"Les seniors managers sont les plus exposés aux hackers"

Quelles sont, selon vous, les limites entre la sphère privée et le droit d’ingérence des gouvernements et des entreprises? 

Rodolfo Rosini: Tout le monde parle de Big brother et des risques d’empiétement du gouvernement et des sociétés dans la sphère privée de leurs citoyens et collaborateurs. Mais on oublie les vrais risques liés au crime organisé et à ses hommes de mains, les hackers. Ils sont capables d’enregistrer les communications téléphoniques pour en tirer des informations. Voilà les vrais dangers.

Comment s’en prémunir? 

Du point de vue de la sécurité, il existe en général deux états possible. Ce qui est sécurisé et ce qui ne l’est pas. Mais ce qui est sécurisé ne l’est jamais à 100%. Pour faire une comparaison, quand vous achetez un coffre-fort, vous ne l’achetez pas comme une garantie anti-vol. Vous l’achetez car le coût de la manœuvre pour le cambrioleur sera de 20000 dollars. Donc vous savez que si vous y déposez moins que 20000 dollars, personne ne va se fatiguer à essayer de l’ouvrir. La sécurité est toujours une pesée d’intérêts.

La sécurité est donc une question de moyens? 

Oui et non. Les deux choses sont liées. Quand vous construisez un système d’information interne à votre entreprise, vous augmentez en parallèle les risques et les failles possibles dans votre système. Et plus grande sera votre société, plus les sources d’informations stratégiques seront intéressantes. Ce qui va attirer les criminels. C’est ce qui est arrivé par exemple durant les Jeux olympiques d’Athène. En cas d’enquête policière liée à des actes de terrorisme, la société Vodafone a obtenu un laisser-passer pour écouter les conversations de ses clients. Mais un hacker est entré dans leur réseau et a réussi à écouter les conversations de plusieurs membres du gouvernement grec pendant des mois. Quand l’affaire est sortie, quelques hauts responsables se sont suicidés dans les vingt-quatre heures. Juste pour s’assurer qu’ils avaient bien une mauvaise conscience. Mais personne n’a été arrêté dans cette affaire. 

Vous avez parlé récemment à Genève des dangers pour les entreprises en matière de sécurité. Quels sont-ils?

Quand vous faites du business, vous présupposez que vos moyens de communication sont sûrs. Dans notre société post-industrielle, la majorité des tâches en entreprise sont transactionnelles et communicationnelles… Les découvertes technologiques ont changé notre univers de travail. Et dans ce domaine, une des certitudes, c’est qu’on ne peut plus revenir en arrière. Les défis en termes de sécurité sont donc devenus de longue durée. 

Mais les solutions existent?

Les systèmes de sécurité existent et sont performants. Le problème, c’est qu’ils ne sont pas encore suffisamment diffusés dans le monde des entreprises. C’est comme les gilets pare-balles. Si tout le monde en portait, on n’aurait moins peur des gens armés. Cependant, on peut affirmer que les pays affiliés à l’OTAN disposent d’infrastructures relativement solides. Ce n’est de loin pas toujours le cas dans les autres pays. 

Certains secteurs sont donc mieux sécurisés que d’autres?

Oui, et cela varie considérablement. Prenez la défense. Ils ont des outils de communication très performants et des moyens très importants. Mais qu’en est-il des systèmes bancaires et des assureurs? Pourquoi ces secteurs clés n’auraient-ils pas droit eux aussi aux mêmes standards de sécurité. Mon argument est le suivant. C’est beaucoup plus réaliste de dire que les dangers viendront d’une catastrophe naturelle ou d’une attaque terroriste que d’une guerre entre nations. Mais la conception de la sécurité des états modernes est dirigée vers l’armée et les départements militaires. 

Dans le monde de l’entreprise, le défi est donc d’assurer la sécurité des communications pour permettre aux affaires de se poursuivre?

Oui et pour garantir la confidentialité. Voilà les deux enjeux principaux. Mais comme dit plus haut, tout le monde ne loge pas à la même enseigne. 

Pourquoi? 

Je ne sais pas. Et ce n’est pas une affaire de coûts. 

Parlons des attentats terroristes manqués de juillet dernier à Londres. Quelle fut la réaction des entreprises? 

Londres est un cas à part. Cela fait plus de vingt ans que nous sommes habitués aux attentats. L’IRA, la branche armée du Sinn Fein de l’Irlande du Nord, nous ont endurci le cuir. Chaque entreprise dispose d’un plan de récupération des données. Nous avons par exemple un deuxième site qui tourne à «froid». C’est un bureau virtuel, identique au nôtre. Mais si tout le monde est bien équipé contre les attaques technologiques, personne ne l’est pour une pandémie. Ce sera pourtant un des risques majeurs de la prochaine décennie.

A cause d’Internet notamment, la frontière entre vie privée et professionnelle n’est plus aussi claire. Comment cela influence les questions de sécurité?

Les frontières évoluent, effectivement. Les premières attaques étaient issues de hackers isolés. Le problème avec les limites est lié à l’ancienneté. Plus vous êtes un manager expérimenté, plus vous risquez d’être une cible. On a vu des équipes entières de senior manager vicitmes d’attaques virtuelles, que ce soit au bureau ou à la maison. 

Que cherchaient les hackers?

Des informations confidentielles. Prenez l’on-line banking, où la plupart des transactions s’effectuent par le web. Les criminels trouvent les codes d’accès, imitent les voix au téléphone et vident les comptes en banque de leurs victimes en se faisant passer pour eux. 

Vous avez des exemples?

Il y a quelques jours, plusieurs cadres d’une grande société du Fortune 500 ont été vicitmes d’une attaque. Les hackers ont essayé d’implanter des spy-wear sur leurs ordinateurs. 

Que peuvent faire les RH pour sécuriser l’entreprise?

Il s’agit d’établir un dialogue avec le risk management. La sécurité est l’affaire de tous. Les thèmes clés de l’entreprise concernent plusieurs départements. Il s’agit donc d’établir des plans communs et des discussions transversales. 

Quelles sont ces questions clés?

Le déplacement d’un collaborateur d’un pays à l’autre est toujours risqué. L’environnement dans lequel vous l’envoyez doit être analysé minutieusement.