Une société informatique se retrouve dans une position très inconfortable après avoir été visée par des hackers. Une énième cyberattaque ? Non, cette fois-ci, une simulation montée par un spécialiste du secteur, mais sur fond d'actualité brûlante.
Dans un exercice réalisé pour des journalistes à Helsinki, la société finlandaise F-Secure a imaginé comment la direction de Comsec, une entreprise aux équipes éclatées entre l'Allemagne et l'Italie, apprend par un tweet qu'un blogueur a publié le code source de son produit vedette, un VPN --c'est-à-dire un programme de protection de la navigation sur internet-- commercialisé notamment par GermanTel, le principal opérateur de télécoms (évidemment fictif) allemand.
Un cauchemar... "Plusieurs hackers connus, y compris l'auteur du blog, affirment que le code source est mal écrit et contient des failles de sécurité", écrit dans la foulée une gazette en ligne spécialisée. Les serveurs de l'entreprise font aussitôt l'objet de graves attaques, apparemment lancées par des activistes.
La fuite viendrait du piratage d'un ordinateur par un ancien stagiaire, quinze jours plus tôt.
Pour la direction de Comsec, il faut réagir sans délai: tenter de comprendre ce qui se passe, bien sûr, et voir si le VPN est effectivement vulnérable, dialoguer avec les équipes techniques, mais aussi prévenir les autorités, penser aux conséquences juridiques, prévenir les employés, rassurer la presse qui s'inquiète déjà...
"Si vous dites +pas d'affolement+, ils vont s'affoler", conseille un journaliste flamand participant à l'exercice. On décide alors de rédiger un communiqué ressemblant à ceux que l'AFP reçoit dans de pareilles circonstances: "Nous savons qu'il y a eu un incident et nous le prenons au sérieux. Notre équipe informatique s'en occupe. (...) Nous vous tiendrons au courant." Histoire de temporiser.
"Tout est sous contrôle, tout le monde est satisfait", résume dans un grand sourire un confrère indien, porte-parole improvisé face au directeur général.
De fait, la panique est totale. D'autant que la direction a oublié de parler à ses principaux clients, et que le patron de GermanTel l'accuse publiquement de négligence. Tant bien que mal, elle organise pourtant la défense, et le fameux VPN devrait pouvoir être corrigé rapidement.
- Panique sous contrôle -
"Bon travail, même si je ne pense pas que la compagnie survivra", commente à l'issue de l'exercice Adam Pilkey, communicant chez F-Secure qui encadre les managers du jour.
"Il arrive que la direction reste silencieuse pendant cinq minutes, puis demande sur qui faire peser la faute et qui poursuivre en justice !", raconte son collègue Jani Kallio, le responsable de la stratégie.
Pour F-Secure, qui organise régulièrement de tels ateliers avec de vrais cadres d'entreprise, il s'agit bien sûr de vendre son expertise et ses produits.
"Avec un système de protection adéquat, vous auriez pu détecter la fuite par vous-même et réagir rapidement", au lieu d'être mis devant le fait accompli quinze jours plus tard, remarque le directeur marketing Mikko Röntynen, reconnaissant bien volontiers que la plupart de ses concurrents offrent des services similaires.
Le but de l'exercice est surtout de sensibiliser les dirigeants aux risques des attaques informatiques, en leur faisant imaginer l'inimaginable. Avec les malwares (logiciels malveillants) Wannacry et NotPetya --aussi appelé Petya-- au printemps, des entreprises entières ont été paralysées, leur communication interne désorganisée, la confiance de leurs clients érodée.
En outre, le Règlement général sur la protection des données (RGPD), un texte européen, rendra à partir du 25 mai 2018 les entreprises responsables des données personnelles qu'ils détiennent.
En cas de vol ou de compromission, elles pourront être poursuivies en justice, et s'exposeront à des amendes pouvant atteindre 4% de leur chiffre d'affaires total. Un rapide calcul donnerait 260 millions de dollars pour Uber, qui a annoncé mardi le piratage des données de 57 millions d'utilisateurs l'an dernier.
D'où l'impérieuse nécessité de se préparer --en commençant par savoir de quelles données ont dispose-- et d'établir des scénarios pour faire face, au cas où.
"Le RGPD concerne surtout les processus et la façon de penser ce que vous devez faire quand vous manipulez des données personnelles", résume Mikko Röntynen. "C'est un point de départ, mais il faut aller au-delà" pour se protéger des hackers, estime-t-il.