« les attaques sont multi-sectorielles et protéiformes »

Raphaël Brun
-

Face à la menace des hackers, Dominique Riban, directeur de l’agence monégasque de sécurité numérique, explique à Monaco Hebdo le niveau de sécurité auquel pourra prétendre le futur cloud monégasque pour protéger ses données les plus sensibles. Tout en admettant que le risque zéro n’existe pas.

Installer des données sensibles dans un autre pays, pose des difficultés vis-à-vis de la sécurité informatique ? Lesquelles ?

Les enjeux de sécurité informatique sont les mêmes quelle que soit la localisation géographique des données. Il faut pouvoir apporter des garanties de confidentialité, de disponibilité et d’intégrité et assurer la souveraineté quand nécessaire.

Le gouvernement envisage la création d’un « jumeau numérique » de son cloud monégasque, via une e-ambassade qui pourrait être lancée au Luxembourg : cela ouvre quelles possibilités en termes de sécurité ?

Le principe envisagé de e-ambassade permettrait de réaliser des sauvegardes des données à une distance suffisante pour les protéger d’une destruction ou d’une indisponibilité suite à une catastrophe naturelle par exemple, tout en assurant leur protection légale comme si elles étaient en principauté.

Lancer un cloud souverain lorsqu’on s’appelle Monaco, c’est aussi s’exposer aux hackers ?

Toute annonce de lancement de projet majeur dans le monde numérique génère nécessairement une certaine curiosité, donc probablement aussi celle des hackers. Mais pas plus que toutes les autres actions dans le domaine du numérique.

Quelles sont les cibles préférées des hackers aujourd’hui ?

Malheureusement les attaques sont multi-sectorielles et protéiformes, l’opportunité fait souvent la cible.

Dans un cloud souverain, les gens se demandent où leurs données sont stockées, qui en dispose, pour combien de temps, comment elles sont détruites, et même, comment s’assurer que le consentement de chacun est respecté ?

Les questions auxquelles vous faites référence se posent dans un cloud, encore qu’aujourd’hui les opérateurs de cloud vous propose de plus en plus souvent de choisir la localisation géographique de vos données. Le but d’un cloud souverain est aussi d’avoir une position très claire quant à la localisation des données et au régime juridique applicable. Les questions de l’accès, de la durée de conservation, de leur destruction, et du respect du consentement sont abordées aujourd’hui en principauté par la loi n° 1165 du 23 décembre 1993, modifié relative à la protection des informations nominatives, mais aussi par le règlement européen n° 2016/679, le Règlement Général à la Protection des Données (RGPD) qu’il faut intégrer.

Au deuxième semestre 2020 sera déployé ce cloud souverain que le gouvernement monégasque présente comme un « coffre-fort numérique médical » : quel niveau de sécurité est-il possible de garantir aujourd’hui ?

Il faut distinguer trois notions : celle de cloud souverain, celle de coffre-fort numérique et celle de données médicales. La première nécessite de définir les dispositions nécessaires à la garantie de la souveraineté de son contenu. La seconde notion nécessite de définir des mécanismes techniques permettant de garantir la confidentialité, la disponibilité et l’intégrité des données qui seront mise dans un espace numérique sécurisé. Enfin, la troisième notion nécessite de définir ce que sont les données de santé, qui en est le propriétaire, qui pourra y accéder et dans quelle conditions, et qui pourra gérer le traitement de données médicale

En cas de hacking, qui est responsable ?

Le responsable du traitement, par définition, a la responsabilité de mettre en œuvre les mesures nécessaires pour protéger les données. Les attaquants seront poursuivis par la justice. Le Code pénal a été adapté à cet effet depuis le vote de la loi n° 1435, qui concerne la lutte contre la criminalité technologique du 8 novembre 2016 et, comme le rappelait récemment Richard Marangoni, la direction de la sûreté publique aura, dans le cadre de son programme 2020, des enquêteurs spécialisés en criminalité technologique.

Aujourd’hui, un gouvernement peut-il affirmer à ses administrés une sécurité à 100 % face aux hackers ?

Il faut être lucide : le zéro risque n’existe pas, sauf à ne pas utiliser l’informatique, l’internet, ou des smartphones. Il est donc nécessaire de prendre toutes les dispositions physiques, informatiques et organisationnelles, pour réduire au maximum la surface d’attaque et les risques. Depuis 2017, les textes réglementaires monégasques demandent à ce que la sécurité soit intégrée aujourd’hui dès la conception d’un nouveau projet informatique, qu’une analyse de risque accompagnée d’un audit de sécurité soit réalisée, qu’une homologation du système d’information soit faite, afin de déterminer les risques résiduels, et validée par l’autorité compétente avant sa mise en service.

 

Suite du dossier :

Guy Magnan : « Il peut exister un risque de conflit de souveraineté »

journalistRaphaël Brun