PA Consulting est une société privée sous-traitante travaillant sur une nouvel outil de base de données (JTrack) pour le Ministère de l’Intérieur britannique. Un de ces projets rémunérateurs qui font les beaux jours d’une entreprise. Cependant, toutes les bonnes choses ont une fin et PA Consulting a hélas perdu son contrat. Cette société a égaré une clé USB hébergeant une base de données, laquelle contenait des données sur 84000 détenus dans les prisons d’Angleterre et du Pays de Galles, et 43000 récidivistes. Un malheur ne venant jamais seul, PA Consulting n’a pas eu l’idée de chiffrer ni la base de données, ni la clé USB. Les informations contenaient les noms, prénoms, date de naissance, date de libération. On pourrait s’étonner de l’absence de chiffrement, précaution somme toute élémentaire, et facilement rappeler que le contrôle des périphériques de stockage externes doit être la règle, mais il s’avère que la faute de PA Consulting est encore plus lourde. Car dans les termes du contrat de ce sous-traitant il lui était formellement interdit d’utiliser ce type de média amovible pour héberge la base de données. Plus qu’une maladresse, il s’agit donc bien dans le cas présent d’une absence de respect de la politique de sécurité édictée par le gouvernement britannique.

Nos amis d’outre-Manche ont décidément bien du mal à conserver les données personnelles. Ce genre de déboires n’est pas le premier. En novembre 2007, pas moins de 25 millions d’informations avaient été perdues. La même année, un ordinateur portable égaré avait causé la perte de données personnelles relatives à plus de 3 millions d’anglais passant leur permis de conduire. La Royal Navy avait laissé filer, de la même manière, des informations sur 600 000 personnes. Suite à cette dernière perte causée par PA Consulting, le Ministère de l’Intérieur britannique a dû révéler avoir perdu – ou s’être fait voler – 43 ordinateurs portables et 94 téléphones portables ces trois dernières années. Un porte-parole a déclaré que le Ministère ne « pensait pas que les ordinateurs perdus contenaient des informations sensibles ou classifiées ». Le Ministère de la Défense a pour sa part admis que près de 600 ordinateurs portables avaient été volés en 10 ans. Très récemment, ce même Ministère s’est fait voler, dans une voiture, un portable contenant des informations sur 600 000 personne. L'[Information Commissioner’s Office | http://www.ico.gov.uk/] (une autorité indépendante similaire à la CNIL) a rapporté que des milliers de pertes de données personnelles lui étaient signalées chaque moi depuis novembre dernier.

La situation est-elle meilleure dans l’hexagone ? C’est peu probable, même si la France est « un pays dans lequel on ne perd jamais un ordinateur portable… » comme aime le rappeler – avec ironie – Eric Domage, Research Manager, Security Products & Services chez IDC. Notre chance, et malheur, n’est peut-être uniquement que de telles pertes ne sont jamais révélées au public.