ven, 16/05/2014 - 11:07
Les temps changent ! Il devient risqué d’être patron d’une grande entreprise si l’on néglige la sécurité des systèmes d’information et si l’on reste laxiste face aux conséquences des cyberattaques. On ne parle là que des responsabilités managériales, pas des pertes directes de chiffre d’affaires ni de la réputation de l’entreprise.
« Chez Target les cyber-pirates ont eu la peau du PDG », titraient les Echos du 07/05/2014 en annonçant le premier limogeage d’un dirigeant de grand groupe pour cause de piratage et de vol de données. Target (1800 magasins aux USA, 73 M de dollars US de CA en 2013) a en effet subi le plus important vol de données (déclaré) à ce jour: les données personnelles et financières de 100 millions de clients ! Quasiment la moitié de la population des Etats-Unis d’Amérique.
S’il ne faut pas se réjouir de cette sanction, et tout dirigeant connaît la difficulté pour un chef d’entreprise de piloter l’entreprise à tous les niveaux et à chaque instant, il faut néanmoins noter cette étape forte. Enfin la sécurité des systèmes d’information est devenue un élément clé de l’entreprise et la responsabilité de l’entreprise et de sa direction générale est affirmée. Elle s’exerce envers les clients et les collaborateurs qui leur confient leurs données sensibles et personnelles.
Désormais, au même titre que les résultats financiers, un préjudice de cette nature peut coûter sa place à un dirigeant. Après, sans doute, celle de son directeur informatique…
Bien sûr l’incident de Target, comme d’ailleurs d’autres similaires aux USA, souligne un des problèmes fondamentaux de la sécurité des paiements par carte bancaire à piste magnétique, sans code PIN. Mais il met aussi en évidence le besoin de sécuriser les bases de données, de sécuriser spécifiquement les serveurs web transactionnels, de mettre en place des processus de contrôle et de monitoring permanents de la sécurité Internet.
Cela donnera sûrement à réfléchir aux grandes entreprises françaises, à leur direction générale et aux DSI qui ont vu leur budget de sécurité SI et Telecom diminuer de 3% (source PWC Etude sécurité 2014) alors que, dans le même temps, le nombre moyen d’incidents de sécurité (vols de données employés et clients, altération et perte des données, vol de propriété intellectuelle) a augmenté de 30%.
La réalité est bien là : jour après jour les entreprises, grandes et moyennes notamment, sont et seront la cible d’attaques. Le calendrier ou les événements récents en témoignent : la semaine dernière Orange a de nouveau été victime d’un vol de données personnelles d’une partie de ses clients. Que l’annonce et la communication au public de cette attaque soit spontanée ou soit le résultat de la loi obligeant les opérateurs télécoms à annoncer tout événement ou incident de sécurité n’est pas le plus important. Ce qui compte c’est de communiquer. Il n’y a pas lieu de pondérer les sinistres : données avec importance ou données sans importance ; ce sont des données personnelles et la loi les protège. C’est la responsabilité des entreprises de garantir et d’assurer leur sécurité comme leur confidentialité.
Le fait qu’Orange ait communiqué a l’évident mérite d’éduquer le marché, de le former, de lui apporter cette maturité et le réalisme nécessaire du constat qu’aujourd’hui, et encore plus demain, les attaques et leurs conséquences se multiplieront. Cette évolution est inévitable en raison des facteurs liés au tout numérique : la taille des systèmes informatiques, la totale informatisation des processus de production et de fonctionnement des entreprises, la « cloudisation », l’externalisation des tâches de fonctionnement, la dématérialisation accélérée de la vie des entreprises et la mobilité des salariés et des clients.
Cette communication d’Orange est un arbre qui cache la forêt de tous ceux se sont fait attaquer, avec parfois de graves dommages qui ont pu être longs et coûteux, et qui les dissimulent à leurs clients, au public et souvent à leurs collaborateurs.
La prévention est aussi vraie en matière de cyberattaques qu’en matière de sécurité routière : les voitures sont équipées de ceintures de sécurité, d’airbags, d’un freinage efficace, de systèmes d’alerte de panne ou de défauts d’éclairage, etc. Même en respectant le code de la route, des accidents arrivent, légers ou graves. Ils font partie du risque de circulation et n’ont rien de honteux. Même chose pour l’informatique et l’Internet : il faut s’équiper en outils et en processus de contrôle, d’analyse et de surveillance, mais les attaques se produiront continuellement et des compromissions arriveront parfois ; c’est inévitable. Il faudra aussi être préparé à réagir, collecter les traces et les valeurs probantes, essayer d’identifier les sources des attaques, rétablir l’état antérieur et remédier à la situation.
Suivant les obligations légales appliquées depuis plusieurs années aux opérateurs télécoms dans le cadre du « Paquet Télécom », l’ANSSI et les pouvoirs législatifs vont imposer, d’abord aux OIV (Opérateurs d’Intérêt Vital, tels que les hôpitaux, les distributeurs d’eau ou d’électricité, les industries sensibles, etc.), puis progressivement à tous les acteurs économiques, l’obligation de rendre publique toute intrusion ou tout vol de données.
Il faudra donc s’habituer à communiquer à la presse, à ses clients et à ses collaborateurs les attaques, intrusions ou sinistres. Car comme pour les accidents de voiture, ce n’est pas une honte d’en subir (surtout s’ils sont provoqués par des tiers), par contre il est inconséquent et dangereux d’accepter de prendre la route sans clignotant, avec des pneus lisses ou en état d’ivresse !
Et c’est là que la responsabilité du chef d’entreprise, en tant que décideur, est réelle et devient, à l’instar de la « jurisprudence » Target, sèchement sanctionnable par les actionnaires : c’est bien la direction générale qui doit fixer la stratégie concrète de sécurité des systèmes d’information et de protection contre les cyberattaques. La définir, la suivre et en contrôler régulièrement l’application.
La cyber-protection est désormais, la preuve est faite, un sujet stratégique pour les entreprises, au même niveau que la finance, le commerce, la production ou la recherche. L’affaire n’est plus simplement technique. Le DSI et le RSSI ne peuvent plus, quand l’avenir et l’image de l’entreprise dépendent de la sécurité des données internes ou confiées, être les seuls responsables et les seuls sanctionnables.
A propos de l'auteur
Ancien Président de Cyber Networks, aujourd’hui BT France, qu’il avait fondée avec Laurent Charvériat, Théodore-Michel Vrangos a démarré sa carrière en tant que IT Business Manager au sein du Groupe Générale des Eaux (Vivendi) à Paris.
Master of Science en technologie de l‘information de l‘Université de Manchester (UK) et diplômé du Groupe ESIEE.