D'emblée le ton est
donné. Pour organiser sa réunion d'information
sur la cybercriminalité, le Club de la Sécurité
des Systèmes d'Information (Clusif) a retenu un
bâtiment appartenant à la grande muette :
le cercle des armées. Les convives invités
ne tranchaient guère avec l'atmosphère de
secret qui règne dans ce lieu : c'étaient
des responsable de la sécurité informatique
(RSSI) de très grosses enteprises, généralement
tout aussi muets que l'armée lorsqu'on essaie de
leur faire évoquer leur métier.
Tous étaient venus entendre le Clusif dresser un
panorama non exhaustif de l'espionnage et des actes de
malveillance informatiques, brossé avec pondération.
Et quelques journalistes s'étaient glissés
dans la salle.
La
pandémie des vols d'identité
A-t-on
enfin appris des choses concrètes sur l'espionnage
informatisé ? Le Clusif a choisi de dévoiler
des exemples précis, des cas de vols d'identités
personnelles. A commencer par celui-ci : celui
d'un homme qui a dérobé les coordonnées
banquaires de 30 000 citoyens américains.
Le
25 novembre 2002, le pot-aux roses est découvert.
Le
coupable : l'employé d'une SSII qui travaillait
pour trois sociétés de crédit.
Cet employé
- qui possédait les codes d'accès des
bases sensibles - a dupliqué ces informations
avant de les revendre 30 à 60 dollars pièce.
Deux années durant, il a transféré
ces fichiers à des spécialistes de la
fraude, qui se sont livrés au pillage en règle
des comptes banquaires des victimes.
Autre exemple : celui d'un employé de la
DEA - l'équivalent des "stups"
aux USA - qui revendait les fichiers du FBI et
de la DEA à une société privée
d'investigation. Plusieurs compagnies d'assurance ont
pu avoir accès aux fichiers d'une centaine de
clients, qui étaient justement demandeurs d'indemnités
de dédommagement chez eux.
A
n'en pas douter : les vols de données causent
de très grands préjudices aux particuliers.
Ils sont régulièrement à l'origine
de véritables tragédies individuelles.
On estime à 750 000 le nombre de vols d'identité
chaque année aux USA, un chiffre qui laisse pantois.
L'usurpation d'identité est devenue la première
cause de plainte des consommateurs outre Atlantique.
La responsabilité
du RSSI ?
Mais
comme le soulignait un RSSI à la conférence
du Clusif : "un responsable sécurité
n'agit que si - après un calcul de risque -
il estime qu'il est plus opportun en terme financier
d'investir dans une politique de sécurisation
que de s'en absternir". Justement : quel risque
encourt une enteprise qui se fait dérober des
informations ?
Là dessus, le Clusif n'a pas été
en mesure d'apporter une réponse convainquante.
Les RSSI sont repartis avec des doutes plutôt
que des certitudes : pas de quoi convaincre leur
direction générale de renforcer la protection
des bases de données.
Seul
élément tangible : "en cas de
procès, la loi française spécifie
qu'un RSSI est coupable s'il n'a pas pris toutes
les précautions utiles - commentait
Pascal Lointier, le président du Clusif. En dernier
ressort, c'est le juge qui appréciera en fonction
du degré de sensibilité des informations,
et des efforts du RSSI". L'employé malveillant
n'est donc pas la seule personne qui risque une amende
et une peine de prison : le RSSI partage ce risque
avec lui.
Mais
faute d'un exemple concret en France, on repartira avec
un gros doute. Idem pour la question du chantage. On
aprend ainsi que Fujitsu a connu une bien triste mésaventure :
un employé travaillant pour un sous traitant
de Fujitsu a recueilli des informations stratégiques
sur la défense nationale du Japon.
Cet
employé menace Fujitsu de communiquer ces informations
à la Corée du Nord si l'enteprise ne lui
verse pas une forte somme. Fujitsu ne cède pas
et fait arrêter le pirate : la firme est
depuis lors écartée de tous les contrats
de défense au Japon. Un exemple très parlant,
qui n'aidera pourtant pas les RSSI à se constituer
une vision claire des menaces de chantage qu'ils encourent :
s'agit-il d'un cas isolé ou d'un problème
récurrent ? Existe-t-il des statistiques
fiables qui permettraient d'y voir plus clair ?
Une nouvelle fois, le métier du RSSI est compliqué
par le manque de transparence de la profession. Si chaque
entreprise garde jalousement son expérience pour
elle, qui pourra rassembler les données et brosser
un portrait fidèle de l'espionnage industriel ?
|