Le GIE Smile, le centre de ressources pour la sécurité informatique made in Luxembourg, qui fédère Cases, Circl et BeeSecure, jette un regard à travers le PRISM.

Les suspicions d’espionnage électronique existent depuis longtemps déjà. Les récentes révélations concernant le scandale PRISM ont confirmé que la NSA surveillait potentiellement toutes les communications électroniques sur le territoire des Etats-Unis et même au-delà, et ce en se référant au « Patriot Act ».

Par la suite, on apprenait que la NSA espionnerait également certaines cibles européennes. Mais il est difficile de croire que c’était pour le combat du terrorisme. Une forte probabilité de volonté d’espionnage industriel ……

Quelles sont les conséquences pour les entreprises européennes ?

Tout dépend des informations qui sont traitées. S’il s’agit « simplement » de données opérationnelles de produits courants ou de facturation, il est fort probable que la NSA ou d’autres services de renseignement ne s’y intéressent pas.
Si par contre, les informations stockées ou échangées concernent des procédés de fabrication ou bien toute autre information sensible, mieux vaut prendre quelques précautions.
Les risques sont différents selon la manière dont sont stockées ces informations.

1. Sur un serveur protégé, dans vos locaux
Dans ce cas, le niveau de sécurité des données dépend essentiellement du niveau de sécurité physique et technologique du serveur en question.

2. Sur le cloud 
Différents cas de figure se présentent :
1. Les données sont stockées aux Etats-Unis
dans ce cas, les services de renseignement américains y auront facilement accès. Les données hébergées sur le sol américain sont soumises aux Patriot Act et le gouvernement américain peut s’octroyer le droit d’y accéder pour des raisons de sécurité nationale.
2. Les données sont stockées en Europe par une société ayant des intérêts aux Etats-Unis 
le Patriot Act contient une clause d’extra-territorialité, ce qui veut dire que les Etats-Unis considèrent que sa compétence s’étend aux entreprises établies hors de leur territoire mais ayant des intérêts aux Etats Unis. Pratiquement tous les fournisseurs de Cloud internationaux sont concernés.
3. Les données sont stockées en Europe par une société européenne
dans ce cas, le Patriot Act ne peut pas être utilisé par les Etats Unis pour accéder à vos données. L’espionnage ne pourra se faire que par des moyens extra-légaux.
PRISM ou pas, la sécurité (non divulgation) et la fiabilité (taux de disponibilité) d’une solution Cloud doivent être des critères de choix, et doivent être garanties par un Service Level Agreement (SLA).

3. Transmission par e-mail
Il faut savoir que les mails ne prennent pas le chemin le plus court mais bien le plus rapide. Cela veut dire qu’un e-mail envoyé à votre voisin peut parcourir des milliers de kilomètres avant de lui parvenir. Durant son parcours, il peut être transporté par une des sociétés ayant signé un accord avec la NSA… La confidentialité de vos emails est également tributaire des serveurs mails par lesquels ils transitent. Autant dire qu’il vaut mieux éviter d’échanger des documents confidentiels par mail. Sauf si ces derniers sont chiffrés.

Facts & Figures

• Les pannes de cloud ont coûté 103 millions de dollars en 2012.
• Le taux de disponibilité moyen du cloud était de 99.74% en 2012
• 111 milliards de dollars ont été investis dans le cloud public en 2012