L’affaire Wikileaks fait frémir les affaires étrangères américaines et l’ensemble des chancelleries dans le monde. La mise en ligne de 250 000 câbles diplomatiques n’est certes pas un acte anodin. Nous mettrons volontairement de côté la lancinante question de l’opportunité d’une telle démarche, délaissant le débat « insoluble » sur la légitimité d’une telle transparence. En revanche, le professionnel de l’Intelligence économique trouvera matière à réflexion concernant la protection des données et le mode opératoire de captation d’informations sensibles.
Première faille : il y avait une absence de cloisonnement dans l’accès aux données. Un simple opérateur a pu accéder à l’ensemble des données disponibles. Or dans toute organisation, il est impératif de prévoir des accès différenciés en fonction de la position de chacun dans l’organigramme. En dehors des nécessités imposées par le pilotage stratégique, personne ne devrait logiquement pouvoir accéder à l’ensemble des données stockées sur le serveur. Deuxième faille : l’opérateur a pu charger impunément des mégaoctets d’information sans alerter personne. Or tout système informatisé devrait produire automatiquement une alerte lorsqu’un utilisateur charge massivement des données, alors même qu’il n’a pas besoin d’en connaître.
Finalement, on peut s’étonner que l’administration américaine n’ait pas prévu de telles barrières de protection sur son système d’information. On s’imagine généralement que les moyens de protection des grandes organisations sont toujours les plus performants. C’est oublier un peu vite qu’une grande organisation demeure soumise à trois grands risques humains: l’anonymat, la routinisation des procédures et la dilution des responsabilités.
Article paru dans la rubrique Les Clés de l’IE, APS, 10/12/2010