Lorsque, au début du siècle, à savoir des âges préhistoriques pour certains, l’informatisation a été lancée à grande échelle dans les organisations, une des explications était qu’elle allait simplifier la vie et ferait gagner du temps.
Quelques années après, où en sommes-nous ?
Il est d’un usage constant qu’en tout pays (de France au moins) et en tout temps, il soit toujours de bons enfants que l’on débine. On les appelle de noms d’oiseaux, de j’m’en foutistes, de rigolos, dans l’entreprise pour eux, pas de pot, ce sont les informaticiens et, en particulier, les RSSI.
Le propos pourrait paraître exagéré, mais la récente mésaventure d’une entreprise « du numérique » confirme cette introduction. Cette entreprise, que nous appellerons Zorglub par pudeur, a plus de 10 ans d’existence, un CA d’environ 250 millions et outre son implantation en France, elle est aussi présente dans une trentaine de pays étrangers.
Sa vie était un long fleuve tranquille qui charriait les dollars, jusqu’à ce que d’horribles pirates, russes bien évidemment, s’en prennent à cette charmante pépite (licorne avec des paillettes comme diraient mes petites-filles).
Et là, subitement, le monde s’écroule, la terre s’arrête de tourner pour s’ouvrir sous les pieds des dirigeants effarés qui ne savent tout-à-coup plus que faire et commencent donc à pleurer toutes les larmes de leur corps.
Sûrement parce que la sensibilisation avait échoué, non ? Relisez donc mon billet sur l’échec de la sensibilisation. Et celui-ci, tant qu’à faire. À moins qu’il ne faille chercher ailleurs…
Dire que cette attaque arrive peu de temps après la panne des numéros d’urgence d’Orange où l’entreprise n’était pas responsable (en fait, si, un peu, beaucoup, passionnément, à la folie ?)
Et ce n’est pas comme s’il n’y avait pas eu d’attaques informatiques contre les hôpitaux pendant la crise du Covid (cf. mon billet)
Bref, qualité et numérique semble être le nouvel oxymore du moment.
Mais il y a plus, accrochez-vous donc au pinceau, car je vais subitement enlever l’échelle.
Les récentes attaques au rançongiciel visant les hôpitaux français auraient dû soulever plusieurs questions. Étonnamment, relativement peu d’entre elles ont été évoquées. Autre point étonnant, alors que la presse s’est largement fait l’écho de ces attaques, le discours du président, les mesures et surtout la stratégie de cyber-protection des dits hôpitaux sont (plutôt) passés à la trappe. Comme si le sujet n’était pas important, comme si soulever ces questions n’était pas important, ou comme si l’important était d’évacuer le sujet à grands coups de millions promis pour les hôpitaux…
Pourtant, le sujet mérite qu’on s’y intéresse, car en paralysant un hôpital, ce sont des patients qui sont priés de… patienter encore un peu plus (au fait, avez-vous remarqué que, lorsque vous arrivez en retard chez le médecin, vous êtes quand même en avance – à de rares exceptions près. Théorème de moi, merci de me citer à chaque fois que vous l’emploierez), et si plusieurs hôpitaux sont paralysés simultanément, alors c’est toute une chaîne de santé qui est vraiment menacée. Ce qui pourrait faire de leur cybersécurité une priorité nationale, mais autrement que dans les seuls discours, ce serait parfait. En passant, la page de l’Élysée ne cite pas le cyber parmi les « grands dossiers du président » (cf. illustration infra). Et nous apprenons à propos des attaques cyber, dans le discours présidentiel, qu’elles peuvent paraître très abstraites, et c’est vrai [qu’elles] ne faisaient pas partir du quotidien de notre pays et dont on parlait peu… Si omnis tacent, non tacebo.
De quoi pourrions-nous alors parler ?
Placer l’humain au cœur de la cybersécurité est une expression à la mode depuis quelque temps. Elle peut être vue comme un sacrifice aux idoles du temps présent (après tout, même Staline estimait qu’il fallait placer l’homme au cœur du communisme et G. Marchais évoquait un communisme à visage humain) ou comme un véritable centre d’intérêt des organisations.
Dans ce dernier cas, cela signifie que l’organisation a centré sa cybersécurité sur l’humain, mais pas seulement pour estimer que PEBKAC ou le punir lorsque les choses se passent mal.
Ce (re)centrage de la cybersécurité sur l’humain permet alors de remédier à l’échec de la sensibilisation à la cybersécurité, pour peu que les quelques éléments suivants soient pris en compte.
Le numérique, l’Internet, doit être un espace de confiance. D’ailleurs tout le monde proclame que la confiance est indispensable dans le cyberespace, certains déclarant même qu’il faut la restaurer. Si on prend cette déclaration au mot, une restauration signifie que la confiance a existé, qu’elle s’est perdue et qu’elle doit revenir. Mais comment cette perte a-t-elle pu advenir puisque tous les « industriels » du numérique affirment qu’ils sont des acteurs de confiance ? Mais si tel était le cas, pourquoi appelleraient-ils à une restauration de la confiance ?
Sûrement parce qu’en fait, et quoi qu’ils disent, la confiance n’existe pas dans le cyber monde. S’il était un espace de confiance, pourquoi faudrait-il acheter aux industriels de la cybersécurité tous les nouveaux logiciels devant assurer cette sécurité ? Pourquoi tant de mises à jour « pour la sécurité » ? Pourquoi tant d’appels à la vérification et à la méfiance ? Un complotiste affirmerait que c’est justement en criant au loup qu’on a le plus de chances de vendre des pièges à loup…
C’est bien plus simple. La confiance n’existe pas dans le cyber monde car il n’est actuellement pas construit pour être de confiance. On peut cependant mettre en place un système peu compliqué pour que les utilisateurs se sentent davantage en confiance. Nous allons en parler maintenant.
Alors que le déconfinement pointe le bout de son nez et que le gouvernement vient de publier (selon la presse) un guide sur le télétravail, il peut être utile de se poser quelques questions sur ce « nouveau » mode de travail.
Il y a peu, un billet de ce blog a traité du télétravail en général. Article très générique qui exposait quelques éléments indispensables pour que cette injonction due au confinement réussisse. La bonne volonté ne suffisant pas toujours, il peut alors être bon, de même qu’il existe un plan de continuité d’activité et un plan de protection de l’information (euh…) de rédiger un plan de télétravail qui en fixe les modalités pratiques. Il est admis que la première victime d’une opération est toujours le plan, cependant en rédiger un permet de ne pas être pris totalement au dépourvu. Enfin, s’il n’a pas été rédigé depuis trop longtemps… Passons donc à la pratique.
En son temps, Henri Salvador chantait que le travail c’était la santé. Depuis, nous avons été incités, pendant les crises sanitaires, à découvrir les joies vertus et bonheurs du télétravail. A entendre les conseils prodigués au tout début du confinement, cela semblait tout simple. Les professeurs étaient d’ailleurs incités le soir de l’annonce de l’imminence du confinement à préparer dare dare leurs cours pour qu’ils soient télé compatibles.
C’est dire comme c’était facile, car comme tous les managers sont bons excellents, ils ne peuvent mettre leurs subordonnés dans une situation délicate. Il suffisait d’un ordinateur, d’une connexion internet, d’un peu de bonne volonté et…hop ! Le tour était joué.
Dans les faits, était-il si bien joué que cela ? Au-delà des questions légales que le télétravail peut soulever, nous allons passer en revue quelques ingrédients pour que le télé travail fonctionne correctement.
Bien que n’ayant pas encore achevé la rédaction de ma thèse (mais cela approche, heureusement !) l’actualité me pousse à rédiger un billet tant qu’il en est temps : espérons que le corona ne s’appesantira pas, et que la vie reprendra son cours paisible.
Ayant été frappé par les similarités entre le monde réel et le monde cyber à l’occasion de cette épidémie, je vous propose d’en faire un petit tour, non exhaustif.
Malgré son importance, la cybersécurité pâtit du fait qu’elle est à la mode. Sensibiliser à la cybersécurité est rappelé sans cesse, tel un mantra. Comme il est vrai qu’un défaut de cybersécurité peut avoir des conséquences désastreuses pour soi et les autres membres du réseau, il est indispensable que chacun se sente concerné et applique les règles élémentaires de cybersécurité. Pour cela, il va de soi que chaque utilisateur de l’informatique, du cyber ou du numérique, doit être sensibilisé aux dangers, à leurs remèdes, aux bonnes pratiques qui permettent de se prémunir des cyberattaques en tout genre.
Cela est fort bien, et loin de moi l’idée de critiquer l’aspect indispensable de la cybersécurité.
Cependant, le problème réside dans le fait que la cybercriminalité augmente dramatiquement (de manière exponentielle disent même ceux qui maîtrisent cette fonction… ou presque). Alors, si l’on fait preuve d’un peu de rigueur ou de perspicacité (voire des deux), on en vient à se demander pourquoi, si la sensibilisation à la cybersécurité se poursuit de la meilleure manière possible (personne ne la remet, même partiellement, en question), la cybercriminalité augmente et continue de rapporter à ceux qui la pratiquent ?
Parce qu’elle se diversifie et devient plus complexe, disent la majorité des intervenants.
Parce que la sensibilisation à la cybersécurité est un échec, dis-je, et je m’en vais vous expliquer pourquoi.
Il est beaucoup question du Piège américain dans lequel Frédéric Pierucci raconte son incarcération aux USA, durant laquelle il estime avoir servi à la fois de bouc émissaire du ComEx d’Alstom et de moyen de pression utilisé par la justice américaine pour finaliser le rachat d’Alstom par General Electric.
Le récent veto de la commission européenne à la fusion d’Alstom et Siemens redonne de l’intérêt à ce livre, car il permet de mieux comprendre le chemin tortueux qui a conduit à cette décision pour le moins étonnante.
Quant aux tout aussi récents commentaires de Michel Sapin sur la responsabilités des entreprises européennes dans leurs déboires avec la justice américaine, le récit de Frédéric Pierucci leur donne une saveur particulière.
