Votre dernier ouvrage s’intitule « La sécurité numérique de l’entreprise - l’effet papillon du hacker ». Pourquoi ce titre ?
Cet ouvrage fait suite à ma première publication en 2002 : « Sécuriser l’entreprise connectée – le virus de la confiance ». Nous ne sommes plus à l’ère de la sécurité informatique avec l’ouverture du SI sur Internet pour les collaborateurs.
La sécurité numérique s’adresse aux usages non aux systèmes. Elle concerne d’abord le business de l’entreprise devenue numérique dans le cadre de la sécurité globale des produits et services proposés aux clients et usagers, par exemple dans les secteurs de la finance, de la communication, de la santé, des transports, ou du commerce.
Le sous-titre du livre s'appuie sur une histoire vraie et personnelle relatée dans le préambule. Derrière des actes qui paraissent pour certains, anodins, inoffensifs, de petites incivilités sans gros impacts et du domaine du "défi" ou du "challenge technique", se cachent des pratiques qui peuvent avoir des conséquences directes ou indirectes, catastrophiques avec des morts à la clé. Or, ce n’est pas la menace externe qui pose le plus de problème, mais les failles et vulnérabilités internes des entreprises.
Si nous sommes engagés dans une « cyber-guerre », les entreprises, en lien avec les Etats et les citoyens, sont bien au coeur d'un champ de bataille planétaire et virtuel. C'est l'idée centrale de mon livre.

 

Vous ne croyez donc ni à la cybercriminalité ni à la malveillance informatique ?
Ce n’est pas du tout ce que je dis ! J’ai été en charge de la Sécurité de l’Information chez SFR de 1997 à 2002 et j’ai déjà pu me rendre compte, sur le terrain, de la réalité de la cybercriminalité…
Mais les menaces externes contre les entreprises sont à relativiser par rapport aux vulnérabilités qu’on constate tous les jours, au cœur même des entreprises. Les attaquants visent généralement les plus vulnérables.
Aujourd’hui, il existe bien sûr des réseaux de criminalité informatique organisés en Chine, Brésil, Russie, et aussi aux Etats-Unis et en Europe. Mais avant de s’attaquer à une entreprise ou à son SI, ils vont plutôt viser des individus - clients, citoyens, salariés - avec des gains importants nécessitant peu de risques et peu d’efforts, par exemple par la technique du phishing.
On voit ainsi aujourd’hui émerger de façon accrue le phénomène du social engineering. Elle consiste en une série de techniques visant à amadouer, duper ou tromper une personne cible afin d'obtenir d'elle une information qu'elle n'aurait pas donnée ou un comportement qu'elle n'aurait pas eu en temps normal. Toute attitude trop gentille, exerçant une trop forte autorité ou un caractère d'urgence extrême et sollicitant un service ou une information doit nous mettre en alerte notamment lorsqu'elle s'exprime dans un courriel, un réseau social ou sur un blog.
On constate surtout que plus que l’infrastructure et le système, ce sont l’information et le patrimoine de l’entreprise qui sont dans la ligne de mire et l’objet de ces cyber-attaques.

 

Il existe d’autres formes de piratage informatique, on pense notamment aux attaques menées récemment contre le site internet d’Arcelor Mittal ou celui d’Universal Music ?
Tout à fait. En l’occurrence, ce sont des actions conduites par des groupes moins motivés par l’argent que par l’idéologie dans la lignée de Wikileaks et des Anonymous. Ils sont les héritiers d’une certaine pensée libertaire pour qui Internet et l’information sont un bien public et tout ce qui est sous contrôle ou secret, est suspect. Ils savent très bien exploiter le Net et les réseaux sociaux. Ils intègrent des hackivistes qui peuvent se mobiliser rapidement pour attaquer et bloquer tout le système d’information d’une entreprise s’ils estiment que ses activités ne sont pas conformes à leur vision du monde, ou portent atteinte à la liberté d’expression, à l’écologie, à la vie privée. C’est ainsi que PayPal a vu son système de paiement bloqué lorsqu’elle a annoncé qu’elle ne mettrait plus sa plateforme à disposition des donateurs de Wikileaks. Est-ce que ce sont des attaques à but « criminel » ? Pas si simple !

 

Pourtant, les entreprises ont considérablement investi dans leur sécurité numérique ?
Tout à fait, mais elles l’ont parfois mal fait et aussi globalement moins en France que dans d’autres pays. Elles se sont surtout suréquipées d’outils et de technologies, avec des règles et processus mal acceptés par les utilisateurs et surtout avec des coûts finalement difficiles à justifier aujourd’hui.
Au regard des attaques avérées et réussies, pour exemple les évènements visant Sony, Bercy et Areva en 2011 ou l’Elysée en 2012, camoufler les attaques n’est plus possible. Il faut plutôt les exploiter pour s’améliorer. C’est un changement culturel majeur.
Surtout, les entreprises n’ont pas suffisamment intégré la dimension comportementale et éducative. Prenons l’exemple des chartes d’usage des SI qui s’intègrent dans le cadre du règlement intérieur. Combien n’ont pas été lues, comprises et respectées parce qu’elles n’étaient pas accompagnées d’une bonne communication ?
Aujourd’hui, le sujet revient à la surface avec les médias sociaux, la mobilité et le BYOD (Bring your Own Device)

 

Comment mettre en œuvre une politique de sécurité numérique efficace ?
Le responsable de la sécurité est trop souvent perçu comme celui qui apporte des interdits plutôt que des solutions : interdire l’accès aux réseaux sociaux n’empêchera pas les salariés d’y accéder par d’autres moyens qui rendront l’entreprise encore plus vulnérable par manque de contrôle.
En 2008, j’avais insisté lors d’une conférence sur une exigence professionnelle forte : passer de « Doctor No » à « Yes we can ! ». La fonction « sécurité » doit permettre l’usage sécurisé des outils de communication. Dans le monde réel, on n’empêche pas une entreprise de se développer dans des pays à risque. On n’a jamais interdit de conduire une voiture parce qu’il y avait des morts sur les routes. Relisons Rudyard Kipling : « Il faut toujours prendre le maximum de risques avec le maximum de précautions. » !
Il y a donc un saut créatif à opérer pour tenir compte de la pression légale et de la protection des données à caractère personnel notamment, de la réalité cybercriminelle avec une actualité sans complaisance, des évolutions technologiques avec le développement du cloud computing et de la mobilité et du phénomène générationnel, la fameuse Génération Y.
Les professionnels de la sécurité doivent prendre en compte toutes ces dimensions pour imaginer de nouvelles stratégies et modèles qui intègrent les exigences des dirigeants, les aspirations des salariés, clients, citoyens,… sans compromettre la sécurité globale de l’entreprise. C’est un sacré défi…

 

Quelles sont les solutions que vous préconisez pour protéger l’entreprise numérique ?
Je crois d’abord qu’il faut prendre la mesure des enjeux d’une société dématérialisée dans laquelle nous sommes engagées et des nouvelles formes de conflits qui lui sont liés, asymétriques et autant idéologiques qu’économiques.
Les Asiatiques et les Anglo-saxons sont beaucoup plus sensibles que nous aux risques d’espionnage économique et industriel. Trop de cadres dirigeants français se promènent encore aujourd’hui avec des informations sensibles non protégées dans leur ordinateur portable. Il suffira d’un passage à la douane pour entièrement les aspirer. Tant d’informations confidentielles sur les activités et projets des entreprises sont disponibles sur LinkedIn ou Facebook. Inutile de voler, on donne l’information !
La sécurité numérique est un domaine vaste, complexe et immature. On ne peut pas réduire sa complexité mais agir sur le champ et l’immaturité par une meilleure gouvernance et de la professionnalisation. Il faut donc se concentrer sur 4 mots clés : accessibilité, identité, confidentialité et traçabilité. Chacun s’inscrit dans une logique culturelle et non plus politique : culture de l’identité (vs pseudos et anonymat), culture de l’accès (vs propriété), culture du secret (vs transparence), culture du contrôle (vs liberté). On entre ici dans la sociologie voire la philosophie. C’est ce qui rend ce domaine aussi passionnant et important.

 

Quelles pistes de progrès indispensables à vos yeux ?
Il en existe pour moi trois proposées en conclusion de mon ouvrage :
En premier lieu, la professionnalisation : le marché a pris le pouvoir dans le monde informatique et impose ses solutions. Le secteur associatif, éducatif, médiatique est ainsi formaté en fonction des approches des offreurs et non des « besoins ». Il faut un nouvel équilibre qui permette l’émergence d’une génération de professionnels qui soient plus transverses, indépendants, bons communicants et surtout en prise avec tous les métiers de l’entreprise.
Ils ont besoin de formations adaptées et de structures associatives performantes équilibrant les pouvoirs de l’Etat et du marché.
Ensuite, l’acculturation : la mise en œuvre d’une politique de sécurité doit impliquer les décideurs et utilisateurs en amont, afin qu’ils comprennent le pourquoi du comment et adhèrent à la démarche. Sinon il n’y aura jamais de résultats. Un processus d’acculturation doit être défini et piloté en permanence dans l’entreprise, de manière ciblée, selon les populations, opportuniste, en exploitant l’actualité et très pratique avec des règles de sécurité applicables, simples, visibles. C’est une exigence à la fois éthique et économique !
Enfin, le développement du cloud computing et de la mobilité conduit à une intégration plus forte de la sécurité dans les technologies et les services de base des opérateurs, hébergeurs et fournisseurs de service. La sécurité sera de plus en plus « externalisée ». Les aspects stratégiques (menaces, technologies, relations gouvernementales), sociologiques (comportements, usages), réglementaires / normatifs (globaux, sectoriels), juridiques (contrats, engagements de services) et économiques (politique d’achat, assurance) sont suffisamment importants pour être abordés de manière coordonnée et plus transverse. Aux décideurs d’en prendre toute la mesure…

 Couverture : La sécurité numérique de l'entreprise

Pour en savoir plus