Contre les pertes d'identité : le lynchage
Vox populi est souvent aussi expéditive que peu tendre. C'est un principe que connaissent très bien les responsables des mouvements politiques populistes. Selon une étude internationale conduite par Websence (sic) « auprès de 107 professionnels de la sécurité dans le cadre du dernier eCrime Congres [il apparait que] un quart des sondés pense que l'arrestation et une peine de prison constitueraient une sanction adaptée pour un Directeur général ou un membre du conseil d'administration d'une société responsable d'une d'atteinte grave à la protection des données confidentielles du consommateur. » Fort heureusement, la peine de mort pour les RSSI ne faisait pas partie des réponses possibles. 3% des sondés seraient, en revanche, favorable à une totale absence de sanction. 79 % des personnes interrogées sont partisanes de l'amende à l'entreprise faillible et, très étrangement, seulement 59% du panel estime que les clients lésés devraient être dédommagés. Dernier chiffre, qui devrait satisfaire les membres de l'UIT qui se battent depuis plusieurs années à ce propos, « 96 % des sondés demandent la création d'un organe d'exécution pour obliger les pouvoirs publics du monde entier à collaborer afin de s'attaquer au problème du cybercrime ». Il y a pourtant loin de la coupe aux lèvres, et la réalisation d'un tel voeu pourrait fort bien se transformer en un enfer orwelien si, parallèlement à cette « internationale anti-cybercrime » ne se créait une sorte d'ombudsman, de Cnil mondiale ou de super-Epic chargé de contrer les abus. Cela ressemble fort à la fable de La Fontaine qui nous parle de grenouilles qui voulaient un Roi et pourrait bien s'achever de la même manière. Cette « demande populaire pour plus de fermeté », explique toutefois l'étude de WebSense, émane notamment des actionnaires, qui craignent pour leurs abondements. L'atteinte à l'image de marque, les « mauvais papiers » dans la presse après un vol massif d'information, l'effet sur le cours de l'action sont autant de facteurs déclencheurs. Détail amusant (sic) « À une quasi-unanimité (95 %), les sondés estiment que le Directeur général ou le conseil d'administration devrait être tenu responsable de toute atteinte à la sécurité, 26 % d'entre eux déclarant que le Directeur général devrait en assumer la responsabilité finale. Cela montre une évolution marquée de l'opinion par rapport à l'enquête de 2007, selon laquelle 74 % des professionnels de la sécurité pensaient que le conseil d'administration devrait être responsable. L'an passé, 21 % des personnes interrogées jugeaient que le service informatique devait assumer la responsabilité finale, ce chiffre tombant à seulement 5 % en 2008. » Les membres du conseil d'administration, souvent les actionnaires principaux des entreprises de moyenne envergure, se sont rendu compte que certains retours de manivelle pourraient être plus douloureux que prévus au fur et à mesure que les affaires de fuite d'identité s'avèrent moins virtuelles. L'idée du PDG-fusible, récemment inventée avec l'apparition de Sarbox notamment, prend de plus en plus de corps. Celui qui soupire d'aise, c'est, une fois n'est pas coutume, le RSSI ou le Directeur informatique.