Chapitre 7 Évaluation des risques
Quand on se demande quelles mesures mettre en place pour protéger des données ou des communications numériques, on se rend assez vite compte qu’on avance un peu à l’aveuglette.
En effet, les solutions qu’on pourrait mettre en place ont aussi leurs inconvénients : parfois elles sont très pénibles à déployer, à entretenir ou à utiliser ; parfois on a le choix entre diverses techniques, dont aucune ne répond complètement au « cahier des charges » que l’on s’est fixé ; parfois elles sont bien trop nouvelles pour qu’on ait l’assurance qu’elles fonctionnent réellement ; etc.
On devrait donc commencer par se poser quelques questions simples, afin d’établir un modèle de menace133, c’est-à-dire l’identification et le classement par ordre de priorité des menaces potentielles.
7.1 Que veut-on protéger ?
Ce qu’on veut protéger rentre en général dans la vaste catégorie de l’information : par exemple, le contenu de messages électroniques, des fichiers de données (photo, tracts, carnet d’adresses) ou l’existence même d’une correspondance entre telle et telle personne.
Le mot « protéger » recouvre différents besoins :
- confidentialité : cacher des informations aux yeux indésirables ;
- intégrité : conserver des informations en bon état, et éviter qu’elles ne soient modifiées sans qu’on s’en rende compte ;
- accessibilité : faire en sorte que des informations restent accessibles aux personnes qui en ont besoin.
Il s’agit donc de définir, pour chaque ensemble d’informations à protéger, les besoins de confidentialité, d’intégrité et d’accessibilité. Sachant que ces besoins entrent généralement en conflit, il faudra, poser des priorités et trouver des compromis, ménager la chèvre (affamée) et le chou (très appétissant)…
7.2 Contre qui veut-on se protéger ?
Rapidement se pose la question des capacités des personnes qui en auraient après ce que l’on veut protéger : des parents intrusifs, des camarades de classe susceptibles de faire du harcèlement, des voleurs voulant récupérer des coordonnées bancaires, un ex-conjoint violent qui cherche des moyens de contrôle ou de chantage, des hiérarchies trop curieuses, la police chargée de mater un mouvement social, des fonctionnaires qui contrôlent les personnes migrantes134, les GAFAM qui traquent et vendent les données personnelles, des services de renseignement mandatés pour ficher massivement une communauté ou un courant politique, etc.
Mais il n’est pas facile de savoir ce que les plus qualifiées d’entre elles peuvent réellement faire, de quels moyens et de quels budgets elles bénéficient. En suivant l’actualité, et par divers autres biais, on peut se rendre compte que cela varie beaucoup selon à qui on a affaire. Entre les parents, les gendarmes du coin et la National Security Agency (NSA) états-unienne, il y a tout un fossé sur les possibilités d’actions, de moyens et de techniques employées.
La question des moyens des adversaires est assez large.
Il y a les moyens judiciaires : par exemple, la possibilité qu’une commission rogatoire autorise la police à saisir du matériel informatique, ou le fait qu’il peut être exigé de donner sa clé de chiffrement.
En parallèle, des organismes disposent de beaucoup de moyens techniques, tels la SDAT135 ou la DGSE136. Rien n’est sûr concernant leurs possibilités : quelle avance ont-ils dans le domaine du cassage de cryptographie ? Sont-ils au courant de failles dans certaines méthodes, qu’ils n’auraient pas dévoilées, et qui leur permettraient de lire les données ? Sur ces sujets, il n’y a évidemment aucun moyen d’avoir la certitude de ce que ces entités peuvent faire.
Les moyens financiers sont à prendre en compte. En effet, certaines technologies de surveillance coûtent cher et elles ne sont pas à la portée de tous les services de renseignement ou ne seront pas à disposition dans n’importe quelle enquête. À savoir que le budget annuel de la DGSE était de 880 millions d’euros en 2021 et que celui de la NSA était estimé à 10,8 milliards de dollars (!) en 2013, ils ne jouent pas dans la même cour.
On peut aussi se poser la question des moyens politiques : par exemple, dans quelle mesure l’État français peut-il collaborer avec la NSA ?
Par ailleurs, sécuriser complètement un ordinateur est de l’ordre de l’impossible. Il s’agit donc plutôt de mettre des bâtons dans les roues de celles et ceux qui pourraient en vouloir à nos informations. Plus grands sont les moyens de ces personnes, plus les bâtons doivent être nombreux et solides.
Évaluer les risques, c’est se demander quelles sont les données que l’on veut protéger et de qui. À partir de là, on peut essayer de se renseigner sur les moyens à disposition des personnes qui s’y intéresseraient et définir une politique de sécurité en conséquence.
Voir Electronic Frontier Foundation, 2019, Votre plan de sécurité.↩︎
Voir l’article de Ritimo : 10 menaces contre les migrant·es et les réfugié·es.↩︎
Service de la police française voué à lutter contre le terrorisme, voir Wikipédia, 2021, Sous-direction anti-terrorriste.↩︎
Service de renseignement de la France, voir Wikipédia, 2017, Direction générale de la Sécurité extérieure.↩︎