Gérer l’ensemble des données électroniques des institutions publiques de sécurité sociale est sans doute une prouesse mais aussi un fameux risque. Le piratage est la hantise des informaticiens de la Smals.
La Smals est une spécialité belge. Aucun pays en Europe n’a poussé si loin la gestion informatique centralisée des données personnelles. La moindre erreur peut avoir des conséquences désastreuses pour l’État comme pour le citoyen. La Smals possède une équipe dédiée à la surveillance des «anomalies» dans les banques de données des grandes institutions publiques de sécurité sociale et au contrôle de leur «qualité». Ces «anomalies» ou ces données de mauvaise qualité sont parfois le résultat des conditions d’encodage. Les orthographes légèrement différentes d’un nom, les adresses incohérentes en font partie. «Nos chercheurs croisent les banques de données pour mesurer la qualité des données», explique Marc Vael, responsable du service d’audit interne à la Smals.
Le croisement des banques de données sert aussi d’autres objectifs, comme la lutte contre la fraude demandée par le gouvernement. Comment la Smals peut-elle assurer le respect de la vie privée? L’asbl explique avoir conçu un programme, le Data Archipel, qui combine trois exigences, celle d’un croisement des données personnelles à des fins d’analyse, la confidentialité du citoyen concerné et le fait de garantir à l’entreprise publique le contrôle des données qu’elle livre et dont elle est responsable. «Nous récupérons certaines données qui sont anonymisées et nous les croisons avec des algorithmes, explique Marc Vael. Nous donnons le résultat aux institutions qui, de là, peuvent faire des recherches ciblées. L’important est d’avoir des sources authentiques validées (comme lorsqu’on se connecte avec la carte d’identité électronique). Pour ces sources, il est clairement précisé quelle institution a le droit de regarder et de tenir le fichier à jour. Les autres n’ont pas le droit de le faire.»
Certes, mais comment s’en assurer? Comment éviter le hacking? La Smals reconnaît que le risque zéro n’existe pas et que le contrôle leur prend «beaucoup d’énergie». Mais ce n’est pas tellement les attaques extérieures, comme celles de Down-sec qui a piraté notamment le site du Premier ministre cette année, qui sont jugées les plus inquiétantes. Face à ces potentielles intrusions, la Smals a développé un système de «couches» virtuelles où, comme pour les centrales électriques en cas de black-out, il est déterminé ce qui peut «sauter» en premier et en dernier lieu. Le vrai risque n’est pas là. «Le plus grand danger, ce sont les hackers qui entrent dans le système et qui y restent», estime Marc Vael. Et ce ne serait sans doute pas pour changer le montant de leur pension. Tous les spécialistes TIC que nous avons contactés le confirment: le danger est interne. Il suffit de faire entrer le loup dans la bergerie pour détruire le système de l’intérieur et cela peut se réaliser aisément lors des opérations de sauvegarde de données par exemple. Avec pour objectifs le vol et la revente des données personnelles à des sociétés commerciales ou la volonté de nuire à des individus particuliers. «Nous en sommes bien conscients, d’où la nécessité de contrôles internes poussés», dit Marc Vael. Car le système porte en soi ses faiblesses. Les données de la Banque-Carrefour des entreprises sont vendues. Et combien de formulaires en ligne pour certaines institutions publiques ne demandent-ils pas le numéro de compte bancaire?
Lire le dossier «Big data, bug brother ?», Alter Echos n°433, novembre 2016