Vous vous souvenez sans doute de la tendance des années 2020-2021 à évoquer, sous le choc de la pandémie de Covid, l’arrivée d’un « new normal ». Celui-ci était en grande partie lié au gain permis par le numérique en matière de résilience, en particulier dans le monde du travail. Bien sûr, cette nouvelle normalité a été moins extrême que ce que nous nous étions tous plus ou moins imaginé au cœur des confinements. Toutefois, d’autres prédictions agitées depuis longtemps par des experts ne cessent, elles, de se matérialiser.
Il en va ainsi sur le terrain de la cybersécurité, alors que ces derniers jours nous ont bien montré à quoi pouvait ressembler le « new normal » du numérique. Nous avons tour à tour assisté à des attaques par déni de service d’une « intensité inédite » sur plusieurs ministères (Culture, Santé, Économie…), la Dinum, l’IGN ou encore les services du Premier ministre ; toutes revendiquées par le groupe prorusse Anonymous Sudan, dans un contexte de prise de position plus marquée d’Emmanuel Macron sur la situation en Ukraine. Autrement dit, les pressions du monde se retrouvent à affecter nos services du quotidien. Mais plus encore, ce sont les vols massifs de données concernant des millions de Français qui caractérisent peut-être le mieux la société numérique dans laquelle nous allons de plus en plus vivre.
Ainsi, un communiqué de France Travail, daté du 13 mars, a dévoilé qu’entre février et mars, ce sont les données de 43 millions de personnes qui avaient pu lui être dérobé. Non seulement celles des inscrits actuels de l’opérateur public, mais également celles des personnes qui ont pu l’être… au cours des 20 dernières années ! Excusez du peu. Nom, prénom, date de naissance, numéro de sécurité sociale, e-mail et adresses postales mais aussi numéro de téléphone… seules les données transactionnelles et bancaires ne seraient pas concernées. En 2023, France Travail, qui s’appelait alors encore Pôle Emploi, avait déjà révélé que les informations de 10 millions de ses inscrits étaient en vente en ligne suite à une fuite de données subie par l’un de ses prestataires, illustrant la fragilité des chaînes d’information de nos écosystèmes.
En février dernier, 33 millions de personnes étaient par ailleurs déjà concernées par le vol de données dont ont souffert les opérateurs de tiers-payant Almerys et Viamedis. Face à l’ampleur du phénomène, les autorités ont d’ailleurs décidé de faciliter l’émission de lettres de plaintes pour les victimes.
Outre le nombre exorbitant de personnes concernées, on parle après tout d’un ratio autour de 50 % de la population française, la CNIL nous rappelle par ailleurs les conséquences de la présence de ces données dans la nature pour notre avenir. Ces données volées ont en effet tendance à être « couplées, par des acteurs malveillants, à d’autres informations provenant de fuites de données antérieures ». L’autorité appelle donc à la vigilance non seulement vis-à-vis d’une exploitation immédiate, mais également à « beaucoup plus long terme ».
En filigrane, c’est donc à l’attention permanente que nous sommes réduits, puisque que, qu’on le veuille ou non, il faut considérer qu’une partie de nos informations personnelles seront donc toujours plus ou moins à disposition des cyberdélinquants et des cybercriminels. Les entreprises ont pris l’habitude de parler de cyber-résilience pour caractériser la situation : elles ont pris conscience qu’elles seraient touchées quoiqu’il arrive par des attaques et que l’important était donc de se donner les moyens de continuer à fonctionner, parfois en serrant les dents et, en tout cas, en limitant la casse. Le message n’est sans doute pas encore passé de la même façon pour les individus, leurs collaborateurs, leurs clients et tous les citoyens. Mais puisque que les vols de données continueront à faire les gros titres, et que des événements comme les Jeux Olympiques continueront d’attiser les intérêts des arnaqueurs et criminels en tout genre, chacun doit aujourd’hui bâtir sa propre cyber-résilience. On en est encore loin.
Pourtant, dès 2015, le Center for Long Term Cybersecurity de l’université de Berkeley anticipait ce « new normal », en décrivant une situation qui commence à devenir bien familière : « Après des années de multiplication des violations de données, les internautes s’attendent désormais à ce que leurs données soient volées et que leurs informations personnelles soient diffusées ». Et de conclure que ce nouveau Far West ne ferait que nuire profondément à la confiance portées aux institutions qui nous font faire société.