Cynisme ou lucidité ? McAfee –qui ne cesse de publier rapport sur rapport en ce début d’année- sort une étude essentiellement consacrée aux risques liés à l’éparpillement en général et à l’externalisation en particulier du traitement des données. Un travail commandé à l’Université de Purdue et au Center for Education and Research in Information Assurance and Security (CERIAS).
Le Unsecured Economy Report (exceptionnellement disponible en Français dit en substance que les données « expédiées à l’étranger », sous quelque prétexte ou forme que ce soit, sont de plus en plus en danger. Et lorsque les analystes de l’Avert parlent de données expatriées, ils désignent aussi bien les informations expédiées dans des centres de sous-traitance que celles communiquées à des partenaires via un intranet, ou à des clients pour des raisons diverses. En visant une diminution drastique des coûts de fonctionnement, les grands patrons ont probablement tressé la corde qui les pendra.
L’étude porte sur un échantillonnage de 800 responsables TIC, lesquels estiment une valeur de 12 millions de dollars en données « sensibles » expatriées. Ces mêmes entreprises auraient déclaré l’an passé près de 4,8 millions de dollars de pertes de propriété intellectuelle. En extrapolant ces chiffres, le Ceria estime que le montant global des pertes de propriété intellectuelle a frisé les mille milliards de dollars durant l’année écoulée. Un bilan qui peut paraître alarmiste, mais que peu de gens perçoivent ou redoutent. Les avantages masquent parfois bien des aspects négatifs : les données sont « dans le nuage », accessibles toujours, partout, immédiatement, d’un bout à l’autre de la chaîne, « pour nous et pour nos clients et fournisseurs » se félicite un responsable de « supply chain management ».
Aux patrons informatiques du monde occidental –US et Britannique- les enquêteurs du Ceria ont ajouté des DSI du Japon, de Chine, d’Inde, du Brésil et du Moyen Orient. Et c’est avec surprise qu’ils ont constaté que les pays en voie de développement technologique, notamment la Chine, l’Inde, le Brésil, déclaraient des dépenses en infrastructures de sécurité considérablement supérieures aux budgets généralement consacrés en occident. En Inde, l’enveloppe « sécu » peut atteindre 35 % du budget TIC, à comparer aux quelques 4% dépensés en moyenne en Grande Bretagne. Un écart qui s’explique notamment par le fait que ce sont ces mêmes pays qui jouent le rôle de sous-traitant. La majorité des DSI de Chine ou d’Inde estiment que leurs investissements en sécurité est précisément celui qui leur permettra de décrocher des contrats, de convaincre et d’attirer des clients. En Europe et aux Etats-Unis, en revanche, la sécurité est une « obligation » dictée par les impératifs de conformité aux normes et aux lois.
La situation risque fort de s’aggraver dans les mois à venir, nous promet le rapport McAfee. Car avec la situation économique globale, l’on est pratiquement certains que les vols et les destructions de données vont se multiplier. Soit par esprit de vengeance, après une brimade ou un licenciement, soit par « précaution »… un vol de fichier peut servir de véritable parachute doré pour un employé pouvant partir « à la concurrence ». Un vol qui n’est pas nécessairement commis par un employé, sous-traitants, consultants, fournisseurs, revendeurs… de plus en plus de personnes peuvent accéder à toute ou partie des données d’une entreprise.
Des vols de données vis-à-vis desquels les autorités des pays en voie de développement « ferment les yeux » avec d’autant plus de complicité que cette récupération d’information « évaporée » est un vecteur non négligeable de développement. Les espions Chinois ? Les fondamentalistes Pakistanais, les truands de la mafia Russe ? Tout le monde connaît. Pourtant, 26 % des responsables interrogés admettent stocker leurs données en Chine, 27% au Pakistan, 19 % dans les pays de l’ex-URSS. Après la lecture attentive de ces 28 pages de rapport, plus personne ne signera un contrat de sous-traitance de la même façon…