A voir le nombre de salons, conférences, workshops et autres apéritifs qui lui sont consacrés, la cybersécurité est sans nul doute devenu un thème à la mode, avec ce que cela implique d’ivraie mêlée au bon grain. Terreau fertile de tous les opportunismes, la promesse de la sécurité se fait volontiers nouveau Graal virtuel des territoires numériques.

C’est que les risques cyber réveillent les peurs primales liées à la machine et à ses défaillances et autres corruptions. Les avancées spectaculaires de l’intelligence artificielle (IA) et de ses applications industrielles et récréatives ne sont – naturellement – pas étrangères à ces craintes.

Dans les entreprises, on ne compte plus les conseils d’administration qui adoptent, drapés de certitudes et d’une certaine bien-pensance, des chartes de sécurité informatique fort évoluées, décident de recourir à la biométrie pour sécuriser les accès sensibles ou encore acquièrent des infrastructures informatiques aussi complexes que coûteuses.

Il est plus que grand temps que les entreprises intègrent réellement le facteur humain à leur stratégie globale de sécurité

Une démarche à saluer? Oui, sauf que le danger est parfois ailleurs: combien de dirigeants ont – réellement  – conscience de ce que la porte d’entrée dans leur patrimoine informationnel et financier reste, envers et contre tout, une question essentiellement humaine?

A voir la quantité d’affaires dont j’ai récemment eu à connaître dans ma pratique d’avocat, il y en a visiblement beaucoup moins qu’on ne se prendrait à l’imaginer abstraitement.

En matière d’escroquerie sur Internet, l’imagination des aigrefins est sans limite et force parfois l’admiration, tant les attrapes sont parfois de bonne facture. L’arnaque dite au président en est un exemple fort répandu.

Elle voit les escrocs emprunter tour à tour le costume bien taillé du pédégé, celui, de bonne étoffe et de bonne coupe, de l’avocat externe qui gère la transaction et, parfois, celui d’un prétendu co-contractant.

Le scénario, sujet à la fantaisie de mille variations, a toutefois un tronc commun: le comptable de l’entreprise – ou une autre personne dotée d’un pouvoir de signature – reçoit un courriel prétendument envoyé par le pédégé depuis son adresse e-mail personnelle, lui révélant, sur le ton de la confidence, – dont on ne sous-estimera pas l’impact en entreprise – une prochaine opération commerciale (souvent une acquisition) aussi importante que confidentielle. Tout est affaire d’ambiance, de mots choisis et de tempo.

L’enseignement est double: en premier lieu, l’organigramme hiérarchique d’une entreprise ne devrait pas pouvoir être accessible à des tiers ou facile à reconstituer sur la base d’une simple recherche Google. Il devrait en être de même des déplacements du pédégé. 

En second lieu, Jean de La Fontaine doit être confirmé dans ses craintes: tout flatteur vit aux dépens de celui qui l’écoute et lorsque ce dernier est un employé de l’entreprise, cet effet est encore plus marqué, et le fromage est encore plus aisément lâché.

Hors contexte, ce qui va être demandé au comptable défie l’entendement. Après quelques courriels et coups de téléphone savamment orchestrés, le comptable est amené à effectuer des transactions, dont le montant oscille entre quelques dizaines de milliers de francs et le million, au bénéfice d’escrocs qui s’évaporent ensuite rapidement dans la nature.

Moults autres modi operandi dont le ressort est l’humain peuvent être cités: du cryptolocking déclenché par un clic malheureux sur un lien malveillant aux faux ordres bancaires adressés par les criminels à la banque dépositaire ou au gérant externe, en passant par des actes de détournement de données sensibles commis par un employé indélicat.

Il est ainsi plus que grand temps que les entreprises intègrent réellement le facteur humain à leur stratégie globale de sécurité.