C.A. : sortez couvert

Le préservatif masculin offre une excellente protection contre les infections sexuellement transmissibles, y compris l’infection par le virus du sida. Celle-ci n'est toutefois pas absolue … et certains hommes sont gênés par la pose ou le port du préservatif masculin dans leurs sensations (diminution de sensibilité) ou leur perception érotique du rapport sexuel. (source Le Figaro Santé).

Le saviez-vous et adhérez-vous à ce message ? Bien sûr et vous vivez avec cette information depuis les années 90. D’ailleurs, vous passez tant bien que mal cette information à vos rejetons qui sortent du nid. Cool !

La sécurité informatique offre une excellente protection contre les infections transmissibles, y compris l’infection par les virus. Celle-ci n'est toutefois pas absolue … et certains Hommes sont gênés par la pose ou le port d’une sécurité élémentaire dans leurs échanges (source de fuite).

Cette introduction volontairement piquante, pour vous rappeler que cela vous concerne si vous êtes « Board member ». Vous ne l’avez à priori pas encore intégré dans vos habitudes informatiques journalières ! Pour preuve, le dernier rapport « 2013 Thomson Reuters Board Governance Survey »  qui mentionne que 79% des organisations utilisent des comptes de messagerie personnels hackables et hackés, tels que Gmail et Hotmail, pour distribuer les documents de Conseil d’Administration. Le rapport précise aussi que près de la moitié n’utilisent aucun moyen de cryptage des communications du conseil d'administration et que seuls quelques 13% des membres ne vont pas le reprendre sur un laptop privé ou une tablette personnelle.

PwC ajoute dans un rapport (source : Key considerations for board and audit committee members - December 2013) qu’avec le nombre et la fréquence des attaques croissantes, la cybersécurité est devenue aujourd'hui une question prioritaire pour les conseils d’Administration.

Pour établir ce constat, il suffit de comprendre que vous êtes le candidat parfait pour le prochain viol cyber sécuritaire. En effet, le patrimoine informationnel de l’entreprise est à portée de main. Vous êtes souvent une personne externe à l’entreprise (inconnue du réseau local sécurisé par l’informatique professionnelle) avec laquelle il y aura un grande quantité d’échanges hautement confidentiels.

Membre d’un CA, membre de plusieurs autres, vos entrées multiples attirent les convoitises et la visibilité. De facto, vous disposez d’une kyrielle de mots de passe (comptez-les, vous dépasserez les 30) alors ils sont simples ou faibles ou identiques pour pouvoir les retenir … votre mémoire a des limites… ou alors est-ce la taille du post-it sur lequel vous les recensez (sic !). D’ailleurs, pour vos échanges sensibles, vous utilisez des systèmes qui ne sont pas dotés d’authentification forte… quelle contrainte ! Vous avouez que le cloud Dropbox ou Gmail vous a séduit par sa simplicité, vous n’imaginiez pas qu’on regarde vos données à votre insu avant le scandale NSA-Snowden. Finalement, votre exposition au risque est accrue par des voyages à l’étranger, les réseaux sur lesquels votre iPad se connecte sont multiples et non fiables.

Accablant…oui !

Et de comprendre que le profil d’un conseil d'administration moderne représente un défi complexe. De nombreuses entreprises ont des membres de leur CA siégeant sur plusieurs conseils à travers le monde. Avec des réunions mensuelles ou trimestrielles, cela crée un besoin d’échanges d'un énorme volume de documents à l'appui de CA.  Et en cas de fuite, au-delà de la sphère juridique, les risques seront considérables et iront jusqu’à l'interruption d'activité, la fermeture de services, des pertes financières si l'information est compromettante, une atteinte à la réputation qui peut mener à la perte de confiance des clients. Bref, des conséquences qui sont majeures et qui peuvent être de durée beaucoup plus longue que la violation réelle.

Simple constat pourtant, jamais le sujet de la confidentialité n’a été à ce point discuté et débattu, et pour causes. L’asymétrie de l’information est totale : chacun profite des services gratuits offerts par l’électronique et l’informatique moderne. Elle est gratuite sur Google, LinkedIn, Dropbox et ces derniers savent très bien que nos informations collectées sont à la source de leur création de richesse. Le quidam non averti n’a aucune idée des informations qu’il livre, il ne sait pas quand il les donne, qui les collecte, pour combien de temps, pour quel profit, quel but… nul ne sait ce que nous prépare l’accumulation de données (souvent personnelles) sans aucun précédent.

Alors il est temps de se reprendre et de considérer qu’en 2014, les questions de confidentialité numérique doivent être considérées comme une question majeure d’évaluation des risques dans la gestion des conseils d'administration. J’ai bien dit confidentialité…pas sécurité. La confidentialité est le caractère de ce qui est dit ou écrit en secret, elle peut être vue comme une pierre angulaire de la sécurité.

Si cette nuance n’est pas évidente (différence entre sécurité et confidentialité), méditez sur l’exemple récent qui a fait grand bruit chez nos voisins. Un président français normal est toujours en sécurité, suivi par des gardes du corps. Par contre, l’actualité démontre que sa confidentialité est médiocre depuis les photos de la rue du Cirque… et c’est la presse à scandales qui le dévoile.

Mais revenons à notre Conseil. Ce n’est pas seulement le point de vue informatique, la mise en place du bunker sécuritaire (une absence de danger de l’extérieur), qui va vous permettre d’être on the SAFE side.

Safe… Tiens, parlons-en des coffres. Plus précisément des coffre-forts numériques. C’est une richesse méconnue de notre pays. La législation luxembourgeoise sur la confidentialité des données n’impose pas de limite quant au niveau de cryptage des données (« L’usage des techniques de cryptographie est libre »). C’est exceptionnel au monde, il faut le souligner !

Et de constater que la notion de secret et les espaces de réelle confidentialité sont peu développés dans un monde où, vu de l’étranger, le secret luxembourgeois est vite associé à la fraude ou a quelque chose de menaçant. Depuis le choc du 11 septembre, on nous formate à considérer le secret comme une menace, on nous « Patrioct Actise ». Et de rappeler que le secret est une stratégie de protection porteuse d’égalité. Je prendrai pour exemple la notion de vote. Le vote est secret… il est dès lors l’ennemi des totalitarismes. Rappelons également que la Déclaration universelle des droits de l’Homme précise dans son article 12 : « Nul ne sera l'objet d'immixtions arbitraires dans (…) sa correspondance(…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. ».

Dans le cadre professionnel, le partage de documents secrets de manière sécurisé est la prérogative du coffre-fort virtuel^® luxembourgeois.

L’adoption et l’efficacité se feront par la personnalisation du coffre-fort virtuel^® en fonction des besoins de l’organisation ou encore la possibilité de déposer de l’information confidentielle dans un grand nombre de coffres de manière automatique. 

Les applications d’un coffre-fort virtuel^® sont innombrables et celles qui garantissent la confidentialité au sein de conseils d’administration en sont un exemple, comme le dépôt sécurisé de fiches de salaire numériques pour des dirigeants. Par ailleurs, le particulier s’y retrouve car il a l’opportunité d’utiliser ce coffre-fort à des fins personnelles.

Ce type de service innovateur permet de porter un nouveau regard par rapport à la problématique de la confidentialité des données secrètes et d’offrir une solution pragmatique répondant parfaitement aux besoins des acteurs économiques.

La réelle confidentialité des informations n’est donc pas une utopie, il suffit de sortir couvert…d’être on the SAFE side !