Venez on arrête de faire n’importe quoi avec les données personnelles des usagers et on décide collectivement de prendre soin des données qu’ils nous confient. D’une part, parce que c’est une obligation légale et que nous devons nous y conformer. D’autre part, parce qu’en tant qu’usager, si j’apprenais qu’un service fait n’importe quoi avec mes données, je serais colère et n’y retournerais certainement pas. (Argument valable pour les services qui ne sont pas indispensables). Autrement dit, on garantit la confiance que les usagers nous accordent. L’actualité révèle régulièrement des manquements au RGPD. Si certains sont liés à des pratiques de collectes abusives de données sans le consentement des individus, d’autres sont aussi le fruit d’un manque cruel de sécurité dans les outils utilisés.
La sécurité est l’objet de cet article. C’est un facteur qui est sous-évalué et minimisé. Cette politique de l’économie de bouts de chandelle peut conduire à des situations de compromissions de données et en particulier celles de nos usagers. Pas plus tard que le mois dernier, Guillaume Poupard, le directeur de l’Agence Nationale de la Sécurité des Systèmes d’information, expliquait justement que les organisations et entreprises ne doivent pas réfléchir en termes de réduction de coût dans le domaine de la cyber-sécurité.
« On n’achète pas une voiture sans frein pour économiser 5 % sur le prix de la voiture. »
Source : Les Echos
Son analogie a l’avantage d’être suffisamment imagée pour parler à des non techniciens ou des élus (ou bien les deux). Combien de collectivités mettent à disposition des agents des outils non mis à jour ? Qui dispose encore d’un raccourci sur son bureau vers Internet Explorer alors même que Microsoft recommande de ne plus utiliser ce navigateur ? Si la question du navigateur peut être aisément contournée en installant un autre modèle, la problématique s’avère plus délicate en ce qui concerne le système d’exploitation. Combien de collectivités maintiennent des systèmes d’exploitation en dépit des alertes d’éditeurs de logiciels ou de l’ANSSI. L’exemple le plus saillant est peut-être celui de Windows 7 dont Microsoft a interrompu le support le 14 janvier dernier. Cette situation est loin d’être marginale et s’applique à des solutions dans le cloud comme Windows Server 2008. Certes, il est encore possible de payer pour maintenir un support à minima et profiter des correctifs de sécurité. Mais quitte à payer à un moment donné, pourquoi ne pas payer pour des solutions plus efficientes ?
Ces considérations peuvent sembler triviales mais sont particulièrement importantes dans un contexte de développement des rançongiciels/ransomwares. L’ANSSI a récemment rappelé que les collectivités territoriales étaient fortement exposées au risque des rançongiciels parce que « Les collectivités territoriales et le secteur de la santé sont majoritairement concernés par les incidents relevés. Si cela peut être essentiellement dû à la qualité des signalements d’incidents faits à l’ANSSI, cela peut également montrer l’intérêt des attaquants pour des entités réputées faiblement dotées en sécurité informatique ou dont la rupture d’activité aurait un impact social important. » Bien que la sécurisation des données est un impératif, force est de constater que ce n’est pas une politique qui est mise en œuvre partout. Depuis une année ou deux, les exemples commencent à se multiplier en France ou à l’étranger. Au début du mois de février, le réseau des bibliothèques du comté de Volusia a été infesté par un ransomware. Début janvier, même constat dans les bibliothèques du comté de Contra Costa. En fin d’année dernière, un ransomware a été détecté sur les ordinateurs des bibliothèques de Denver. Plus proches de nous, rappelez-vous en 2015, la vague de sites web de bibliothèques françaises qui ont été piratés à cause d’une faille sur les serveurs.
Ce ne sont que quelques exemples parmi d’autres mais qui confirment la fragilité des infrastructures des bibliothèques qui peuvent être fortement perturbées. Dans certains endroits, les opérations de prêts/retours étaient également inaccessibles durant l’attaque. La sécurisation des postes est à mon sens insuffisamment prise en compte alors même qu’on nous renvoie de plus en plus d’usagers pour qu’ils puissent effectuer des démarches administratives. En d’autres termes, ils sont amenés à consulter, remplir, envoyés des documents pour les impôts, pour la CAF, pour Pôle Emploi, pour le RSA et les stocker momentanément dans les ordinateurs-passoirs… Nous exposons malgré nous les données personnelles de nos usagers. Ces documents peuvent être subtilisés à distance par des personnes malveillantes mais elles peuvent aussi être accessibles à des personnes non autorisées sur place (autres usagers, bibliothécaires, prestataires).
Venez d’ailleurs on arrête de prendre pour argent comptant ce que nous indiquent les prestataires sur la conformité de leurs solutions avec la réglementation. Si un prestataire vous vend une solution qui efface les données, avez-vous la garantie que ces dernières sont bien supprimées ? Les solutions qui purgent à intervalles réguliers les sessions des usagers suppriment-elles effectivement les fichiers et autres données laissées par l’usager ? (Pour rappel, la conservation excessive de données à caractère personnel est condamnée par le RGPD.) Comment s’en assurer ? En allant vérifier par vous-même dans les dossiers des ordinateurs en faisant des tests avec des comptes fictifs. Cela implique de prendre du temps et d’inspecter minutieusement. Le temps c’est de l’argent, si vous ne le prenez pas, acceptez de vous exposer aux risques d’une amende de la CNIL pour manque de conformité. N’attendons pas que la première sanction post-RGPD contre une collectivité territoriale tombe avant de réagir !
Venez on arrête d’apprendre par cœur l’ex-Norme simplifiée 009 de la CNIL et on s’assure qu’elle est mise en application. (Les NS ne sont plus d’actualité avec l’application du RGPD mais la CNIL recommande en attendant de s’en servir comme cadre de référence). Fouillez dans les bases d’utilisateurs de vos SIGB et vérifiez que vous n’avez pas de données d’adhérents dont le compte n’est plus actif depuis « un an à compter de la date de fin du prêt précédent » (et qu’il n’y a plus de documents à rendre, de retard en cours au Trésor public…). Je pense qu’on ferait des découvertes qui mettraient la CNIL en PLS.
Venez on arrête aussi d’utiliser des logiciels qui sont des pompes à données. Je l’ai déjà écrit sur ce blog, et d’autres militants de la vie privée et des libertés numériques le clament haut et fort, arrêtons d’utiliser Chrome. Le navigateur de Google a encore été épinglé récemment pour sa collecte abusive et opaque de données personnelles des utilisateurs. Si Google tente de faire « privacy washing » en annonçant la suppression des cookies tiers, la véritable politique de l’entreprise et surtout son modèle économique restent inchangés et s’appuient sur l’aspiration de données. Un chercheur a découvert une innovation de Google qui consiste à faire coïncider un identifiant aléatoire à un compte Google :
« En fonction de vos paramètres, ce Chrome ID est plus ou moins long et une fois que vous vous connectez avec votre compte Google, cet ID est forcement lié à votre identité. À l’aide du champ x-client-data (anciennement connu sous le nom de x-chrome-variations) transmis dans vos requêtes web, cet identifiant unique présent dans Chrome, pourra alors être transmis via n’importe quel service tiers Google présent dans les pages des sites sur lesquels vous surfez. Au hasard: Google Ads ! Mais aussi le captcha Google, les embed Youtube, les scripts Google Analytics, les fonts Google et j’en passe… »
Source :
https://korben.info/chrome-id-comment-google-vous-traque-a-laide-de-chrome.html
C’est un vaste programme j’en conviens. Une bonne partie des solutions ne dépend pas des bibliothécaires uniquement. Mais la prise de conscience doit être générale pour pouvoir atteindre cet objectif. Nous avons notre responsabilité dans cette mise en conformité. Dont acte.
*Si tu es fin mélomane, tu auras reconnu la référence musicale qui se cache derrière ce titre.
Article intéressant. J’ai juste un doute sur la référence à la NS009, je ne sais pas si quelqu’un l’a jamais appliquée réellement en bibliothèque, mais elle m’a toujours semblé bien trop limitée (bien sûr, rien n’obligeait à s’y référer). Par contre, un gros +1 sur la vérification des promesses des prestataires, on a eu pendant des années un SGTP qui ne tenait pas du tout ses promesses de ce côté !
PS : il y a un bug dans le lien du premier paragraphe, le lien pointe vers href= »http:// https://…
Merci pour ce retour. J’ai corrigé les liens également.
J’avoue j’ai cliqué juste pour le titre …