Reconnaître l’excellence dans les pratiques en matière de sécurité, de protection des consommateurs et de confidentialité
Présentation et contexte
Cet audit et ce tableau d’honneur de la confiance en ligne 2018, qui présentent un aperçu de l’adoption des meilleures pratiques à la fin de 2018, représente la 10ème édition annuelle de recherches de référence par l’Online Trust Alliance (OTA) afin de promouvoir les meilleures pratiques en matière de sécurité, la gestion responsable des données et les pratiques responsables en matière de confidentialité. Les principaux objectifs de ce travail consistent notamment à élever le niveau de sécurité et de confidentialité des données et à reconnaître les organisations qui ont fait preuve d’excellence en matière de sécurité et de confidentialité. En plus du statut du tableau d’honneur (annexe D), cet audit comprend une liste « Première classe » qui présente les 50 meilleures organisations, en fonction de leur score total (annexe C).
Les récentes révélations concernant la compromission des e-mails d’entreprises (123 millions de dollars extraits de Facebook et de Google), des piratages importants (383 millions d’enregistrements de Marriott), un traitement douteux des données des utilisateurs (série de révélations concernant Facebook), ainsi que le lancement du règlement général sur la protection des données (RGPD) de l’UE, renforcent la nécessité pour les organisations d’adopter les meilleures pratiques dans tous les domaines : la sécurité des e-mails, la sécurité des sites et les pratiques en matière de confidentialité. L’enquête mondiale CIGI-Ipsos de 2018 sur la sécurité et la confiance sur Internet continue de brosser un tableau sombre de l’état de la confiance en ligne. Plus de la moitié des personnes interrogées sont plus préoccupées par la confidentialité que l’année précédente et la majorité d’entre elles ont une grande méfiance à l’égard des plateformes de médias sociaux, des moteurs de recherche et des entreprises de technologie basées sur Internet.[1][2][3][4][5]
Dans de nombreux domaines, les pratiques des entreprises s’éloignent des attentes des consommateurs. Si rien n’est fait, le manque de confiance dans la confidentialité et la sécurité offertes par les organisations risque d’avoir des effets paralysants. Pour que l’économie de l’Internet prospère, les utilisateurs doivent pouvoir être sûrs que leurs informations personnelles seront sécurisées, leurs préférences respectées et leur confidentialité protégée.
Les recommandations et les meilleures pratiques de l’OTA évaluées dans le cadre de cet audit s’appliquent non seulement aux e-mails, aux sites Web et aux applications mobiles, mais également à l’univers étendu des offres en matière d’objets connectés (IoT). En plus de cet audit, les fabricants d’objets connectés devraient examiner le cadre de confiance en matière d’objets connectés de l’OTA pour des recommandations spécifiques à ces offres.[6] L’audit de 2018 a été amélioré dans plusieurs domaines : des sous-secteurs supplémentaires, un nouveau secteur majeur (santé) et des critères élargis dans chaque catégorie principale, ce qui représente désormais plus de 100 attributs de données (annexe B), offrant ainsi une vue d’ensemble plus complète sur la confiance en ligne au travers d’un plus grand nombre d’organisations concernées. De nouveaux critères ont été ajoutés et la pondération a été mise à jour pour refléter l’évolution du paysage des menaces, de l’environnement réglementaire et des pratiques acceptées à l’échelle mondiale. En outre, les principes de niveau élevé liés au RGPD ont été pris en compte pour créer une base de référence pour les futurs audits. Pour aider les organisations, ce rapport comprend une liste de contrôle des meilleures pratiques (annexe E), ainsi que des ressources pour l’implémentation (annexe F).
Il est important de noter que l’audit est limité à une période spécifique. Compte tenu de la nature dynamique des configurations des sites Web et des applications, les scores des organisations peuvent avoir évolué depuis la fin de l’audit. Toutes les analyses ont été effectuées sans la contribution active des sites analysés. Les sites ont été sélectionnés en fonction de leur classement dans leurs secteurs individuels ou dans les listes publiques (ou de l’adhésion de leur organisation à l’Internet Society). Dans les cas où une vulnérabilité importante a été identifiée, l’OTA a respecté les pratiques de divulgation coordonnée, et a tenté de contacter l’entité « à risque » pour lui donner une chance de remédier au problème constaté et de se réorganiser avant la publication du présent rapport.
Notes de fin
[1] Un escroc plaide coupable d’avoir volé 123 millions de dollars à Google et Facebook dans des escroqueries par BEC https://www.scmagazine.com/home/security-news/cybercrime/google-facebook-fraudster-pleads-guilty-to-stealing-123-million-in-bec-scams/
[2] Marriott affirme que moins de clients ont été touchés par un piratage massif des données https://www.usatoday.com/story/travel/news/2019/01/04/marriott-says-fewer-customers-affected-massive-data-hacking/2481601002/
[3] Problèmes de confidentialité de Facebook : un tour d’horizon https://www.theguardian.com/technology/2018/dec/14/facebook-privacy-problems-roundup
[4] Règlement général sur la protection des données (RGPD) de l’UE https://eugdpr.org/
[5] Enquête mondiale CIGI-Ipsos 2018 sur la sécurité et la confiance sur Internet https://www.cigionline.org/internet-survey-2018
[6] Cadre de confiance concernant les objets connectés de l’OTA https://www.internetsociety.org/iot/trust-framework/