Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pour les RSSI des réseaux sociaux, la probité est-elle un défaut ?

mai 2018 par Théodore-Michel Vrangos, cofondateur et président d’I-Tracing

Chez Facebook, Google et Twitter, c’est la valse des Chief Information Security Officers. Il peut sembler étrange qu’ils soient « poussés dehors » au moment où de nombreux pays portent toute leur attention à la protection des données. On peut se poser la question : le fait de conserver son RSSI ne serait-il pas une garantie morale pour les réseaux sociaux ?

Paradoxalement, alors que les entreprises européennes sont à la veille de l’entrée en vigueur du Règlement Général sur la Protection des Données, observé avec attention par les USA en raison du scandale Cambridge Analytica, les RSSI des principaux réseaux sociaux quittent leur entreprise.

Les Chief Information Security Officers des réseaux sociaux semblent vivre une période difficile. En très peu de temps en effet, plusieurs d’entre eux ont perdu leur travail chez Facebook, Google et Twitter. Ces départs, en grande majorité imposés par les dirigeants des entreprises, sont intervenus au moment précis où la sécurité et la protection des données retiennent toute l’attention des autorités. Le départ le plus emblématique est celui d’Alex Stamos, CISO de Facebook. Après l’éclatement mondial du scandale Cambridge Analytica, Alex Stamos a été poussé à démissionner pour avoir dit la vérité et défendu la protection des données. Situation exemplaire d’une portée planétaire du rôle, des exigences mais aussi des risques du poste de RSSI dans l’entreprise digitale.

Après avoir expliqué qu’il n’y a eu aucun contournement technique, aucune intrusion, aucune exploitation malveillante de vulnérabilités IT et que l’énorme scandale de l’exploitation des données personnelles des utilisateurs de Facebook à leur insu est au cœur du modèle économique de Facebook, Alex Stamos, son CISO depuis plusieurs années et après Yahoo, a été obligé de démissionner... Divergences dans la stratégie entre le rôle du CISO de protéger les data, ’’l’or noir du XXI siècle’’, et un modèle économique ne respectant pas au final la confiance des utilisateurs dans l’application.

Après avoir déclaré, il y a quelques années, que la sécurité des informations n’était pas la priorité de Facebook, le principal réseau social au monde fait depuis assez longtemps l’objet de critiques quant à la manière dont il traite les contenus factices et nuisibles. Il est clair aussi qu’il règne un désaccord à ce propos au sein de l’entreprise. Un cadre important de Facebook, Brian Fishman, en charge des formations en matière de mesures anti-terroristes, admettait que l’entreprise devait en faire plus.

Enfin selon The New York Times, le sujet de la sécurité est une pomme de discorde entre le fondateur du réseau social Mark Zuckerberg et sa directrice générale Sheryl Sandberg.

Le cœur du problème est simple et complexe à la fois. Simple, si l’on garde à l’esprit que le modèle économique de ces réseaux sociaux se base justement sur l’exploitation, la monétisation des données des personnes enregistrées. Comme personne ne lit vraiment les conditions d’utilisation, les données saisies et d’usage de chaque utilisateur, les milliers d’informations de tout type et en croissance continue, décrivant les coins les plus intimes de la vie privée ou professionnelle, sont exploitées, partagées, louées, agrégées, modifiées (manipulées ?) directement et à travers des partenariats payants et pas uniquement dans un but publicitaire. La complexité de la protection de ces données est évidente, car plus les données sont protégées, anonymisées ou expurgées, plus elles perdent leur richesse et donc leur intérêt et valeur financière.

L’exemple de Criteo, dans un autre registre, est édifiant. A partir du moment où Apple a restreint l’accès aux données d’usage des iPhones, Criteo a perdu la richesse de ces données et son cours s’est effondré au Nasdaq.

Quelques jours après Alex Stamos, c‘est au tour de Michael Zalewski, directeur de la protection des informations chez Google, qui a quitté l’entreprise pour devenir VP Security chez… Snap !

Le dernier CISO qui vient d’annoncer son départ, n’est autre que Michael Coates, en charge de la protection des informations chez Twitter et précédemment membre du directoire d’OWASP, la communauté open source de sécurité des applications. Là aussi, c’est un vrai professionnel de la sécurité qui s’en va.

Doit-on en conclure qu’il est philosophiquement difficile de mener un vrai rôle de RSSI au sein d’une entreprise qui justement gagne sa vie en monétisant les données de ses clients (volontaires) ? Que la pression de la hiérarchie et des finances est telle que la protection des données est réellement difficile à mettre en œuvre ? Ou au contraire, que la survie de ces entreprises, dont le modèle est basé sur l’utilisation des données personnelles et dont les utilisateurs commencent à douter de la confidentialité de leurs informations, dépend de la confiance que ces utilisateurs leur accordent ? Et donc au final des moyens et processus de protection, anonymisation, traçabilité et transparence des utilisations de ces données ?

Je plaide pour ma part pour cette deuxième perspective. Le CISO serait justement la planche de salut, la garantie morale (et technique) des majors des réseaux sociaux, le défenseur vertueux de la protection des informations dans un monde où ces réseaux sociaux apparaissent encore comme indispensables à la vie de millions de personnes. C’est son éthique (au sens de comportement juste et choisi) qui doit être le moteur de sa fonction, si nous ne voulons pas être les marionnettes des GAFA.




Voir les articles précédents

    

Voir les articles suivants