Assurer la confidentialité des données des utilisateurs sans pour autant compromettre l’image de marque de l’opérateur qui connaît une faille de sécurité dans son système ou subit une cyber-attaque. Voilà l’objectif affirmé par l’ENISA (l’agence européenne pour la sécurité des réseaux d’information) dans un récent rapport sur les DBN, ou « data breach notifications ». Soit l’obligation pour les opérateurs des télécommunications de mentionner expressément les fuites de données qui surviennent, comme le prévoit une directive européenne adoptée en 2009. « L’agence européenne a identifié les préoccupations respectives des opérateurs de télécommunications et des autorités de protection des données (DPA) », soulignent les auteurs du rapport. D’un côté, les opérateurs manifestent leurs craintes quant au préjudice subi en terme d’image si une notification de ce type paraissait. En soulignant les conséquences que cela pourrait engendrer : un déficit de confiance de la part de leurs clients.

« Gagner et maintenir la confiance des citoyens dans le fait que leurs données sont sécurisées et protégées est un facteur important du futur développement des technologies innovantes et des services en ligne de toute l’Europe », expliquent les consultants. Ainsi, les exigences introduites par la directive européenne prennent tout leur sens, dans la mesure où elles permettent de rassurer particuliers et professionnels sur la sécurité des informations qu’ils partagent avec des opérateurs Internet. Et en même temps, les inquiétudes des opérateurs sont légitimes, selon l’ENISA. Il faut du coup effectuer des changements, en déterminant par exemple le degré de réponses. « Les fuites doivent être catégorisées en fonction du niveau de risque auquel elles correspondent effectivement », indique le rapport.

Cela pour permettre éventuellement aux opérateurs de régler certains problèmes par eux mêmes, avant d’en faire état. D’un autre côté, les DPA – soit les instances de législation dont le but est d’assurer la confidentialité des données des citoyens – insistent pour obtenir davantage de pouvoir, afin de faire respecter les règles. Les opérateurs demandent à ce que les canaux de communication utilisés pour toutes les demandes de rapport de fuite préservent leur image de marque. En clair, que les sanctions éventuelles ou les actions prises demeurent, au moins en partie, confidentiels. A noter : si l’agence européenne a consulté opérateurs et autorités (DPA), c’est pour développer en 2011 un guide des bonnes pratiques et de procédures à suivre, qui prendra en compte les préoccupations des deux parties.