La majorité des données sensibles sur les portables des organismes gouvernementaux américains n'est pas chiffrée
Aux Etats Unis, seulement 30% des données sensibles sont chiffrées lorsqu'elles sont conservées sur des PC portables ou sur des terminaux mobiles utilisés par des organismes gouvernementaux, y compris pour des informations personnelles sur les habitants du pays. Ces chiffres décrivent la situation d'il y a un an, selon un rapport d'audit, et ce malgré une série de failles dans les agences gouvernementales ces dernières années. Le rapport, réalisé par le « Government Accountability Office" (GAO), a trouvé que 70% des données sensibles situées sur des PC portables et des terminaux mobiles dans 24 agences gouvernementales importantes des Etats Unis n'étaient pas chiffrées, en septembre dernier. Le rapport définit plusieurs types de données sensibles, dont les dossiers médicaux, d'autres informations personnelles, des données de services de répression et des dossiers pour la sécurité intérieure. « Bien que toutes les agences aient lancé des initiatives afin de déployer des technologies de chiffrement, aucune n'a documenté des plans complets de mise en oeuvre du chiffrement. Conséquence, des informations fédérales restent exposées à un risque accru d'une divulgation non autorisée, de perte ou de modification, affirme le rapport. Ce rapport fait suite à une série d'incidents de sécurité chez les organismes gouvernementaux au tcours des derninères années. En Mars 2007, le service des impôtse a indiqué que 490 ordinateurs portables avaient disparu ou avaient été volés sur une période de trois ans. Il est probable que bon nombre d'entre eux contenaient des renseignements personnels sur les contribuables, selon un rapport du commissaire aux comptes. En Septembre 2006, c'est le département américain du Commerce qui indiquait que 1137 ordinateurs portables avaient été perdus ou volés depuis 2001, dont 249 contenant des données à caractère personnel. D'autres organismes ont également déclaré des portables disparus ou volés. Photo (D.R.) En Mai 2006, le ministère des Anciens Combattants a indiqué qu'un ordinateur portable et un disque dur contenant des informations personnelles sur 26,5 millions de vétérans et sur leurs conjoints a été volé au domicile d'un employé. Le matériel a été récupéré, et dans la foulée, l'agence a débuté le chiffrement de ses ordinateurs portables. Pourtant, le rapport édité parle GAO rappelle que plusieurs lois, dont le Federal Information Security Management Act (FISMA) de 2002, exigent que les organismes protégent leurs données. De plus, le bureau de gestion et du budget de la Maison-Blanche (OMB Office of Management and Budget) fut le premier à recommander en 2006, puis à l'exiger en mai 2007, que toutes les données sensibles présentes sur des PC portables soient chiffrées. Le PDG de PGP, un vendeur de sécurité spécialiste du chiffrement, Phil Dunkelberger, estime pour sa part, qu'il est nécessaire d'aller plus loin et d'assurer une protection des données sur les réseaux. « Quand allons-nous être sérieux en ce qui concerne la protection des données, basée sur des rôles et sur un chiffrement lié à une politique, et non un simple chiffrement des terminaux, tant que nous n'aurons pas une vision stratégique des données, nous n'aurons pas d'impact significatif, dit-il. Même si les portables sont chiffrés, il restera toujours les supports amovibles, ajoute-t-il. Et beaucoup d'organismes font face au défi de trouver le temps nécessaire pour chiffrer des milliers de portables, et de gérer les clés de chiffrement, par la suite. Sans compte que beaucoup de terminaux risquent d'être trop anciens pour être chiffrés, et que des terminaux non standards peuvent être employés pour accéder à des informations sensibles. Malgré les bonnes intentions du gouvernement, « il ne suffit pas d'envoyer une circulaire de la part de l'OMB pour que tout soit corrigée par magie, critique Phil Dunkelberger. Deux membres démocrates de la Chambre des représentants et du comité de sécurité intérieure (Homeland Security Committee) ont exprimé leur déception devant les efforts des organismes gouvernementaux. Le comité a annoncé le rapport GAO lundi 28 juillet dernier. « Le chiffrement n'est pas une option, c'est une obligation. Malheureusement, je ne suis pas surpris de ce taux de 30% malgré les exigences du bureau de la Maison Blanche. Effectuer les bons investissements en sécurité aujourd'hui, nous évitera le pire demain, a déclaré le démocrate Bennie Thompson, président du comité. « Les agences fédérales sont loin du secteur privé, en ce qui concerne la protection des données et de leur chiffrement, je suis préoccupée par le fait que notre gouvernement ne progresse assez vite dans la protection de nos systèmes et de nos procédures, conclut la représentante Zoe Lofgren, une démocrate de Californie.
