Ce qui est souvent moins clair par contre, pour les particuliers comme pour les entreprises, c’est l’évaluation des risques qui sont associés à la souveraineté et la disponibilité de ces données. Tentons une cartographie – sommaire – de ces risques.

Trois grands types de risques doivent être examinés et si possible chiffrés : risque juridique, stratégique, et économique.

Risque juridique tout d’abord. C’est souvent par ce biais, sous cet angle, qu’arrive l’alerte. Pour l’entreprise comme pour le citoyen existent un corpus de lois et de règlementation, que nul n’est censé ignorer bien sûr, et qui encadrent nos droits et nos devoirs quant à la production, le stockage, la consultation, la publication de données. Il va s’agir de respecter et faire respecter les droits des individus, droits à l’image, droit à l’anonymat, ou des droits plus récents et consubstantiels à l’existence d’internet comme le droit à l’oubli. L’adoption récente du RGPD (Règlement Général sur la Protection des Données) fait partie de ces alertes régulières issues du cadre légal. Deux risques sont associés et doivent être couverts : la non-conformité, et le recours. Un texte légal a valeur prescriptive, et suppose une mise en conformité. En cas de manquement on s’exposera aux pénalités prévues dans le texte : pour le RGPD le législateur a prévu des amendes pouvant aller jusqu’à 5% du chiffre d’affaire de la société qui viendrait à manquer à ses obligations.

Le recours est un autre risque, celui du contentieux. Les personnes physiques et morales peuvent attaquer en justice si l’usage qui a été fait de leurs données par un tiers contrevient à la loi. Et ces recours se multiplient, du simple fait d’une culture accrue et de mieux en mieux partagée sur ces questions. Pas de plafonds financiers maximum pour les procès sur ces questions, voilà un domaine dans lequel les sommes restent – encore – à l’appréciation des juges, et hors de tout barème cadre.

Second type de risque associé à la souveraineté des données : le risque stratégique. Voir ses données compromises, être accédées par des tiers malveillants ou transmises à l’extérieur fait courir un risque sur l’existence même de l’entreprise ou de l’organisation. Il peut s’agir de malveillance simple, attaque en déni de service, de hacking démonstratif mais bénin, mais il peut aussi s’agir de guerre économique pure et dure. Pourquoi mettre un gros effort en recherche et développement quand on peut mettre la main sur les résultats chèrement payés par d’autres entités économiques. Les exemples abondent de ces transferts de connaissance réalisés par des moyens illégaux. Et le coût est souvent extrême puisqu’il peut s’agir de la survie même de l’entité ciblée. Il y a quelques mois l’entreprise Deloitte a reconnu que les serveurs mails de ses 244.000 employés avaient été compromis, et que des données sensibles avaient fuité. Autre cas avec Tesla, qui a accusé en juin dernier un de ses anciens employé de sabotage et de vols de données suite à des révélations faites par ce dernier sur la construction de son Model 3. Malgré la publicité faite autour de ces affaires très médiatiques (mais l’essentiel des affaires de ce genre restent au contraire secret), ce risque est toujours difficile à quantifier et objectiver : où s’arrête la zone grise de la maladresse d’un employé qui perd son ordinateur portable dans un aéroport (quelques 750 ordinateurs sont ainsi égarés chaque semaine à Roissy !), et où commence la zone noire de l’acte intentionnel et délictueux. En France, 70% des employés d’entreprises de 200 collaborateurs ou plus reconnaissent avoir copié des données sensibles et les avoir fait circuler à l’extérieur de leur entreprise. Le premier pas d’une bonne politique de sécurité passe nécessairement par une gestion des accès contrôlés selon des profils eux-mêmes crées selon le « besoin d’en connaitre », et soumis à une révision périodique. Et c’est vrai dans l’univers logique comme dans l’univers physique, raison pour laquelle STEPHYA a des niveaux d’exigences très élevés en matière de recrutement et d’information de ses clients.

Reste à envisager le dernier risque, le risque économique associé à la disponibilité des données. Combien coute une perte totale – ou une indisponibilité plus ou moins longue – des données de l’entreprise. Ce risque est plus facile à chiffrer, même si les méthodes employées pour y parvenir divergent d’un institut et d’une étude à l’autre. Un rapport sur le sujet publié par Verizon chiffrait le coup d’un enregistrement volé à 0,58 dollar, à multiplier bien sûr par le nombre de données volées. Mais l’Institut Ponemon chiffre quant à lui cela à 201 dollars par enregistrement, car il prend en compte les frais indirects pouvant inclure les heures des employés et la perte d’activité potentielle. Ponemon a par ailleurs employé une méthodologie très différente de celle de Verizon, uniquement basée sur les violations de données portant sur moins de 100 000 enregistrements. Les coûts fixes étant les mêmes pour chaque incident (analyse détaillée, conseil), moins il y a d’enregistrements, plus la moyenne augmente.

Au-delà des variations de chiffres, le bilan global de la fraude est chaque année revu à la hausse : IT Web rapporte que le coût des violations des données et de la perte de données atteindra 2,1 billions de dollars d’ici 2019.

Pour conclure, nous partageons avec vous une dernière donnée d’objectivation du risque lié à la perte de donnée, et qui fait froid dans le dos par son caractère définitif : 80% des entreprises ayant perdu toutes leurs données ont tout simplement fait faillite dans les deux années qui ont suivies.