Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLes auditeurs internes doivent-ils s’inquiéter des espions numériques parmi nous ?

Les auditeurs internes doivent-ils s’inquiéter des espions numériques parmi nous ?

Au cours de l’un des moments les plus légers d’une récente réunion au siège mondial de l’IIA, la blague suivante a été partagée :

Une femme à son mari : « Pourquoi chuchotes-tu toujours à la maison ? »
Le mari : « Parce que je crains que le gouvernement ne nous écoute. »
La femme rit. Le mari rit. Alexa rit. Siri rit.

Je suis sûr que cette blague fait le tour du monde, des salles de réunion jusqu’aux chambres à coucher en passant par les réseaux sociaux. Mais, comme pour beaucoup de sujets sur lesquels nous plaisantons, le cœur du sujet ne devrait pas être pris à la légère.

Selon Juniper Research, société basée au Royaume-Uni, 2,5 milliards d’assistants vocaux numériques, tels qu’Alexa, Siri et Google Assistant, étaient utilisés fin 2018. Ce chiffre devrait tripler pour atteindre 8 milliards d’ici 2023. Des milliards de personnes dans le monde ont ainsi déjà – en connaissance de cause ou non – concédé de leur vie privée pour plus de confort.

Ma première exposition à la puissance de ces outils qui créent la rupture a eu lieu peu de temps après que nous avons fait l’acquisition d’une enceinte Alexa pour notre foyer. Nous étions tous rassemblés autour d’Alexa en criant toutes sortes d’ordres auxquels elle répondait consciencieusement. Finalement, mon petit-fils de 3 ans a crié « Alexa – Je veux un Bumblebee. » Nous avons tous ri. Peu de temps après, j’ai reçu un message d’Amazon m’informant qu’un jouet Bumblebee était en route !

Les assistants numériques reposent sur une technologie d’écoute passive qui déclenche ou « réveille » le périphérique une fois la commande reconnue, telle que « Hey Siri ». Cela signifie que le micro de l’appareil fonctionne en permanence pour détecter ces phrases ou commandes de déclenchement. Les questions liées à ce que ces assistants peuvent entendre – et enregistrer – sont pléthores.

Du point de vue du management des risques, les organisations doivent comprendre les risques associés à ces périphériques « toujours actifs ». Par exemple, il est peu probable que les assistants numériques deviennent des équipements bureautiques standard, bien que certains employés aient commencé à les amener au travail. Il ne fait également aucun doute que les téléphones portables des collaborateurs aient le même genre de veille passive constante. Alexa ou Siri sur le lieu de travail rendent-ils une entreprise vulnérable à l’espionnage industriel, aux cyberattaques ou même à l’extorsion ? Des pirates pourraient-ils concevoir des logiciels malveillants pour compromettre et détourner les assistants numériques pour espionner les dirigeants ?

Bien que cela puisse sembler tiré par les cheveux, le fait est que les informations disponibles pour évaluer les risques associés sont limitées.

Les entreprises qui commercialisent des assistants numériques, notamment Apple, Google et Amazon, comptent parmi les plus grandes au monde. Et elles investissent massivement dans les technologies de pointe conçues pour améliorer l’expérience client. Mais à quel prix ?

Selon le défenseur de la protection de la vie privée Consumer Watchdog, les demandes de brevet relatives à un algorithme permettraient aux futures versions d’Alexa d’Amazon de surveiller les conversations et d’orienter le locuteur vers une publicité basée sur ce qui a été dit. Cela soulève d’importantes questions éthiques.

Plus tôt cette année, Amazon a donné un aperçu de ses pratiques en réponse aux questions d’un sénateur américain. La firme de Jeff Bezos a confirmé que les appareils compatibles avec Alexa stockent les enregistrements des utilisateurs indéfiniment jusqu’à ce qu’ils décident de les supprimer. Amazon a également expliqué qu’il utilisait des transcriptions et des enregistrements des propos des utilisateurs d’Alexa pour améliorer les capacités de reconnaissance vocale du service. Et il partage des enregistrements des interactions d’Alexa avec des fournisseurs de services tiers pouvant être contactés via Alexa, tels que Uber ou Domino’s Pizza.

Amazon a confirmé qu’Alexa arrêtait le flux d’informations qu’elle collectait « dès que l’utilisateur met fin à la conversation ou si Alexa détecte un silence ou un discours qui n’est pas destiné à Alexa ».

« Nous utilisons les données client collectées pour fournir le service Alexa et améliorer l’expérience client. Nos clients savent que leurs informations personnelles sont en sécurité avec nous » selon la lettre du vice-président des politiques publiques d’Amazon.

Mais compte tenu du nombre de failles de sécurité qui se sont produites dans d’autres sociétés de premier plan, telles que Yahoo, Equifax et Capital One, la promesse de sécurité d’Amazon n’est pas rassurante.

Il serait naïf de croire que les fabricants d’assistants numériques sont les seuls fournisseurs de services qui collectent et exploitent les données des clients. Mais un incident de 2012 fournit un exemple de la puissance de ces informations.

Un détaillant américain connu a été largement critiqué après qu’un article du New York Times a exposé sa pratique consistant à collecter et analyser les historiques d’achat des clients afin d’attribuer des scores de « prédiction de grossesse ». Les recherches de la société ont indiqué que les femmes enceintes étaient plus susceptibles de devenir des clientes fidèles si elles étaient « converties » au début de leur grossesse.

L’article décrivait la précision des scores de prédiction de grossesse. Un père a confronté le directeur d’un magasin, lui demandant pourquoi sa fille de 16 ans recevait des réductions pour des produits de grossesse – pour apprendre par la suite que l’adolescente était effectivement enceinte.

À cette époque, Siri était le seul assistant numérique sur le marché. Depuis lors, Alexa (Amazon), Alice (Russie), AliGenie (Chine), Bixby (Samsung), Clova (Android, iOS), Cortana (Windows), Google Now, Google Assistant et Mycroft (Linux) ont rejoint le marché des assistants virtuels toujours à l’écoute.

Les nouvelles technologies basées sur les données sont une caractéristique permanente de l’économie moderne. L’audit interne doit rester informé et vigilant quant à l’impact de ces nouveaux outils et technologies sur la confidentialité, la protection des données et les risques.

Comme toujours, vos commentaires sont les bienvenus.

Disclosure:
Richard F. Chambers, président et directeur général du Global Institute of Internal Auditors, publie chaque semaine sur son blog un article traitant des sujets d’actualité liés à la profession d’auditeur interne.