identity Management».

«In the midst of these tensions, new technological tools are emerging to allow increased control over personal data. It is unclear, however, how these digital identity management tools will be used, and what their deployment will mean for the individual.»

Plus loin:

«Next it provides an overview and technological critique of a new system for digital identity management that the Microsoft Corporation is pushing.»

Comments are closed.