C’est par ces mots que le Directeur de cabinet de la maison Blanche informe le Président Bush du deuxième crash sur les tours du World trade center, lequel président, immobile, en état de sidération absolue écoute des petits écoliers de Floride. « Nous sommes attaqués » est sans doute le niveau le plus haut dans l’échelle de gravité qu’un président puisse entendre.
A l’échelle de l’entreprise, il n’existe qu’une fonction en face de laquelle sont positionnés des armées entières de malveillants : pirates, hackers simples potaches ou terroristes : la sécurité des Systèmes d’information. Il n’y a pas d’autre fonction dans l’organigramme qui soit systématiquement agressée, à ce point.
Les entreprises ont depuis longtemps pourvu le poste Sécurité des Systèmes d’Information avec un RSSI, souvent issu de l’informatique interne, parfois recruté dans un cabinet de conseil. Sa mission est fondamentalement de veiller à la bonne disponibilité des systèmes (et donc de prévoir des plans B en cas de catastrophe), la bonne intégrité des données (c’est-à-dire de lutter contre le risque de pagaille généralisée, typiquement celle rencontrée actuellement par les armées françaises et le logiciel Louvois), et garantir autant que possible la bonne robustesse de l’ensemble vis-à-vis de la confidentialité (interne et externe). En ce début d’année 2015, la lutte contre les cyber-attaques (espionnage et/ou terrorisme) est une priorité absolue. Il faut donc un pilote dans cet avion là.
La principale difficulté, vue de la Direction est l’opacité technique du sujet. Peu de personnes dans l’entreprise dominent véritablement le sujet, il est technique, complexe, jargoneux…. Pourquoi croire que l’entreprise peut mourir alors que nous sommes toujours en vie malgré les attaques déjà survenues ? Comment faire sérieusement le point et surtout, comment mettre en place un système qui ne s’use pas, alors que les contraintes excessives finissent toujours par être abandonnées …
Le marché regorge d’offres techniques pertinentes que les (bons) spécialistes savent mettre en oeuvre. Mais il subsiste deux problèmes : l’usure des dispositions visant les comportements (à quoi bon crypter si comme on le voit systématiquement dans les transports en commun, les ordinateurs et tablettes sont ouverts à la vue de tous) et l’intérêt pour l’équipe de direction de piloter vraiment le sujet, autrement dit la rentabilité d’une bonne politique de sécurité.
Une voie émerge actuellement qui permet de réduire agréablement ces difficultés, celle de considérer la bonne protection de l’information comme un actif valorisé de l’entreprise, au motif qu’un coffre-fort vaut plus qu’une passoire. Proclamé en comité de direction, cette décision permet de mettre un chiffre en face de la protection de l’information, d’informer le conseil d’administration, de fixer des objectifs de valorisation, de donner du souffle au RSSI, de fixer formellement des objectifs aux directeurs.
Ainsi, de manière assez inattendue, il semble que les outils financiers puissent aider les ingénieurs à mieux lutter contre les attaques informatiques et in fine donner de la valeur aux entreprises.
Pour en savoir plus, formez vous aux situations d’urgence Informatique et Télécom