C’est une arme régulièrement brandie voire utilisée par les autorités. Le « name and shame » (soit, en bon français, « nommer et déshonorer ») fait des victimes parmi les entreprises. Une stratégie payante, y compris dans le domaine numérique, comme le démontrent régulièrement les mises en demeure de la Cnil pour non respect du RGPD, diffusées publiquement – la Cnil annonçant tout aussi publiquement que les entreprises citées se sont mises en conformité lorsque c’est le cas. Une façon pour l’institution de mettre la pression aux entreprises qui utilisent à mauvais escient les données personnelles collectées.
Pourtant, pas question d’utiliser cette option à tort et à travers, y compris lorsque des entreprises mettent en péril ces mêmes données pour cause de mauvaise cyberprotection. En matière de cybersécurité, l’institution publique se montre plus réservée. En juillet dernier, la Cnil annonçait ainsi mettre en demeure « 15 organismes du secteur public (communes, centres hospitaliers universitaires, ministères…) et du secteur privé (plateformes de e-commerce, prestataires de solutions informatiques…) » en raison de défauts de sécurité de leur site web, pouvant aboutir à des violations de données personnelles. Sans en nommer un seul.
Ne pas attirer les pirates
Et pour cause : le name and shame permet d’épingler des entreprises récalcitrantes, un profil qui ne correspond pas à celles se faisant pirater, autant victimes – avec une perte de business à la clé – que les consommateurs dont les données sont divulguées. Rares sont celles à être parfaitement conscientes du risque de violation de données et à le négliger.
De plus, le name and shame fonctionne auprès du grand public. Or, en matière de cybersécurité, toutes les failles ne débouchent pas sur la perte ou la violation de données personnelles de consommateurs. « En matière de conformité, le name and shame a un sens parce que ça touche directement les concitoyens, rappelle Thomas Manierre, directeur Europe, Afrique et Moyen-Orient de BeyondTrust. La Cnil estime que les données sont un prolongement de la personne et que toucher aux données, c’est toucher à la personne. » Jeter l’opprobre sur une entreprise mal sécurisée qui ne met en danger que ses propres données aurait une portée très limitée.
En outre, « ce serait tirer sur l’ambulance, tranche Thomas Manierre. Cela ouvrirait la voie aux hackers, qui sauraient que ces sites sont insuffisamment sécurisés. » Ainsi, dans son avis de juillet, la Cnil souligne t-elle avoir constaté que « de nombreux acteurs permettaient un accès non sécurisé (HTTP) à leur site web, mettaient en place des versions obsolètes du protocole TLS devant assurer la sécurité des données en transit, utilisaient des certificats et des suites cryptographiques non conformes pour les échanges avec les serveurs des sites contrôlés ». Les citer reviendrait à guider les pirates jusqu’à leurs prochaines victimes.
Communiquer pour se protéger
Ironiquement, en matière de cybersécurité, ce sont d’ailleurs les pirates qui utilisent à leur profit le name and shame, notamment pour se vanter d’une intrusion et initier une demande de rançon pour les données dérobées. Au point que la technique a donné naissance à une nouvelle forme de déstabilisation : les ransom-vaporwares. Des pirates menacent une entreprise de divulguer une faille de sécurité fictive pour les inciter à payer une rançon, elle, bien réelle, en échange de leur silence. Thales en a été victime en novembre 2022. Le groupe de pirates LockBit a menacé de révéler des données prétendument volées alors que les pirates n’avaient en fait pas réussi à pénétrer les systèmes de l’entreprise.
La stratégie des pirates est renforcée par « la culture du secret » dans laquelle les entreprises opèrent en matière de cybersécurité, communiquant trop rarement. Les ransom-vaporwares ne peuvent en effet fonctionner que si l’organisation ciblée peut être mise en doute aux yeux de ses investisseurs ou de ses clients. Au contraire, « une entreprise qui a communiqué avec transparence sur une attaque voit sa crédibilité renforcée », estime Thomas Manierre, et limite donc la possibilité pour les futurs hackers de porter atteinte à sa réputation. L’expert insiste sur la nécessité pour les entreprises de communiquer sur leurs difficultés en matière de cybersécurité et la façon dont elles les ont surmontées. L’objectif : renforcer l’ensemble de l’écosystème. « Certaines entreprises se sécurisent parce qu’elles ont entendu que des entreprises de leur secteur se sont faites hacker », conclut l’expert.
