gérer le risque de sécurité numérique et d`atteinte à la vie

publicité
GÉRER LE RISQUE
DE SÉCURITÉ
NUMÉRIQUE ET
D’ATTEINTE
À LA VIE PRIVÉE
RÉUNION MINISTÉRIELLE
2016 SUR L’ÉCONOMIE
NUMÉRIQUE
RAPPORT DE RÉFÉRENCE
RÉSUMÉ
GÉRER LE RISQUE DE SÉCURITÉ NUMÉRIQUE ET D’ATTEINTE À LA VIE PRIVÉE
Ce rapport a été approuvé et déclassifié par le Comité de la politique de l’économie numérique le 13 mai
2016 et préparé pour publication par le Secrétariat de l’OCDE.
Note à l’intention des délégations :
L’original anglais du présent document est accessible sur OLIS :
DSTI/ICCP/REG(2016)1/FINAL
Ce document et toute carte qu'il peut comprendre sont sans préjudice du statut de tout territoire, de la
souveraineté s’exerçant sur ce dernier, du tracé des frontières et limites internationales, et du nom de tout
territoire, ville ou région.
Les données statistiques concernant Israël sont fournies par et sous la responsabilité des autorités
israéliennes compétentes. L’utilisation de ces données par l’OCDE est sans préjudice du statut des hauteurs
du Golan, de Jérusalem Est et des colonies de peuplement israéliennes en Cisjordanie aux termes du droit
international.
© OCDE (2016)
La copie, le téléchargement ou l’impression du contenu OCDE pour une utilisation personnelle sont
autorisés. Il est possible d’inclure des extraits de publications, de bases de données et de produits
multimédia de l’OCDE dans des documents, présentations, blogs, sites Internet et matériel pédagogique,
sous réserve de faire mention de la source OCDE et du copyright. Toute demande en vue d’un usage public
ou commercial ou concernant les droits de traduction devra être adressée à [email protected]
2
GÉRER LE RISQUE DE SÉCURITÉ NUMÉRIQUE ET D’ATTEINTE À LA VIE PRIVÉE
RÉSUMÉ
Le développement de la connectivité et des activités économiques à forte intensité de données – en
particulier celles qui reposent sur des flux importants de données ( « mégadonnées ») ou « big data ») et
sur l’internet des objets qui se fait jour – constitue un levier d’innovation de produit, de procédé, de service
et de marché, et offre la possibilité de relever les défis sociaux et mondiaux. Ces tendances sont allées de
pair avec un changement d’échelle et de portée du risque de sécurité numérique et d’atteinte à la vie privée,
avec, à la clé, des conséquences potentielles considérables sur les activités socio-économiques. Elles
soulignent en outre la nécessité de faire évoluer les politiques et les pratiques afin d’instaurer et de
préserver la confiance.
Les incidents de sécurité numérique compromettent l’innovation, représentent un risque pour la vie
privée et entament la confiance.
Bien que difficiles à quantifier, les incidents de sécurité se caractérisent par une sophistication, une
fréquence et une gravité croissantes. Ils peuvent compromettre la notoriété des organisations, occasionner
des pertes économiques, voire porter atteinte à leurs actifs physiques, mettant à mal leur compétitivité, leur
capacité à innover et leur position sur le marché. Les particuliers peuvent, quant à eux, subir des
dommages matériels (physiques ou économiques) et immatériels (atteinte à la réputation ou à la vie
privée). Les incidents peuvent également induire des coûts considérables pour l’économie dans son
ensemble – ils peuvent notamment entamer la confiance non seulement dans les organisations qui en sont
victimes, mais aussi à l’échelle des secteurs.
Dans une enquête réalisée par l’OCDE en 2014 sur 31 domaines d’action prioritaire possibles en
matière d’économie numérique, les pouvoirs publics ont placé la sécurité et la protection de la vie privée
respectivement en deuxième et troisième positions, juste derrière l’accès au haut débit. Quant aux
consommateurs, ils portent une attention croissante au respect de la vie privée dans l’environnement
numérique. Selon une enquête CIGI-Ipsos sur la sécurité en ligne et la confiance à l’égard de l’internet,
menée en 2014 auprès d’internautes de 24 pays, 64 % des sondés étaient plus préoccupés par la protection
de leur vie privée qu’ils ne l’étaient en 2013.
La gestion du risque peut contribuer à garantir que les mesures de sécurité numérique protègent et
soutiennent les activités socio-économiques.
Il est essentiel de mettre en place des stratégies solides de gestion du risque de sécurité numérique afin
d’instaurer le climat de confiance nécessaire pour que les activités économiques et sociales bénéficient
pleinement de l’innovation numérique.
La Recommandation de 2015 de l’OCDE sur la gestion du risque de sécurité numérique pour la
prospérité économique et sociale (Recommandation sur le risque de sécurité) fixe un cadre de gestion des
questions de sécurité numérique s’articulant autour de trois messages :

Il est impossible d’éliminer totalement le risque de sécurité numérique lorsque l’on mène des
activités qui dépendent de l’environnement numérique. En revanche, le risque peut être géré, à
savoir réduit à un niveau acceptable au regard des intérêts et des avantages en jeu, ainsi que du
contexte ;

Les dirigeants et décideurs devraient s’intéresser au risque de sécurité numérique qui pèse sur les
activités économiques et sociales, et non pas seulement sur l’infrastructure numérique ;
3
GÉRER LE RISQUE DE SÉCURITÉ NUMÉRIQUE ET D’ATTEINTE À LA VIE PRIVÉE

Les organisations devraient intégrer la gestion du risque de sécurité numérique dans leurs
processus de prise de décisions économiques et sociales et leur cadre général de gestion du
risque, plutôt que de l’aborder uniquement comme un problème technique.
La gestion du risque peut contribuer à améliorer la protection de la vie privée.
Les Lignes directrices de 2013 de l’OCDE régissant la protection de la vie privée et les flux
transfrontières de données à caractère personnel (Lignes directrices sur la protection de la vie privée)
recommandent également d’adopter une approche axée sur le risque pour mettre en œuvre les principes
afférents au respect de la vie privée et en améliorer la protection. Qui plus est, la gestion du risque
d’atteinte à la vie privée peut contribuer à l’interopérabilité des cadres de protection à l’échelle mondiale.
Toutefois, si le concept de gestion du risque n’est pas nouveau dans le domaine de la sécurité numérique, il
reste à déterminer comment le décliner dans celui de la protection de la vie privée et comment mettre en
œuvre une approche exhaustive de la gestion du risque afin de renforcer l’application des principes bien
établis, énoncés dans les Lignes directrices de l’OCDE.
Il convient de poursuivre les travaux afin de déterminer comment inciter les organisations à intégrer la
gestion du risque d’atteinte à la vie privée dans leurs processus de prise de décisions économiques et
sociales et leur cadre général de gestion du risque.
De nombreuses organisations tendent encore à aborder la protection de la vie privée uniquement par le
prisme de la conformité juridique, et non comme un risque économique et social et une question
stratégique susceptible de leur conférer un avantage concurrentiel sur le marché. Pour décider de l’angle
d’approche à privilégier, les organisations doivent tenir compte des objectifs socio-économiques qu’elles
se sont fixés. Comme il est d’usage pour tous les types de risques, le risque d’atteinte à la vie privé ne
devrait pas être évalué de manière isolée, mais au regard des avantages potentiels que l’on peut attendre.
Or un certain nombre d’avantages pourraient être concrétisés si la prise en charge du risque s’inscrivait
dans le cadre de gestion du risque économique des organisations et était intégrée au processus de prise de
décisions économiques et sociales.
Par ailleurs, les obligations de respect de la vie privée pourraient être complétées par d’autres mesures
visant à faire de la protection de la vie privée un élément de différenciation sur le marché, à savoir un
facteur concurrentiel que les entreprises pourraient utiliser pour se démarquer ; cela aurait pour effet
d’élargir le choix des individus sur le marché et d’élever le niveau général de protection. Dans l’idéal, le
marché devrait récompenser la gestion efficace du risque d’atteinte à la vie privée. À l’heure actuelle, on
dispose seulement d’observations fragmentaires sur les effets des manquements à la protection de la vie
privée sur le marché. D’autres recherches devront être menées pour comprendre quelles mesures fondées
sur le marché pourraient inciter les organisations à aborder la protection de la vie privée comme un risque
économique et une opportunité d’asseoir leur réputation, leurs revenus et la confiance dans le marché.
Les stratégies nationales pour la gestion du risque de sécurité numérique et la protection de la vie privée
peuvent favoriser la collaboration et le partage de connaissances.
La Recommandation relative au risque de sécurité et les Lignes directrices sur la protection de la vie
privée appellent à l’élaboration de stratégies nationales de gestion du risque de sécurité numérique et
d’atteinte à la vie privée qui soient souples, neutres sur le plan technologique, qui associent l’ensemble de
la société et soient appuyées au plus haut niveau du gouvernement. Le caractère ouvert et réticulaire de
l’écosystème numérique offre de nombreux avantages socio-économiques, mais peut rendre les appareils,
systèmes et réseaux plus vulnérables aux attaques et compromettre la protection de la vie privée. Il serait
impossible d’instaurer un environnement dénué de tout risque sans mettre en péril ces avantages. Par
4
GÉRER LE RISQUE DE SÉCURITÉ NUMÉRIQUE ET D’ATTEINTE À LA VIE PRIVÉE
conséquent, toutes les parties prenantes doivent travailler ensemble pour créer des conditions propices à
une gestion efficace du risque de sécurité numérique et d’atteinte à la vie privée.
Les stratégies nationales élaborées en coopération avec l’ensemble des parties prenantes peuvent jeter
les bases d’une collaboration accrue en matière de gestion du risque tant au niveau des politiques qu’au
niveau opérationnel, notamment en favorisant le partage des connaissances, des compétences et des
expériences de pratiques éprouvées.
Ces stratégies peuvent favoriser la coopération internationale et contribuer à guider les efforts
internationaux pour gérer le risque de sécurité numérique, renforcer la protection de la vie privée et réduire
les incertitudes liées aux flux transfrontières de données à caractère personnel.
Les besoins des PME méritent une attention particulière.
Les petites et moyennes entreprises (PME), en particulier les start-ups en phase de démarrage, jouent
un rôle déterminant dans la croissance économique ; elles tirent la concurrence et l’innovation, et
contribuent à la création d’emplois. En revanche, la gestion du risque de sécurité numérique et d’atteinte à
la vie privée leur pose des défis particuliers. De fait, un incident de sécurité numérique susceptible
d’occasionner une perte de confiance des consommateurs, de notoriété ou de revenus pourrait s’avérer plus
dévastateur pour les PME, dans la mesure où elles risquent d’avoir davantage de difficultés que les plus
grandes structures à surmonter une perte temporaire de clients ou de revenus. De plus, elles ne disposent
pas toujours des ressources ou de l’expertise nécessaires pour évaluer et gérer efficacement le risque.
Toutefois, celles qui ont conscience du risque et sont en mesure de démontrer qu’elles ont mis en place des
pratiques rigoureuses en matière de sécurité numérique et de protection de la vie privée peuvent bénéficier
d’un avantage concurrentiel décisif pour constituer des partenariats avec des organisations de plus grande
taille. Pour aider les PME à saisir ces opportunités, il importe de mettre l’accent sur les efforts de
sensibilisation et de promouvoir l’adoption de bonnes pratiques, en leur proposant, par exemple, des outils
de gestion du risque et des incitations dédiés (on pourrait s’appuyer, pour ce faire, sur la cyberassurance).
5
Téléchargement