leral.net | S'informer en temps réel

A l’ère du tout numérique, créons la confiance numérique ( Par Mamadou Thiam)

Depuis un certains temps des voix s’élèvent au Sénégal, pour alerter sur des agissements répréhensibles, voire dangereux, portant atteinte souvent à la confidentialité des victimes d’usurpations et autres actes de piraterie, à travers le web et certains canaux de communication . Les moyens utilisés étant le plus souvent liés aux TIC, il est important, à l’ère du tout numérique de repenser la sécurité, pour asseoir une confiance numérique qui va au delà de la protection des données à caractère personnel.
Pour un thème aussi important, adopter une approche qui va du général au particulier risque de s’égarer dans les généralités. Il nous faut donc adopter de nouvelles ruptures en conformité avec les orientations de la recherche et de l’innovation.


Rédigé par leral.net le Jeudi 20 Février 2014 à 12:19 | | 1 commentaire(s)|

-De la confiance numérique
Alors qu’elle joue un rôle central dans le fonctionnement d’une société, d’une économie ou plus quotidiennement d’une relation personnelle ou commerciale, la confiance est difficile à saisir. Elle est « une espérance ferme en une personne ou une chose (dictionnaire hachette).
Dans le monde numérique, ou la relation s’établit souvent entre des acteurs qui ne se connaissent pas et par le truchement de dispositifs techniques, la confiance peut porter sur le système, l’interlocuteur et l’institution. Les pratiques numériques ont besoin de confiance pour se développer, la confiance est le produit naturel de la sécurisation juridique et technique des systèmes, réseaux et transactions. La sécurité numérique s’avère donc primordiale pour une confiance numérique.

-Pour de nouvelles approches de la sécurité numérique


D’avril à décembre 2010, un groupe de travail réuni par la FING (Fondation Internet Nouvelle Génération) et la Fondation Télécom, a exploré les « Nouvelles approches de la confiance numérique ». Au travers d’ateliers, d’échanges en ligne etc., plusieurs leviers se sont dégagés pour proposer des pistes d’innovation fécondes. Parmi ces leviers nous choisirons ceux relatifs au cadre juridique et réglementaire, mais aussi les aspects technologiques de la sécurité numérique.

• Du renforcement de la sécurité juridique

En terme de législation le Sénégal s’est dotée de la loi 2008 11 du 15 Janvier 2008 portant sur la cybercriminalité. L’esprit qui a motivé l’adoption d’une telle loi est clairement défini dans l’exposé des motifs suivant :
« Le développement des Technologies de l’Information et de la Communication (TIC) constitue en ce début du XXIème siècle un tournant majeur de la civilisation humaine…



…Ce passage de l’analogique au numérique annonce en réalité l’avènement d’un nouvel âge… où le bien informationnel est devenu un enjeu stratégique très convoité…

…il reste que l’espace numérisé qu’offrent les technologies de l'information et de la communication notamment l’Internet, est de plus en plus le lieu pour commettre des agissements répréhensibles de toutes sortes, attentatoires tant aux intérêts des particuliers qu’à ceux de la chose publique.

L’irruption de ce nouveau phénomène criminel dénommé cybercriminalité caractérisé par sa transnationalité, son immatérialité, sa volatilité et l’anonymat de ses acteurs a contribué à brouiller les repères du système pénal..,.


…Le présent projet de loi comprend deux parties :

1) La première partie, consacrée au droit pénal substantiel, comporte trois titres traitant de l’adoption d’infractions spécifiques aux technologies de l'information et de la communication et de l’adaptation de certaines incriminations et de certaines sanctions aux technologies de l'information et de la communication ;

2) La deuxième partie, relative au droit pénal procédural est composée de deux titres portant d’une part, sur l’aménagement de la procédure classique par rapport aux technologies de l'information et de la communication et d’autre part, sur l’adoption d’une procédure spécifique aux infractions liées aux données à caractère personnel.

Tel est l’objet du présent projet de loi. »

Allant plus loin dans le souci de renforcer sa législation, le Sénégal a ratifié la Convention de Budapest sur la cybercriminalité. La signature de cette Convention rentre dans le cadre de la « nécessité de mener, en priorité, une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace, notamment par l'adoption d'une législation appropriée et par l'amélioration de la coopération internationale... cette Convention est nécessaire pour prévenir les actes portant atteinte à la confidentialité, à l’intégrité et à la disponibilité des systèmes informatiques, des réseaux et des données, ainsi que l'usage frauduleux de tels systèmes, réseaux et données, en assurant l’incrimination de ces comportements, tels que décrits dans la présente Convention, et l’adoption de pouvoirs suffisants pour permettre une lutte efficace contre ces infractions pénales, en en facilitant la détection, l’investigation et la poursuite, tant au plan national qu’au niveau international, et en prévoyant des dispositions matérielles en vue d’une coopération internationale rapide et fiable»
Aussi, existe-t-il au Sénégal la Loi 2008 12 du 25 janvier 2008 portant sur la protection des données à caractère personnel. On peut ainsi dire que notre pays dispose d’un arsenal juridique important pour la protection des personnes et de leurs transactions à travers les TIC. Mais cela suffit-il vraiment pour assurer la sécurité numérique ? Nous pensons que non. Car dans les nouvelles approches de la confiance numérique, l’introduction de la notion des « tiers de confiance » s’avère impérative.

Qu’est-ce qu’un « tiers de confiance »

Réfléchissant aux métiers de tiers de confiance, Alain Borghesi Président de CECURITY SERVICES société leader dans les coffre-fort électroniques, et Arnaud Belleil, Directeur associé, en proposaient en 2006 une définition large : « un acteur, agissant dans l’univers des nouvelles technologies, se portant garant dans une transaction ou un échange entre deux parties entre lesquelles la confiance réciproque ne va pas forcément de soi. Le tiers de confiance est un dispositif pouvant associer plusieurs critères : un cadre juridique, des technologies issues de la cryptographie, un statut, une image de marque, une bonne assurance en responsabilité civile et, enfin, une capacité à coopérer avec d’autres tiers de confiance complémentaire. ».
Pour une meilleure protection des utilisateurs, la confiance « généralisée » a besoin de dispositifs et d’institutions de confiance pour réduire l’opacité des transactions et limiter les risques d’être victime de l’opportunisme des autres acteurs. Parmi ces dispositifs on peut citer ceux liés au jugement, appelés « dispositifs de jugement » par « l’expédition » de la FING et de la Fondation Télécom. Ils ont pour fonction de réduire l’incertitude, de permettre de se faire plus aisément un avis sur la crédibilité (la compétence, les intentions) d’une entreprise, d’un individu ou d’un produit. Les experts, les labels, les systèmes de réputations, les guides comparatifs, relèvent de cette catégorie. A côté de ces dispositifs existent ceux que l’on appelle « les dispositifs de promesse ». Ils ont pour fonction de prévenir les risques ou de protéger de leurs effets ; ils peuvent être techniques (sécurisation des paiements), juridiques (autorégulation d’une profession avec valeur contraignante).
Au Sénégal la notion de tiers de confiance n’est appréhendée qu’a son stade traditionnel. En plus de la loi, les services d’un huissier, d’un notaire ou d’un avocat spécialiste peuvent jusques là, aider pour éviter de s’exposer aux abus d’acteurs malintentionnés. Mais cela ne suffit pas dans un environnement numérique mondialisé. Il faut une harmonisation des textes régissant ce secteur, allant jusqu’à l’adoption d’une loi plus globale touchant tous les aspects de la confiance numérique.

Adoption d’une loi portant sur la confiance numérique

Le Sénégal dispose d’une loi portant code des télécommunications qui, bien qu’ayant pour objectif de réguler le secteur des télécommunications, comporte une insuffisance en ce qu’elle n’encadre pas certains domaines de l’économie numérique, stipulé en son article 2 comme suit :
« sont exclus du champ d’application de la présente loi :
• les activités relatives aux contenus des services destinés à l’internet et à la radiodiffusion télévisuelle et sonore ;
• la fourniture de contenu ou l’exercice d’une responsabilité éditoriale sur ce contenu ;
• les services de la société de l’information et, en particulier, le commerce électronique, à l’exclusion des services qui consistent entièrement ou principalement en la transmission de signaux sur les réseaux de télécommunication. »

En plus du champ de l’économie numérique, la confiance numérique intéresse tous les secteurs couverts par les Technologies de l’Information et de la Communication. C’est pourquoi les lois sénégalaises devraient mieux régir le fonctionnement et l’organisation de beaucoup de domaines liés aux TIC comme : la communication en ligne, le commerce électronique, la sécurité dans l’économie numérique, les systèmes satellitaires, bref le développement des TIC (couverture du territoire par les services numérique, la liberté concurrentielle dans le secteur des télécommunications). Tous ces aspects juridiques pourraient être intégrés dans une nouvelle loi portant sur la confiance numérique.

• Du renforcement de la sécurité technique

Bien qu’il soit impossible de vouloir établir une confiance sans un cadre juridique et réglementaire approprié, il est aussi indispensable, dans la prévention, l’éradication et le blocage des usurpations numériques, de se doter de moyens techniques adéquats.
A l’ère du « cloud » et du « big data », la sécurité numérique, au delà de la sécurité informatique mérite d’être intégrer dans le fonctionnement des administrations et des entreprises.
En pus de la cybersécurité qui est essentiellement la protection des infrastructures (réseaux, OIV, etc.), les axes technologiques suivants doivent être renforcés :
1. La téléphonie mobile
Face à la menace d’interception des communications et de l’usurpation d’identité, le besoin de solutions sécurisées pour la protection des informations sensibles est avéré. La solution pourrait être l’introduction par les opérateurs de téléphonie de terminaux mobiles sécurisés renfermant des applications de confiance.
2. Les solutions IP
Face à la migration vers le tout IP, l’enjeu est de concevoir et développer des architectures et des solutions de filtrage adaptées, permettant d’intégrer des flux voix et données visio dans des systèmes d’information sécurisées.
3. Le Haut débit et le Big Data
Face aux menaces de plus en plus élaborées pesant sur les systèmes d’information sensibles, il faut développer des moyens de détection d’attaques par le réseau et de corrélation d’alertes, permettant de récupérer en temps réel les métadonnées ; de réaliser l’analyse de grands volumes d’alertes par des techniques de data-mining adaptées.

4. La cryptologie
La sécurité informatique vise essentiellement cinq principaux objectifs que sont :
L’intégrité, qui est la propriété assurant qu’une information ou un traitement n'a pas été modifié ou détruit de façon non autorisée.
La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources partagées.
• La disponibilité, les services et les informations doivent être accessibles aux personnes autorisées en cas de besoin.
La non répudiation, permettant de garantir qu’une transaction ne peut être niée.
L’authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources.
L’utilisation de la cryptologie bien maitrisée nous garantit l’atteinte de ces objectifs. Du grec Kruptos (cacher) et Logos (science), la cryptologie se divise en deux familles que sont, la cryptographie qui sert à produire des messages secrets, et la cryptanalyse qui sert à percer les messages secrets.
L’origine de la cryptographie remonte à 4 000 avant J.C en Egypte pharaonique. Elle a été longtemps réservée aux communications militaires et diplomatiques, mais depuis s’est largement vulgarisée. Elle produit de nos jours des outils (algorithmes, protocoles, etc.) qui restent encore robustes malgré le développement des techniques de cryptanalyse. Son développement dans le monde civil a permis le développement de nouveaux métiers ou services.
Le chiffrement/déchiffrement est un principe d’accès conditionnel essentiel à la cryptographie. La clé chiffrement générée par cette technologie sert à crypter et à décrypter les messages via une communication passant par les canaux existants. Par le chiffrement l’intégrité est assurée car nécessitant une authentification ou une signature pour un accès total ou partiel. Les domaines d’application de la cryptographie s’étendent à l’internet, aux sites bancaires, aux sites de vente en ligne, le vote électronique, le vote en ligne, les télécommunications, le GSM, le WIFI etc. D’ou donc l’intérêt de se conformer aux normes internationales en matière de cryptographie.

Conclusion

Les quelques idées partagées ici sont loin d’être une solution toute faite pour l’instauration d’une confiance numérique dans nos relations de tous les jours, via les TIC. Par là, nous avons essayé d’ouvrir des pistes de réflexions, pour permettre aux doctes penseurs, et décideurs de ce pays d’organiser ce qui pourrait être un cadre idéal de régulation et d’organisation des pratiques numériques en général.
Notre pays dispose d’une bonne base juridique et technologique relative à la sécurisation des TIC ; tout de même le constat est qu’il existe un retard notoire sur ce domaine par rapport au reste monde. Avec le développement rapide de l’internet favorisant l’émergence de nouveaux métiers, ne pas être à jour des nouvelles règles et technologies risque de plomber les ambitions de développement et de réduction de la pauvreté. C’est pourquoi nous invitons en premier les autorités de ce pays, à encourager des initiatives allant dans le sens de moderniser nos enseignements, de soutenir les porteurs de projets technologiques innovants, d’encadrer la recherche et le développement dans les TIC, mais surtout d’accompagner le secteur privé national par des moyens conséquents et un appui institutionnel sans faille.
Nous pensons que si toutes ces dispositions sont prises et dans les plus brefs délais on pourrait voir le Sénégal se hisser sur les rampes de l’émergence.

Mamadou THIAM
Président SENEGAL OFFSHORE
Association sénégalaise pour la promotion
De l’offshore outsourcing
Mail : contact@senegaloffshore.net






Hebergeur d'image