La sortie de crise est complexe car pleine d’incertitudes. Au-delà des risques business, nombre de paramètres se télescopent avec comme épée de Damoclès la menace d’une seconde vague.

Par Gabriel Chataînois, Dirigeant d’une petite société de conseil

La sortie de crise est un sujet qui préoccupe nos clients, nos équipes et bien évidemment chacun d’entre nous. Au-delà des aspects économiques globaux et des risques « business », il faut tenter de gérer nombre de paramètres qui se télescopent : évolutions de la présence sur site et du télétravail pour les collaborateurs, priorisation des budgets, tensions sociales, inquiétudes quant à l’avenir professionnel, réflexions pour faire évoluer les organisations, nouvelles valeurs ajoutées, organisation des congés d’été…

Je parle là de la sortie de cette première crise : à l’heure où j’écris ces lignes, certains pays, en « avance de phase » sur la France, doivent clairement affronter une « deuxième vague ».
Pendant que certains relâchent la pression de ces derniers mois en effusions d’embrassades, scènes de liesse populaire, bains de foules et annihilation de toute forme de distanciation physique, d’autres alertent, restent plus ou moins confinés, s’effraient du moindre contact, et considèrent tout risque de contact comme un grain de sable dans leur devoir de précaution. J’éviterai toute prévision ou prédiction, mais mon parcours de vie et mon expérience professionnelle me confèrent probablement quelques côtés paranoïaques, et m’incitent à la prudence. Je n’ai aucune compétence en infectiologie, épidémiologie, virologie… mais coté systèmes d’information, je crois pouvoir me prévaloir de quelque expérience.

Justement : il m’a été donné récemment d’entendre ou lire avec intérêt les conclusions de groupes de travail, de réflexions, de réunions de partages d’expérience de la part de DSI, de dimensions et de secteurs d’activités variables. Certains parmi vous annonçaient, fin-juin, avec enthousiasme et confiance, un bilan plutôt positif de cette gestion de crise côté IT, et à juste titre, pour tout un tas de raisons : déploiement en marche forcée des outils collaboratifs (nous en parlions le mois dernier) ; bonne tenue des infrastructures systèmes et réseaux face à l’explosion des besoins ; disponibilité et engagement des équipes… Il paraît même que quelques ESN ont tenu la barre, assuré et ont montré qu’elles étaient de réelles partenaires. C’est vous dire ! Et c’est vrai. Beaucoup, beaucoup de choses se sont très bien passées, et c’est vraiment une très bonne chose : pas de tempête, une véritable mer d’huile. Bravo à toutes et tous.

DE L’ANTICYCLONE À LA DÉPRESSION ?

Là où les conclusions que j’ai pu entendre ou lire me gênent, ou plus précisément, m’inquiètent, c’est au sujet de la cybersécurité. « Malgré les ouvertures de ports nécessaires, les évolutions dans les règles de sécurité, parfois contraintes par le temps, il n’y a pas eu d’incident à déplorer ». Prudence, chers clients ! Sans aucunement vouloir jouer les oiseaux de mauvais augure ni annoncer un avis de tempête, je pense qu’il est un peu tôt pour crier victoire. D’abord, c’est rarement le lendemain d’une cyberattaque réussie que l’on en entend parler… Nonobstant les obligations liées au RGPD (…vous êtes tous en pleine conformité, j’en suis certain), il n’est pas évident d’annoncer haut, fort et rapidement qu’on a été victime d’une attaque. Pour cette simple raison, déjà, donnons-nous rendez-vous dans quelques semaines.

Mais la principale cause de ma réserve n’est pas là. Il s’agit plutôt d’attirer votre attention sur le fait qu’une « bonne » attaque (pardonnez-moi l’adjectif) est à retardement : n’importe quel hacker un peu expérimenté fera en sorte d’être le moins bruyant possible, d’installer tous les composants nécessaires à son forfait, de mettre en place tous les outils qui lui permettront de déclencher son attaque le jour J. Cette phase de préparation commence au moment où la faille est trouvée, et peut n’être détectée que plusieurs heures, jours, semaines ou mois plus tard, peut-être même au moment où l’attaque proprement dite commencera.

Et là encore, au-delà des attaques génériques, de masse, qui seront détectées assez rapidement, une attaque ciblée prendra soin d’être insidieuse, de ne faire que quelques dégâts discrets, progressivement, de façon à ce que vos systèmes de sauvegarde limités en durée de rétention soient encore moins utiles le jour J… Davantage que des dégâts immédiats, c’est la profondeur des dégâts qui sera recherchée par une telle attaque, certes bien plus difficile à mener. Mais si perdre 24 heures n’amuse personne, perdre 2 mois est extrêmement dangereux… et je décris bien là une attaque ciblée.

Vous comprenez donc mon propos, et j’en avais la confirmation récemment par un RSSI avec qui je partageais ce constat : ce n’est que dans plusieurs semaines que l’on saura véritablement si, oui ou non, les cyber-défenses ont tenu bon, ce que nous espérons tous. Prudence donc, ne baissez pas votre vigilance durant cet été, restez sur le pont, et gardez les bonnes pratiques bien actives.

En revanche, je vous rassure, il n’est pas nécessaire de mettre votre masque et du gel hydroalcoolique lorsque vous manipulez vos supports de sauvegarde maintenant que tout est dans le cloud, (pl)ouf !


Gabriel Chataînois est le pseudonyme du dirigeant d’une société de conseil bien réelle