Ma génération (70’s) et celle de mes parents (nés en 1948) n’avaient jusqu’à présent, et si l’on omet les « guerres de Yougoslavie » (qui ont quand même durée 10 ans mais furent considérer par beaucoup comme des guerres civiles) , connues de conflits ouverts sur le sol européen. 

Tom Clancy avait déjà, en 1992, résumé par le seul titre de son roman « La somme de toutes les peurs » (« The Sum of All Fears » en v.o.) ce que nous sommes en train de vivre. 

Voir un état souverain, l’Ukraine, être attaqué par les armées de son voisin… Et entendre si ouvertement que ce conflit sera total : militaire, économique, numérique et même Nucléaire a fait ressurgir en nous le spectre d’une peur que nous croyons tous, il y a encore quelques semaines, impossible ou pour le moins improbable. 

Mais n’oublions pas ce que notre histoire nous a appris. 

Lors de la fin des hostilités de la Première Guerre Mondiale, beaucoup d’Européens pensaient avoir connu « la der des ders » … 

La souffrance et le sentiment d’humiliation d’un peuple, exacerbés et utilisés par un dictateur et ses alliés de circonstance, en avaient décidé autrement. 

Et contrairement aux Allemands qui avaient eu le temps de se préparer à la guerre en investissant massivement dans leurs infrastructures routières, leur industrie d’armement et la mécanisation… Nous étions tranquillement retranchés derrière la ligne Maginot ! Nous croyant bien à l’abri derrière nos murs épais. 

Ce que semble nous montrer les événements récents, c’est que Poutine, comme Hitler en son temps, a longuement préparé son attaque en faisant préalablement évoluer son économie (agricole, financière), ses infrastructures et en équipant et formant son armée. 

La recrudescence de cyber attaques concomitante avec l’invasion de l’Ukraine par les armées de Poutine n’est certainement pas fortuite. 

Alors pour éviter le pire, que pouvons-nous faire ? 

Ne pas rester retranchés derrière la ligne Maginot… Ou en langage informatique, ne pas continuer ce dogme que j’ai si souvent entendu : tant que ça fonctionne, on ne touche à rien ! Je pense qu’il est primordial de procéder à quelques actions simples qui limiteront le risque de réussite d’attaques de pirates informatiques :

1/ Pour tous : le point le plus faible d’un système d’information se situe généralement entre une chaise et un clavier, ce qui est le cas de CHACUN D’ENTRE NOUS ! Il est primordial de former vos collaborateurs en leur rappelant les quelques règles de bases suivantes :

a. La sécurité informatique est l’affaire de tous ! Quel que soit votre rôle au sein de la société.

b. N’ouvrez pas de courriels venant d’un expéditeur inconnu. Une demande qui vous parait inhabituelle ou suspecte doit éveiller votre vigilance. N’hésitez pas à solliciter de l’aide (votre manager, l’équipe informatique) si vous n’êtes pas certains.

c. Protégez correctement les matériels à votre disposition (pas d’ordinateurs ou de smartphones non verrouillés quand vous quittez un espace de travail ou un espace public).  

d. Évitez tout comportement à risque concernant le vol (pas de portables laissés sans surveillance dans une voiture, dans un restaurant, un train ou tout autre lieu public…) Utilisation de câbles de sécurité ou de caissons fermés, verrouillage des salles de réunions pendant les pauses pour limiter l’effet d’aubaine.

e. Pas de travail sur des documents sensibles dans les lieux publics.

f. Respect des outils informatiques fournis et validés par l’équipe IT (logiciels et matériels). Pas de déploiement ou d’utilisation d’outils non-conformes.

g. Respect STRICT des procédures pour le stockage et l’utilisation des informations personnelles (RGPD) ou de carte de paiement (PCI-DSS). 

2/ Pour le Service Informatique :

a. Maintenir les infrastructures à jour (firmware, pilotes, hyperviseurs, OS…) à tous les niveaux : réseaux, Serveurs, Stockage, PC, Smartphone… Fini le « tant que ça fonctionne, je ne touche à rien » ou « on verra dans 6 mois ».

b. Vérifier les applications déployées et leurs failles de sécurité connues. Ne pas hésiter à désactiver des applications à faible valeur ajoutée pour l’entreprise si le risque de faille lié à ces applications est fort.

c. Vérifier que la sécurité des réseaux est optimum (isolation des flux, protection depuis l’extérieur…) Si besoin, imposer une publication (bureau, VM) ou un VPN pour limiter l’accès direct, depuis Internet, aux données de l’entreprise.

d. Systématiser la double authentification pour toutes les applications de l’entreprise (les utilisateurs vont râler mais même si ces solutions ne sont pas parfaites, cela revient quand même à remplacer une porte d’entrée PVC par une porte blindée). Par une application smartphone ou par une solution de Single Sign-On (SSO.)

e. Vérifier le fonctionnement des Plans de continuité d’activité et de reprise d’activité s’ils sont présents. Mesurer le risque sur l’entreprise de leur absence en cas d’attaque. Forcer la direction ou les métiers à prendre conscience que l’investissement concédé dans ces plans n’est rien en comparaison du coût pour l’entreprise d’une perte, d’encryptions contre rançon (rançongiciel) ou de vol de données.

f. Vérifier les sauvegardes et surtout vos capacités de restauration même après une attaque sévère (une sauvegarde locale dans la même salle que la production, sans protection et externalisation n’est pas acceptable dans le contexte actuel) 

 3/ Pour la Direction des Systèmes d’Information :

a. Imposer sa présence dans le comité de direction : il n’est plus possible qu’un DSI ne participe pas aux décisions stratégiques de l’entreprise. Tant celle-ci est aujourd’hui dépendante de ses applications et de ses données ! L’IT n’est plus un centre de coûts géré sous la coupelle de la Direction Administrative et Financière. Une réelle adéquation entre la stratégie globale d’une société, ses processus métiers et ses outils informatiques est primordiale aujourd’hui.  

b. Si ce n’est pas déjà fait, recruter un Responsable de la Sécurité des Systèmes d’Information (ou faire appel à un RSSI en temps partagé ou à une société spécialisée dans la sécurité des SI)

c. Accepter de travailler en bonne intelligence avec la/le RSSI : oui, ils sont payés pour compliquer le rôle quotidien des DSI. Mais c’est toujours dans l’optique de mieux protéger l’entreprise. Alors arrêtons de voir leur action comme un mal nécessaire, mais plutôt comme un moyen de différenciation vis-à-vis de la concurrence. Comment puis-je valoriser vis-à-vis de mes clients, prospects et fournisseurs le surplus de résilience que j’obtiens en augmentant la sécurité de mes applications et la protection de mes données ?

d. Auditer les fournisseurs de solutions et de services utilisés aujourd‘hui : quels sont les engagements en cas de sinistre, la localisation des données, l’indépendance vis-à-vis des forces en présence (gouvernements Russes, Chinois, Américains…). Ne pas hésiter à remettre en cause des choix historiques (même si le niveau actuel de satisfaction est bon) si le risque est élevé (ex : interrogations à propos de solutions proposées par Kaspersky ?) 

 4/ Pour la direction générale :

a. Comprendre qu’une entreprise qui réussit et veut continuer à se développer ne peut le faire sans une Direction des Systèmes d’Information de qualité et des contraintes qui doivent être comprises et des obligations qui s’imposent à tous. Dans ces conditions, il est primordial que la DG montre l’exemple en respectant les points détaillés au 1er chapitre.

b. Accepter le DSI au CODIR, comme membre permanent et décisionnel. Écouter son avis, ses besoins et ses contraintes. Mais en contrepartie le challenger sur la sécurité et la disponibilité des applications, la protection et la localisation des données… Et la valeur ajoutée que lui et ses équipes peuvent apporter de manière proactive à la société. En fonction de la taille de l’entreprise, recruter un Directeur de l’évolution digitale (Chief Digital Officer) ou demander au DSI de porter aussi cette casquette 

c. Lutter contre le « Shadow IT » … Cette mauvaise habitude que certains responsables métiers (au marketing et à la vente le plus souvent) ont pris de commander des services informatiques en dehors des solutions proposées en interne au prétexte que « C’est trop cher et trop lent de passer par la DSI » : Ce qui n’est pas connu de la DSI n’est pas géré, pas maitrisé et les données qui se trouvent dans ces îlots « cachés » ne sont généralement pas protégées ni sauvegardées ! Un audit des frais engagés par les directions métiers (achats, notes de frais…) permet de retrouver ces dépenses IT et de décider que faire (arrêt des services, re internalisation, sécurisation de cet existant). 

5/ Pour les actionnaires :

a. Environ 50% des entreprises, surtout des PME, qui ont eu un incident de données important ont fait faillite dans les 2 ans. Et le pire, c’est que cette statistique reste stable depuis plus de 10 ans. Démontrant que, surtout en France, beaucoup d’entreprises sous-évaluent le risque et ne mettent pas en place de vrais Plans de Continuité (PCA) et de Reprise d’activités (PRA.) Et sous-estiment la valeur d‘un plan de sauvegarde et d’archivage adéquat, aussi onéreux soit-il à mettre en place ! Avant d’investir dans des parts d’une société, et quelle que soit la valeur de sa stratégie, de ses produits et de ses services, une vérification exhaustive de sa résilience informatique est nécessaire.  

b. Les services informatiques ont appris lors de la dernière décennie à faire plus avec moins. Ne croyez pas que les projets qu’ils vous présentent sont des « délires d’ingénieurs » et qu’ils veulent juste se faire plaisir. Mandater à grands frais des cabinets de conseil (souvent américains) qui vous expliqueront comment faire des économies en externalisant tous vos systèmes informatiques chez les GAFAMS n’est pas la solution… Il suffit de voir le nombre d’entreprises ou d’institutions qui ont dû faire marche arrière pour certaines applications ou types de données (niveaux de services ou de protection de données non respectées…) Faites plutôt confiance aux équipes de l’entreprise qui feront les bons choix (par application, par criticité des données…) puisqu’en cas de problème, ils seront directement impactés (responsables et coupables).

Il n’y a, dans tous ces éléments, que des choses relativement simples à mettre en œuvre. 

Et oui, beaucoup de décideurs sont prêts à investir des millions dans leur outil de production ou dans les meilleurs profils de collaborateurs. Mais très peu sont prêt à accorder une rallonge budgétaire à leur DSI ! 

Ne pas investir dans la RESILIENCE de son informatique (matériels, logiciels et surtout équipes), c’est comme penser que les systèmes de sécurité active d’une voiture de dernière génération sont si performants que je peux assurer une voiture neuve au tiers. Pas besoin de la garantie « tous risques »… Qui, en bon père de famille (ou en bonne mère), ferait ça ?