Julian Assange, le fondateur australien de WikiLeaks, le site controversé qui a publié des documents classifiés du gouvernement américain, est aujourd'hui détenu sans possibilité de caution (depuis la rédaction de cet article, Julian Assange s'est vu accorder une liberté conditionnelle en échange d'une caution de 283 000 euros, ndlr), dans l'attente d'une extradition vers la Suède pour être interrogé dans une affaire de viol présumé. Scandale mis à part, la publication récente par son site de mémos confidentiels venus du département d'Etat a des implications pour les entreprises et les organisations qui ont des informations sensibles à préserver.

« Wikileaks est un condensé fascinant d’une évolution plus large – celle d’une circulation de plus en plus libre de l’information grâce à internet, qui concerne des éléments que nous souhaitons rendre accessible et d’autres non », explique Kevin Werbach, professeur de droit et d’éthique des affaires à Wharton. Si les fuites préméditées et autres types de révélations volontaires n’ont rien de nouveau, ajoute-t-il, les technologies numériques rendent beaucoup plus facile, pour un individu animé d’intentions hostiles, la publication presque instantanée d’une quantité très importante d’informations piratées.

Pour beaucoup, le cas WikiLeaks a ouvert un débat de fond sur les frictions entre protection des données et accès public sur le web libre. Dans une chronique sur le site du Guardian datée du 6 décembre, John Naughton écrivait : « La leçon la plus évidente [de l’affaire WikiLeaks] est qu’il s’agit de la première confrontation majeure entre l’ordre établi et la culture internet. Il y a déjà eu des prémices, mais là, nous sommes en plein dedans ». Pendant qu’Assange était derrière les barreaux, WikiLeaks et les sites « miroir », qui se sont multipliés pour le contenu du site, menaçaient de publier un code permettant de mettre au jour des données gouvernementales et commerciales non censurées, plus sensibles, si Assange était tué ou condamné. Le 8 décembre, Wikileaks a déclaré que l’arrestation de son fondateur ne l’empêcherait pas de poster de nouvelles révélations, et, geste à l’appui, le site a publié une nouvelle série de télégrammes portant sur la décision britannique de relâcher Abdel Baset Ali al-Megrahi, le poseur de bombe de l’attentat de Lockerbie.

Pour les entreprises, l’affaire WikiLeaks pourrait faire office de précédent instructif sur la protection des informations sensibles. Joseph Turow, professeur de communication à l’Ecole de communication Annenberg de l’Université de Pennsylvanie, assure que les mémos du département d’Etat publiés par WikiLeaks, s’ils sont controversés, sont sans doute beaucoup plus réfléchis et mesurés que la plupart des communications internes des entreprises. « Si j’étais un PDG, tout ceci me mettrait mal à l’aise. Je serais très inquiet que cela puisse arriver à mon organisation », explique-t-il. « Les mémos qui ont été publiés semblent incroyablement modérés par rapport aux e-mails que les gens s’envoient dans le monde de l’entreprise ».

Mauvaise publicité et secret des affaires
Bruce Schneier, auteur de plusieurs livres sur la sécurité informatique et fondateur de BT Counterpane, une entreprise de sécurité, affirme que l’ascension de WikiLeaks est liée à un excès de classification des informations et à une presse trop faible qui agit en « sténographe » pour le gouvernement. Il explique que le gouvernement américain fait aujourd’hui l’expérience d’un phénomène auxquels ont été confrontées les industries de la musique et du cinéma ces dernières années – l’émergence de réseaux de distribution numériques qui se sont posés en alternative des systèmes que les maisons de disques et les producteurs essayaient de contrôler.

Bien que WikiLeaks ait diffusé des informations pendant 18 mois, la majorité concernant les guerres en Irak et en Afghanistan, les communiqués du département d’Etat semblent avoir augmenté l’attention porté au site et généré une réaction virulente, remarque le professeur Werbach. Par exemple, les compagnies de carte de crédit, Paypal et Amazon ont décidé de couper les canaux qui permettaient à WikiLeaks de se financer, apparemment sous la pression des autorités. « Cela devient dangereux lorsque le gouvernement dit à des entreprises privées que certains contenus devraient être privés de l’accès au réseau », note-t-il. Il est également « raisonnable pour les entreprises de se demander si WikiLeaks a franchi une ligne jaune dans ses révélations les plus récentes ».
Andrea Matwyshyn, professeur de droit et d’éthique des affaires à Wharton, explique que la société peine à trouver un équilibre entre le besoin de contrôle de l’information et ces révélations qui peuvent aider le pays à « mieux définir sa propre trajectoire ». Selon elle, les gouvernements et les organisations devraient moins s’intéresser à WikiLeaks qu’à l’origine de la fuite car « une fois que [l’information] atterrit dans l’univers sauvage du web, aller la retirer du cyberespace est impossible ».

Le ministre des affaires étrangères australien Kevin Rudd, qualifié de « maniaque du contrôle » dans les mémos, affirme de même qu’Assange n’est pas le vrai responsable de la publication non autorisée des plus de 200 000 notes diplomatiques. « Dans ce petit exercice, les vrais coupables sont ceux qui lui ont transmis l’information, parce que ce sont ceux-là qui ont trahi le lien de confiance. Ils méritent d’être poursuivis et traduits en justice », a déclaré Rudd devant des reporters. Le soldat Bradley Manning a confessé dans des forums en ligne qu’il téléchargeait des documents classifiés des réseaux de l’armée américaine – dont des télégrammes diplomatiques du département d’Etat – et les donnait à WikiLeaks. Il est aujourd’hui détenu sur la base des Marines de Quantico en Virginie, et risque jusqu’à 52 ans de prison pour avoir transmis des informations non autorisées extraites des ordinateurs de l’armée.

Andrea Matwyshyn souligne l’importance d’avoir une stratégie proactive, non seulement pour éviter la mauvaise publicité, mais aussi pour protéger les secrets professionnels de l’entreprise face à un tribunal. Elle fait remarquer que l’entreprise ne sait pas vraiment si une information constitue un secret professionnel jusqu’à ce qu’elle soit obligée de poursuivre en justice un transgresseur présumé. Quand il s’agit de savoir si un réel secret professionnel a été transgressé, les décisions du tribunal dépendent fortement de la capacité de l’entreprise à prouver qu’elle valorisait suffisamment cet élément de propriété intellectuelle pour prendre les mesures nécessaires permettant de prévenir des fuites vers l’extérieur de l’organisation.

Les entreprises « échouent de manière chronique » à mettre en place une approche à l’échelle systémique pour la protection de l’information et s’appuient trop souvent sur des solutions technologiques de sécurité, d’après le professeur Matwyshyn. « Ils pensent que s’ils ont un département informatique solide, ils sont couverts. C’est une mauvaise approche, car le flux d’information ne doit pas être seulement surveillé grâce à des outils informatiques, mais de manière globale à travers toute l’organisation ».

Lawrence Hrebiniak, professeur de management à Wharton, explique que les révélations de WikiLeaks l’ont conduit à s’interroger sur les implications stratégiques – bonnes ou mauvaises – de la sous-traitance. Il a noté que l’une des notes publiées était une « liste rouge » d’installations gouvernementales et industrielles dans le monde – incluant des stocks de vaccins et de plantes médicinales essentielles, des sites industriels et miniers – sur lesquelles une attaque porterait atteinte à la population américaine. « La sous-traitance par les gouvernements ou les entreprises privées a des avantages, mais elle augmente aussi notre dépendance et notre vulnérabilité vis-à-vis de ceux qui contrôlent ce dont ont besoin le gouvernement et les entreprises », explique-t-il. « WikiLeaks laisse entrevoir cette vulnérabilité pour les gouvernements, mais les mêmes implications existent pour les entreprises. Une dépendance très forte envers des éléments extérieurs peut amplifier le pouvoir et le contrôle qu’ils ont sur nous ».

L’entreprise-robot
Les dirigeants doivent avoir à l’esprit que la sécurité de l’information est importante et travailler en interne, de manière collaborative et transverse, pour colmater en amont les sources de fuite potentielles, expliquent Andrea Matwyshyn et d’autres experts. Dans le cas des télégrammes diplomatiques, le département d’Etat avait décidé que pour des raisons pratiques, les employés pourraient utiliser les disques durs internes, ce qui équivalait à une « permission par défaut » de copier des éléments, selon la chercheuse. « Et cette personne les a copié et est partie avec par la grande porte ».

Matwyshyn note que même les employés tenus par des accords de confidentialité enfreignent ces contrats, avec des conséquences en chaîne qui vont au-delà de la relation employé-employeur. Les organisations pour lesquelles la confidentialité est vitale doivent développer des processus systémiques sur le partage de l’information. La chercheuse observe l’existence d’une certaine dualité dans le monde des affaires concernant le traitement de l’information professionnelle. D’un côté, la montée en puissance des médias sociaux a rendu les compagnies impatientes d’investir le web, pour entrer en contact avec de nouveaux clients et développer leur présence auprès les différentes communautés. « Pour le marketing, précise Matwyshyn, la technologie et cette possibilité d’entrer en contact représente une aubaine ». D’un autre côté, poursuit-elle, une « dynamique de robot » se développe. Les entreprises utilisent de plus en plus la technologie en interne. Devenant de plus en plus automatisées, et de moins en moins humaines, elles s’appuient sur l’intégration des systèmes informatiques pour stocker des informations sensibles, ce qui, explique-t-elle, « peut s’avérer optimal…ou pas ».

Matswyshyn explique que les systèmes d’information informatisés ont besoin de « filtres humains », qui sont capables de prendre du recul en continu sur la sécurité de l’information, pour identifier les lieux où sont utilisés les différents flux d’information et les rediriger si besoin est. Elle suggère aux organisations de développer de nouveaux systèmes pour le partage de l’information, en partant du haut de la pyramide hiérarchique, avec la collaboration du directeur technique, du directeur de la sécurité, du PDG et des autres membres de la direction générale. En travaillant ensemble, les hauts dirigeants devraient être capables d’élaborer des politiques de partage de l’information intégrées et bien pensées, en accord avec la culture de l’entreprise, permettant de renforcer et d’appliquer strictement le règlement. « Ce sont des décisions qui doivent venir du sommet et créer une culture de responsabilité vis-à-vis de l’information au sein de l’organisation – pas seulement pour l’information qui concerne l’entreprise, mais aussi pour la sécurité des données qu’elle détient sur ses clients ».

Les entreprises ont aujourd’hui en main énormément de données sur leur clientèle, qui sont vulnérables à des fuites préméditées ou accidentelles, souligne Matswyshyn. Les consommateurs, note-t-elle, sont de plus en plus alarmés face aux lettres qu’ils reçoivent d’entreprises leur signalant que leurs données privées ont été captées. Dans les dix dernières années, 45 des 50 Etats américains ont crée des lois obligeant les entreprises à avertir les consommateurs en cas de possible violation de leurs données confidentielles. « L’émergence d’un régime législatif aussi étendu en si peu de temps est sans précédent », dit-elle, reflétant « un cri d’alarme du consommateur et une inquiétude grandissante autour le contrôle ». Les consommateurs veulent être capables de partager l’information, pour améliorer leur accès à des produits et à des services, mais ils veulent aussi que cette information soit dans un canal bien contrôlé, conduisant à ce que les chercheurs appellent « la paradoxe de la confidentialité ».

« Les consommateurs veulent un système de confiance et la possibilité d’avoir un certain contrôle sur l’utilisation de leurs données. En clair, ils veulent un régime contractuel plus fort sur le partage à des fins commerciales de l’information qui les concerne », précise Matwyshyn, pour qui il est envisageable qu’un jour, les entreprises soient redevables des dommages causés par une défaillance dans la protection des informations de leurs clients. « Mais les consommateurs ne sont pas vraiment intéressés par l’indémnisation. Ils veulent simplement avoir le contrôle de leurs informations personnelles ».

Une question de confiance
Dans la tourmente post-Wikileaks, les responsables du Pentagone et du département d’Etat américain ont déclaré que certains représentants étrangers étaient maintenant réticents à faire confiance aux représentants officiels américains. « Nous observons déjà à certains signes que des réunions impliquant auparavant de nombreux diplomates incluent désormais un nombre plus réduit », a indiqué le porte-parole du département d’Etat P.J. Crowley. « Nous avons connaissance d’au moins une réunion où il a été demandé de laisser les ordinateurs portables hors de la pièce. »

D’après le professeur Joseph Turow, il y a tension entre le besoin pour les dirigeants d’entreprise de communiquer de manière franche et ouverte, et les conséquences potentielles si ces discussions informelles sont plus tard rendues publiques. Il suggère de ne pas laisser de traces écrites pour les sujets les plus sensibles ou de les soumettre à un contrôle très strict de l’information. Cependant, si les entreprises peuvent mettre en place de bonnes pratiques pour le management de l’information, comme placer des limites sur la quantité d’information qui peut être téléchargée par un employé, il n’existe pas de technologie permettant de se prémunir contre un individu déterminé à frauder. « Finalement, cela reste une question de confiance vis-à-vis de vos employés. Leur loyauté est ce qui est déterminant ».

Le professeur Werbach, de Wharton, remarque que les publications récentes d’information venue de Wikileaks semblent moins faire scandale que les épisodes passés. Les mémos, note-t-il, sont pour la plupart des communications de routine qui sont intéressantes, mais ne recèlent pas a priori de dangereux secrets. Il est probable que le gouvernement américain dispose de communications internes plus sensibles, abritées derrière davantage de sécurité, ajoute-t-il. Cependant, « le nombre d’ordinateurs portables professionnels volés et non sécurisés est vraiment effrayant ».

Et même si le volume des fuites concernant les communications américaines semble conséquent, il s’agit probablement seulement d’une petite fraction du « bla-bla » quotidien des réseaux diplomatiques, ajoute Werbach. Il précise que les discussions à très haut niveau, entre le président américain et les dirigeants chinois ou sur la stratégie nucléaire, sont probablement protégées par un accès restreint. Toute organisation doit prioriser par niveau l’information qu’elle souhaite protéger, et mettre en place des niveaux de sécurité en conséquence, explique-t-il. « Vous ne pouvez pas tout placer sous une chape de plomb ».

——–
Cet article a été originellement publié le 08 décembre 2010 dans Knowledge@Wharton sous le titre “The WikiLeaks Battle: Should Information Be Shared or Censored?”. Copyright Knowledge@Wharton. Tous droits réservés. Traduit et republié sur autorisation.

More on paristech review

By the author

  • Apple vs. FBI: les enjeux d’une polémiqueon February 22nd, 2016
  • People analytics: les RH sauront-elles prendre le virage des données?on July 15th, 2015
  • Le crowdfunding s’attaque à la promotion immobilièreon May 4th, 2015