Votre dernier ouvrage s’intitule « La sécurité
numérique de l’entreprise - l’effet papillon du hacker ».
Pourquoi ce titre ?
Cet ouvrage fait suite à ma première publication en 2002 :
« Sécuriser l’entreprise connectée – le virus de la
confiance ». Nous ne sommes plus à l’ère de la sécurité
informatique avec l’ouverture du SI sur Internet pour les
collaborateurs.
La sécurité numérique s’adresse aux usages non aux systèmes. Elle
concerne d’abord le business de l’entreprise devenue numérique
dans le cadre de la sécurité globale des produits et services
proposés aux clients et usagers, par exemple dans les secteurs de
la finance, de la communication, de la santé, des transports, ou
du commerce.
Le sous-titre du livre s'appuie sur une histoire vraie et
personnelle relatée dans le préambule. Derrière des actes qui
paraissent pour certains, anodins, inoffensifs, de petites
incivilités sans gros impacts et du domaine du "défi" ou du
"challenge technique", se cachent des pratiques qui peuvent avoir
des conséquences directes ou indirectes, catastrophiques avec des
morts à la clé. Or, ce n’est pas la menace externe qui pose le
plus de problème, mais les failles et vulnérabilités internes des
entreprises.
Si nous sommes engagés dans une « cyber-guerre », les
entreprises, en lien avec les Etats et les citoyens, sont bien au
coeur d'un champ de bataille planétaire et virtuel. C'est l'idée
centrale de mon livre.
Vous ne croyez donc ni à la cybercriminalité ni à la
malveillance informatique ?
Ce n’est pas du tout ce que je dis ! J’ai été en charge de
la Sécurité de l’Information chez SFR de 1997 à 2002 et j’ai déjà
pu me rendre compte, sur le terrain, de la réalité de la
cybercriminalité…
Mais les menaces externes contre les entreprises sont à
relativiser par rapport aux vulnérabilités qu’on constate tous
les jours, au cœur même des entreprises. Les attaquants visent
généralement les plus vulnérables.
Aujourd’hui, il existe bien sûr des réseaux de criminalité
informatique organisés en Chine, Brésil, Russie, et aussi aux
Etats-Unis et en Europe. Mais avant de s’attaquer à une
entreprise ou à son SI, ils vont plutôt viser des individus -
clients, citoyens, salariés - avec des gains importants
nécessitant peu de risques et peu d’efforts, par exemple par la
technique du phishing.
On voit ainsi aujourd’hui émerger de façon accrue le phénomène du
social engineering. Elle consiste en une série de techniques
visant à amadouer, duper ou tromper une personne cible afin
d'obtenir d'elle une information qu'elle n'aurait pas donnée ou
un comportement qu'elle n'aurait pas eu en temps normal. Toute
attitude trop gentille, exerçant une trop forte autorité ou un
caractère d'urgence extrême et sollicitant un service ou une
information doit nous mettre en alerte notamment lorsqu'elle
s'exprime dans un courriel, un réseau social ou sur un blog.
On constate surtout que plus que l’infrastructure et le système,
ce sont l’information et le patrimoine de l’entreprise qui sont
dans la ligne de mire et l’objet de ces cyber-attaques.
Il existe d’autres formes de piratage informatique, on
pense notamment aux attaques menées récemment contre le site
internet d’Arcelor Mittal ou celui d’Universal Music
?
Tout à fait. En l’occurrence, ce sont des actions conduites par
des groupes moins motivés par l’argent que par l’idéologie dans
la lignée de Wikileaks et des Anonymous. Ils sont les héritiers
d’une certaine pensée libertaire pour qui Internet et
l’information sont un bien public et tout ce qui est sous
contrôle ou secret, est suspect. Ils savent très bien exploiter
le Net et les réseaux sociaux. Ils intègrent des hackivistes qui
peuvent se mobiliser rapidement pour attaquer et bloquer tout le
système d’information d’une entreprise s’ils estiment que ses
activités ne sont pas conformes à leur vision du monde, ou
portent atteinte à la liberté d’expression, à l’écologie, à la
vie privée. C’est ainsi que PayPal a vu son système de paiement
bloqué lorsqu’elle a annoncé qu’elle ne mettrait plus sa
plateforme à disposition des donateurs de Wikileaks. Est-ce que
ce sont des attaques à but « criminel » ? Pas si
simple !
Pourtant, les entreprises ont considérablement investi
dans leur sécurité numérique ?
Tout à fait, mais elles l’ont parfois mal fait et aussi
globalement moins en France que dans d’autres pays. Elles se sont
surtout suréquipées d’outils et de technologies, avec des règles
et processus mal acceptés par les utilisateurs et surtout avec
des coûts finalement difficiles à justifier aujourd’hui.
Au regard des attaques avérées et réussies, pour exemple les
évènements visant Sony, Bercy et Areva en 2011 ou l’Elysée en
2012, camoufler les attaques n’est plus possible. Il faut plutôt
les exploiter pour s’améliorer. C’est un changement culturel
majeur.
Surtout, les entreprises n’ont pas suffisamment intégré la
dimension comportementale et éducative. Prenons l’exemple des
chartes d’usage des SI qui s’intègrent dans le cadre du règlement
intérieur. Combien n’ont pas été lues, comprises et
respectées parce qu’elles n’étaient pas accompagnées d’une
bonne communication ?
Aujourd’hui, le sujet revient à la surface avec les médias
sociaux, la mobilité et le BYOD (Bring your Own Device)
Comment mettre en œuvre une politique de sécurité
numérique efficace ?
Le responsable de la sécurité est trop souvent perçu comme celui
qui apporte des interdits plutôt que des solutions :
interdire l’accès aux réseaux sociaux n’empêchera pas les
salariés d’y accéder par d’autres moyens qui rendront
l’entreprise encore plus vulnérable par manque de contrôle.
En 2008, j’avais insisté lors d’une conférence sur une exigence
professionnelle forte : passer de « Doctor No » à
« Yes we can ! ». La fonction
« sécurité » doit permettre l’usage sécurisé des outils
de communication. Dans le monde réel, on n’empêche pas une
entreprise de se développer dans des pays à risque. On n’a jamais
interdit de conduire une voiture parce qu’il y avait des morts
sur les routes. Relisons Rudyard Kipling : « Il
faut toujours prendre le maximum de risques avec le maximum de
précautions. » !
Il y a donc un saut créatif à opérer pour tenir compte de la
pression légale et de la protection des données à caractère
personnel notamment, de la réalité cybercriminelle avec une
actualité sans complaisance, des évolutions technologiques avec
le développement du cloud computing et de la mobilité et du
phénomène générationnel, la fameuse Génération Y.
Les professionnels de la sécurité doivent prendre en compte
toutes ces dimensions pour imaginer de nouvelles stratégies et
modèles qui intègrent les exigences des dirigeants, les
aspirations des salariés, clients, citoyens,… sans compromettre
la sécurité globale de l’entreprise. C’est un sacré défi…
Quelles sont les solutions que vous préconisez pour
protéger l’entreprise numérique ?
Je crois d’abord qu’il faut prendre la mesure des enjeux d’une
société dématérialisée dans laquelle nous sommes engagées et des
nouvelles formes de conflits qui lui sont liés, asymétriques et
autant idéologiques qu’économiques.
Les Asiatiques et les Anglo-saxons sont beaucoup plus sensibles
que nous aux risques d’espionnage économique et industriel. Trop
de cadres dirigeants français se promènent encore aujourd’hui
avec des informations sensibles non protégées dans leur
ordinateur portable. Il suffira d’un passage à la douane pour
entièrement les aspirer. Tant d’informations confidentielles sur
les activités et projets des entreprises sont disponibles sur
LinkedIn ou Facebook. Inutile de voler, on donne
l’information !
La sécurité numérique est un domaine vaste, complexe et immature.
On ne peut pas réduire sa complexité mais agir sur le champ et
l’immaturité par une meilleure gouvernance et de la
professionnalisation. Il faut donc se concentrer sur 4 mots
clés : accessibilité, identité, confidentialité et
traçabilité. Chacun s’inscrit dans une logique culturelle et non
plus politique : culture de l’identité (vs pseudos et
anonymat), culture de l’accès (vs propriété), culture du secret
(vs transparence), culture du contrôle (vs liberté). On entre ici
dans la sociologie voire la philosophie. C’est ce qui rend ce
domaine aussi passionnant et important.
Quelles pistes de progrès indispensables à vos
yeux ?
Il en existe pour moi trois proposées en conclusion de mon
ouvrage :
En premier lieu, la professionnalisation : le marché a pris
le pouvoir dans le monde informatique et impose ses solutions. Le
secteur associatif, éducatif, médiatique est ainsi formaté en
fonction des approches des offreurs et non des
« besoins ». Il faut un nouvel équilibre qui permette
l’émergence d’une génération de professionnels qui soient plus
transverses, indépendants, bons communicants et surtout en prise
avec tous les métiers de l’entreprise.
Ils ont besoin de formations adaptées et de structures
associatives performantes équilibrant les pouvoirs de l’Etat et
du marché.
Ensuite, l’acculturation : la mise en œuvre d’une politique
de sécurité doit impliquer les décideurs et utilisateurs en
amont, afin qu’ils comprennent le pourquoi du comment et adhèrent
à la démarche. Sinon il n’y aura jamais de résultats. Un
processus d’acculturation doit être défini et piloté en
permanence dans l’entreprise, de manière ciblée, selon les
populations, opportuniste, en exploitant l’actualité et très
pratique avec des règles de sécurité applicables, simples,
visibles. C’est une exigence à la fois éthique et
économique !
Enfin, le développement du cloud computing et de la mobilité
conduit à une intégration plus forte de la sécurité dans les
technologies et les services de base des opérateurs, hébergeurs
et fournisseurs de service. La sécurité sera de plus en plus
« externalisée ». Les aspects stratégiques (menaces,
technologies, relations gouvernementales), sociologiques
(comportements, usages), réglementaires / normatifs (globaux,
sectoriels), juridiques (contrats, engagements de services) et
économiques (politique d’achat, assurance) sont suffisamment
importants pour être abordés de manière coordonnée et plus
transverse. Aux décideurs d’en prendre toute la mesure…
Pour en savoir plus
- La sécurité numérique, de l’entreprise l’effet papillon du hacker par Pierre-Luc Réfalo aux éditions Eyrolles, novembre 2012 : http://www.editions-eyrolles.com/Livre/9782212555257/la-securite-numerique-de-l-entreprise
- Blog de Pierre-Luc Réfalo : http://www.securitenumerique-entreprise.fr