Comme je vous l’avais annoncé dans le blog Arondor de début d’année, le maître mot pour 2024 et les prochaines années sera la Confiance.
Ce mot est majeur dans tous les domaines, personnels et professionnels. Il est déclinable à l’infini et à la base de toute relation.
Arondor s’inscrit dans cette démarche. Et la confiance est une notion importante et cultivée chez nous.
La parole donnée est importante dans les affaires. Mais nous nous devions d’aller plus loin.
Cette confiance se retranscrit dans les faits et dans nos certifications obtenues (ISO27001 et HDS). Et il reste toujours du chemin à parcourir.
Dans notre domaine, tout est à construire autour de ce terme. Comment définir la Confiance Numérique ? Dans cet article, je vais essayer de le décliner à travers plusieurs concepts et de le transposer dans nos domaines.
Les enjeux de la confiance numérique :
Identité numérique
Aujourd’hui, chacun peut avoir plusieurs avatars avec divers rôles (Officiel, Officieux, Troll, etc…). Avec ces diverses facettes, comment savoir qui est derrière son écran ?
Il y a 20 ans, le problème était sans importance. Les échanges n’étaient pas aussi cruciaux. Mais aujourd'hui, nous utilisons notre identité numérique notamment pour déclarer nos impôts, pour avoir accès à nos comptes bancaires, etc… On assiste petit à petit à l’émergence de l'État plateforme. Ce concept apparu en France, il y a 10 ans, devient petit à petit une réalité. D’après Wikipedia, “L'État plateforme est une conception de l’état comme une plateforme mettant à disposition de la société civile et des acteurs privés des ressources (ou infrastructures) et laissant à la société civile et aux acteurs privés la liberté de développer des biens et des services finaux à l'aide de ces ressources.”
De nombreuses démarches sont actuellement possibles à travers l’état Plateforme rendant primordial l’identité numérique. La personne derrière son écran est-elle la bonne personne ?
L’importance de l’identité numérique devient cruciale et un réel enjeu sociétal. Difficile d’échapper au suivi citoyen avec une identité numérique, les contre pouvoirs doivent être vigilants vis à vis de l’état comme pour les GAFAM.
Sécurité
Une autre facette de cette confiance. Toutes nos données sont désormais stockées à l’extérieur. On peut comparer ce thème avec la protection et la sécurité que l’on apporte à nos “assets”.
Ainsi, cette confiance s'accompagne de l'ensemble des protections contre les cyberattaques, les vols d’identité et autres corruptions de données (par exemple, le cryptage de données).
Fiabilité
La confiance, c’est aussi être au rendez-vous et de manière fiable. Les applications doivent être disponibles, réactives et performantes. Facile ? Le chemin a été long pour y parvenir. La montée en puissance des “Cloud Providers” nous a bien aidée.
Confidentialité
Un des aspects les plus complexes et contradictoires à définir. Sur ce sujet, beaucoup d’efforts sont nécessaires. Depuis plusieurs années, les GAFAM collectent nos données personnelles de manière insidieuse et les valorisent. Il ne faut pas oublier l’adage “Quand c’est gratuit, c’est vous le produit”. Même en payant, nos données sont valorisées. On peut rappeler les invectives récentes de l’UE sur le respect du RGPD notamment à destination de Meta (Facebook)
Toutefois, nous devons garantir la sécurité des communications. Cette confidentialité appelle également le dernier thème.
Transparence
Pour établir une relation de confiance, nous devons être informés de la manière dont les données sont récupérées et partagées. Le contrat doit être clair entre les utilisateurs client et le fournisseur du service.
Chacun doit pouvoir prendre les décisions en connaissance de cause. Cependant, sur ce sujet, l'utilisation des services, en particulier ceux destinés au grand public, est souvent dissimulée derrière des contrats d'utilisation que la plupart des gens acceptent sans les lire. Dans ces circonstances, nous nous retrouvons presque dans une schizophrénie : nous nous indignons de l'éventuelle utilisation de nos données alors que nous les partageons implicitement et sans retenue.
Sur ce sujet, notre éducation citoyenne reste à faire.
Maintenant que les fondements du sujet ont été posés, bien que cela ne soit certainement pas exhaustif, nous pouvons réfléchir à une solution pour aborder cette question de confiance numérique.
Comment répondre à cette demande de confiance numérique ?
La Confiance Numérique est le sésame pour instaurer un climat propice pour continuer à progresser. Les réfractaires seront exclus.
C’est donc un réel challenge pour tous les acteurs du numérique. Du Far West ou jungle internet, nous entrons progressivement dans un monde de plus en plus sécurisé. De l’esprit Internet libertaire, nous intégrons un monde plus réglementé. Certains le regretteront, mais ainsi vont les affaires.
Reprenons les enjeux, les uns après les autres.
Identité
La tendance, chacun la perçoit à travers les divers usages d’entreprise ou privatifs. Personne ne peut ignorer l’avènement des méthodes d’authentification avec notamment les MFA (Multi Factor Authentication). L’introduction de la biométrie notamment sur nos téléphones mobiles en est justement l’une des illustrations.
Le revers de la médaille et l’ironie de l’histoire résident dans le fait que ces fournisseurs de MFA, notamment les GAFAM, ont pu récupérer un volume considérable d'informations biométriques individuelles en un temps record.Ils ont osé faire en peu de temps et avec notre complicité, ce que n’importe quel gouvernement aurait rêvé de réaliser. Cela soulève des questions politiques et sociétales importantes, notamment en ce qui concerne la transparence et la confidentialité des données, et mérite une surveillance attentive.
Au niveau gouvernemental, de plus en plus de procédures administratives (1 400) sont simplifiées avec l’utilisation d’une connexion FranceConnect. Peu de personnes effectuent encore leur déclaration d'impôts en papier.
L’état devient de plus en plus plateforme avec notamment France Identité.
Sécurité
Nul ne peut ignorer les aspects sécuritaires. Nous avons des exemples réguliers dans les médias. Toutes les organisations sont attaquées de manière régulière avec une ingéniosité parfois naïve et parfois incroyable.
Les organisations sont toutes dans un jeu du “Gendarmes et Voleurs”. Les voleurs ont souvent une longueur d’avance. Comme d’habitude, le principe est de complexifier et retarder le travail des voleurs.
La cyberattaque de Viamedis, Almerys et FranceTravail a de quoi inquiéter les usagers.
Fiabilité
C’est un point qui a beaucoup évolué ces dernières années. Les Dénis de Services (attaques DDoS) sont de plus en plus rares. Les dispositifs techniques mis en œuvre ont rendu les services Web plus fiables.
L'avènement des “Cloud Providers” a démocratisé et généralisé les technologies informatiques pour fiabiliser les services. Leur non utilisation, pour des raisons économiques, peut avoir des impacts non négligeables. OVH en a fait les frais (Incendie de Strasbourg,...), en ne généralisant pas ses services de fiabilisation sur ces infrastructures..
Toutefois en parallèle, les services ont gagné en complexité avec l’utilisation de services communs. Par exemple, l’utilisation de services d’authentification commun, simplifie l’accès aux services.
Mais, à contrario, en cas de défaillance, ce sont l’ensemble des services sous-jacents qui deviennent inaccessibles. Google en a fait les frais comme d’autres.
C’est un réel point de vigilance. Beaucoup de clients appréhendent une panne générale de certains acteurs Cloud. Essayons d’imaginer une panne généralisée d’Azzure de Microsoft, pouvant bloquer l’utilisation d’Office !!
Confidentialité
Comme le point précédent, la confidentialité a beaucoup bénéficié de l’utilisation et la démocratisation de technologies tiers proposées en standard par les “Cloud Providers”.
Toutefois, les données ne sont plus contrôlées en direct sur nos propres infrastructures. Donc, la “Confiance” dans les “Cloud Providers” est primordiale.
Tout écart pourrait être préjudiciable pour ces derniers acteurs. Ceux-ci communiquent beaucoup dans ce sens. Amazon Web Services a, par exemple, communiqué sur l’annonce d’un Cloud Souverain Européen.
Transparence
Le sujet est complexe. Comment être transparent, tout en masquant les mécanismes de sécurité et de confidentialité interne ?
Pas simple comme réponse. Quand on confie nos données quelque qu’elles soient, comment savoir l’utilisation qui en sera faite ?
On l’évoquait dans le chapitre précédent, l’utilisation de services GAFAM est cadrée par des contrats de licences non bordées. Notamment, Facebook a eu des remontrances récentes par l’UE dans l’utilisation des données personnelles.
N’oublions pas non plus les retours d’expériences sur les divers incidents. Sur ces sujets, la transparence doit être totale. Leur dissimulation équivaut à créer des bombes à retardement dont les effets à long terme peuvent être dévastateurs.
Revenons à Arondor
Arondor offre des services managés à ses clients. Comment peut-on établir la relation de Confiance nécessaire à cette continuité et répondre à leurs exigences ?
- le choix de fournisseurs de confiance. Ceux-ci doivent présenter l’ensemble des garanties sur les sujets Sécurité, Fiabilité et de Confidentialité
- S’interdire des options n’offrant pas les garanties. S'empêcher de proposer des solutions ne garantissant pas les critères de la confiance (Infrastructure non mirrorée par exemple, Localisation extra-territoriale européenne, etc…)
- En interne, inculquer en permanence aux équipes d’Arondor une politique de Sécurité avec la certification ISO27001:2013 en 2023, et HDS (Hébergement de Données de Santé) en 2024
- Se projeter sur le futur avec la réglementation DORA et la directive NIS 2
Ces choix ne sont pas si innocents. Ils sont même vitaux pour notre structure et permettent de prévenir au maximum les accidents.