Stacy Guin avait contracté un prêt étudiant auprès de cet établissement respectable ayant pignon sur rue qu'est la Brazos. Un jour, un prestataire de cette banque qui avait décidé de travailler chez lui s'est fait cambrioler. Je sais, vous voyez la suite, mais je vais vous le raconter quand même. Oui, il s'est donc fait voler (entre autres) son laptop, et oui, il avait 550000 dossiers client dessus, et non, ces données n'étaient pas protégées. Ce sont donc un demi million de données personnelles (identité, adresse, numéros de téléphone, de sécurité sociale, etc.) et bancaires (numéros de compte, de moyens de paiement, solde de compte, encours, prêts contractés, etc.) qui venaient de se faire la malle dans les mains de personnes on ne peut mieux intentionnées. Stacy a donc décidé de poursuivre la banque pour manquement à ses responsabilités contractuelles, manquement à ses responsabilité règlementaires d'établissement bancaire et négligence.

Croyez-moi ou non, mais la cour l'a débouté en audience préliminaire, considérant évident que la banque n'avait pas été négligente. Pourquoi ? Parce qu'elle avait une politique de sécurité écrite, qu'elle avait fait auditer son système d'information et qu'elle avait mis en place les mesures adéquats pour protéger les données de ses clients (dixit un expert engagé par elle), et qu'elle avait donc rempli ses obligations contractuelles et règlementaires. Arf. Le fait que ces données n'aient même pas été chiffrées ? Ce n'est pas précisé par la règlementation, donc on ne peut le leur reprocher. Des fois, franchement, on croit rêver. Il me semble en effet difficile de concevoir qu'on ne puisse pas imaginer qu'un portable contenant des données sensibles, autant pour les clients que pour l'entreprise elle-même, soit un jour volé et qu'on prenne de facto des mesures simplissimes pour les protéger de cette éventualité. Surtout quand on sait que l'OS favori de ces end-users possède un système de chiffrement de fichiers, EFS[1], qui, même s'il n'est pas terrible, a au moins le bon goût d'exister et ne demande qu'à être utilisé (sans parler de tous les logiciels disponibles sur le marché qui font du chiffrement de données) et que tous les laptops du marché disposent du verrouillage bas niveau du disque dur par mot de passe[2].

Alors oui, forcément, la banque a pris de mesures pour limiter le risque de fraude et indemniser les clients victimes des conséquences de ce vol le cas échéant. Certes, ça n'a pas du coûter bien cher à ce jeune homme. Bien sûr, on déploie la sécurité informatique sur le modèle de l'assurance, le niveau de risque financier déterminant le niveau de protection à mettre en face. Mais tout de même, la protection des données sensibles sur les laptops sont des mesures de base ! Et même au delà de ça, est-il bien raisonnable de laisser un prestataire quitter les locaux de la banque avec une telle quantité de données sensibles ? La belle politique de sécurité a-t-elle été respecté ? A-t-elle été correctement évaluée en regard du risque clairement prévisible qu'est le vol d'un portable ?

Ça me laisse pantois...

Notes

[1] Encrypted File System

[2] comme spécifié par le norme ATA