Les nouveaux remparts contre l’espionnage économique

Même le Pentagone n’échappe pas aux attaques informatiques. Selon une enquête du Financial Times publiée début septembre, des hackers chinois (probablement employés par le gouvernement) auraient réussi à pénétrer au cœur du système de défense américain. La semaine précédent ces révélations, les Allemands apprenaient avec stupéfaction que l’ordinateur de leur chancellière Angela Merkel avait lui aussi été passé au peigne fin par des informaticiens chinois. Sans entrer dans les vrais enjeux derrière ces attaques, ces affaires d’espionnage montrent à quel point les systèmes de sécurité – même performants – ne sont pas sans faille. Et le constat est le même dans le secteur privé. Si les banques et assurances sont les plus gros investisseurs en systèmes de protection, les autres secteurs sont tout aussi exposés. Mettre la main sur la liste complète du personnel d’un concurrent (avec le détail des salaires) serait une menace importante en termes de fidélisation et de concurrence sur le marché de l’emploi. 

Pour faire face à ces nouvelles menaces, l’EPFL a décidé de financer un centre de recherche publique sur la sécurité. Inauguré en 2006 sur le site de l’EPFL à Lausanne, le Centre ISIS (Center for Interdisciplinary Studies in Information Security) regroupe une demi-douzaine de chercheurs autour du professeur Arjen Lenstra, sommité mondiale dans le domaine de la cryptologie et des systèmes de sécurité informatiques. Un des objectifs avoués est de développer des nouvelles méthodes de mesure pour vérifier l’efficacité des solutions qui circulent sur le marché. «Le gros problème des CSO (Chief Security Officer) est qu’ils n’arrivent pas à quantifier le retour sur investissement des gros budgets qu’ils dépensent en sécurité. Car dans le domaine de la sécurité, il y a toujours un écart entre la perception qu’on en fait et la réalité. Et nos recherches ont montré que plus un système est compliqué, plus on a l’impression qu’il est sûr. Ce qui ne se vérifie pas toujours dans la réalité», explique Arjen Lenstra. 

De ce constat, son équipe a commencé à penser la sécurité avec l’aide d’autres disciplines. Développant une approche plus globale de la sécurité. En incluant des facteurs sociologiques et psychologiques dans leur méthode. Car l’observation des comportements des collaborateurs s’avère une source riche en informations. Imaginez un gestionnaire de fortune qui a l’habitude de quitter le bureau vers 18h00. Pendant deux semaines, il rentre chez lui à 20h00. Cela peut être un indice important dans un cas de délit d’initié. Pareil avec les comportements difficiles. Un cadre qui se plaint sans cesse du nouveau projet qui lui a été confié. En termes de sécurité, ce sera peut-être beaucoup plus efficace de lui donner une autre affectation. Et ainsi diminuer le risque de dérapages liés à son état psychologique. Le point sur ces nouvelles méthodes avec Arjen Lenstra.

Pourquoi avoir créé un centre de recherche sur la sécurité? 

Nous menons des études comparatives sur les systèmes de «risk management» dans le secteur bancaire en Suisse et à l’étranger. Le milieu de la finance est le plus exposé. Les banques doivent composer avec une série de règles compliquées et sont confrontées à des risques opérationnels importants. Les banques doivent pou-voir mesurer leur niveau de risque opérationnel. C’est très facile à dire. Mais beaucoup plus difficile à faire. C’est cela un de nos mandats.

Quelles sont les pistes? 

Nos recherches sur les «best practices» ont montré que les règlements clairs et les codes de conduite sont souhaitables. Nous travaillons aussi avec la société Nexthink sur l’observation des comportements des collaborateurs. Comment les mesurer? Quels sont les problèmes et comment les mettre en rapport avec les risques? Nous nous sommes rendus compte que la multiplication des indicateurs augmente la performance des systèmes de sécurité. Car une entreprise qui décèle des comportements anormaux ou suspects peut restreindre les accès. 

Ne craignez-vous pas l’apparition d’un système de type Big Brother?

Pas pour les entreprises du secteur privé. Elles ont le droit de se protéger. Ce sont des lieux de création de valeurs. Les gens qui veulent y participer doivent donc accepter les règles du jeu. 

Une étude récente d’Ernst & Young a montré qu’il y avait un gros écart entre l’idée qu’ont les collaborateurs de la sécurité et la perception qu’ils ont des mesures prises sur leur place de travail. Votre point de vue? 

C’est un problème récurrent et très difficile à résoudre. Les gens savent toujours comment les choses devraient être menées. Mais dès qu’ils sont touchés par les conséquences, ils sont tout de suite moins chauds.

Pourquoi?

Il existe depuis toujours un décalage entre notre idée de la vie en société et l’environnement réel dans lequel nous vivons. De nos jours, nous sommes très attachés à notre sphère privée, à la transparence et à l’accessibilité des informations. Mais cette perception ne correspond pas à la réalité. En termes technologiques, le monde est un endroit dangereux. 

Il faut donc composer avec ce nouvel environnement…

Oui. Car pour assurer un bon retour sur investissement dans le domaine de la sécurité, il ne suffit pas d’adapter les règles d’utilisation de l’internet. Nous devons aussi changer notre perception. Le développement de solutions technologiques va se poursuivre. Mais il ne faut pas trop en attendre. Les informaticiens boucheront de nombreux trous. Mais pas tous. Il faut donc apprendre à vivre dans cette nouvelle situation. Par ailleurs, il n’y a aucun moyen pour éviter les menaces en interne. On ne pourra jamais se défendre contre l’erreur humaine. 

Et l’erreur technologique?

Les ordinateurs fonctionnent seulement si vous leur donnez des informations correctes. Le problème, c’est que les gens ont tendance à faire plus confiance aux résultats d’un ordinateur même si ceux-ci sont faux. Autrement dit, quand les ordinateurs ont fait leur entrée dans les entreprises, le bon sens est sorti par la porte arrière. Avec le temps, on comprendra que le recours à l’informatique, malgré ses avantages considérables, est quelque chose de dangereux. Les ressources humaines utilisent d’ailleurs de plus en plus des logiciels de gestion RH. Et ils sont en général contents avec les résultats. Mais il faut faire très attention avec ces systèmes. Il faut par exemple mieux contrôler la saisie des données.

Qu’en est-il des systèmes de surveillance? 

Les gens devront s’y habituer. Ces systèmes ne sont pas trop chers et donnent de bons résultats. Nous sommes encore plongés dans l’époque où la surveillance était impensable. Eh bien, il faudra grandir et se faire une raison. C’est la vie. Les sociétés vivent aujourd’hui dans un environnement différent et doivent protéger leurs données. Cela peut paraître étrange. Mais on n’y échappera pas. 

Et la question éthique…

L’éthique évolue aussi. Il ne s’agit pas d’une science dure. L’éthique change en fonction de l’environnement technologique et le degré d’accceptance au risque. Au Moyen-Age, on trouvait normal de brûler une sorcière. Aujourd’hui plus.

Quels sont les risques?

Que les collaborateurs l’aiment ou non, l’installation de réseaux informatiques dans les entreprises est une tendance incontestable. Et les employés sont libres de partir s’ils ne sont plus d’accord avec ces procédés. Les vrais risques apparaîtront quand les gouvernements commenceront à informatiser leurs processus. Là, il n’y aura plus de fuite possible. Pensez aux systèmes de santé informatisés (e-health). On assistera à des scénarios complètement fous simplement parce que des informations fausses seront prises pour vraies. 

Nous devons donc apprendre à vivre avec Internet? 

Absolument. Je suis certain que les futures générations seront étonnées de voir avec quelle naïveté nous avons employé les nouvelles technologies.