L'analyse de Jean-Paul Betbèze

Finance et cyber-attaques : comment faire?

Option Finance - 22 mai 2017 - Jean-Paul Betbeze, Deloitte

Une vague mondiale de cyber-attaques vient de frapper. Ce ne sera pas la dernière. Le champ de la finance vient de changer. Il faut penser toujours et former des spécialistes à cette nouvelle guerre, avec la mentalité et l’expertise qui conviennent. Il faut préparer et mettre régulièrement à jour un plan de surveillance, renforcement et réaction. La finance c’est la confiance – dans les calculs, les analyses, les prévisions. Les attaques et les fake news c’est la défiance – dans l’entreprise et surtout en politique. D’où la question : va-t-elle revenir, plus violente, dans et contre l’entreprise ? Oui.

Comment contrer ce risque, avec ses experts et ses propres entreprises désormais ? Sans état d’âme, les voilà rois du hacking. Ce très vieux mot du XIIe siècle, qui signifiait «découper grossièrement», a bien changé ! Utilisé en 1980 pour celui qui casse les codes pour jouer ou écouter de la musique gratuitement, il décrit ensuite celui qui fouille dans les entrailles des ordinateurs pour «faire éclater la vérité», avec Wikileaks (à ses débuts). Le voilà aujourd’hui, avec le piratage informatique, volant les fichiers des partis, les données des clients, faisant chanter les entreprises.

Voici le hoax, ce vieux verbe du XVIIIe siècle (hocus) qui veut dire tromper, donner dans le canular. Le voilà intox, pour nuire autant que possible. Et voici enfin fake, du XVIIIe siècle aussi, pour dire contrefaire ou voler, puis imiter dans l’argot des années 1915, avant de se retrouver dans un tweet sur deux du Président Trump !

Hack, hoax, fake : trois vieux mots, tournés vers «le côté obscur». Trois mots vis-à-vis desquels la finance doit réagir. Comment ?

D’abord, il faut reconnaître que la confiance est plus fragile et menacée que jamais. Nous sommes plus soupçonneux, inquiets, averses au risque. Tous les jours, nous recevons des faux sur notre ordinateur, chez nous ou au bureau. Ils sont de mieux en mieux faits : finies les histoires de gain à la loterie ou d’héritage en liquide, avec leur cortège de fautes d’orthographe ! Comment savoir désormais s’il faut répondre au mail ?

Ensuite, les entreprises de hacking font de gros progrès. Elles s’attaquent aux sites des armées et des services secrets, les sites politiques (des Démocrates américains à En Marche d’Emmanuel Macron) étant trop faciles ! Le 21 octobre 2016, une attaque paralyse une partie du web américain, pourtant son sanctuaire. Elle entraîne une panne des sites les plus importants de la planète comme Twitter, Netflix ou celui du New York Times ! Le 11 mai, 99 pays sont frappés.

Verisign, spécialiste mondial de la prévention de ces attaques, avait indiqué dans son rapport 2016 qu’elles avaient augmenté de 75 % en un an et deviennent deux fois plus violentes. Deux fois sur trois, elles opèrent en vagues successives et différenciées. Plus complexes, il faut plus de temps pour en venir à bout. Leurs cibles sont les services Internet pour la moitié des cas, la finance pour un quart. Et contre la finance, la «puissance de feu» est double.

«Paranos» : non ! On croit que tout ceci est lointain, politique, russe… et évite nos entreprises, surtout moyennes et petites. Sauf qu’on ne sait jamais où commencent puis s’arrêtent les attaques, les failles qu’elles révèlent, les inquiétudes qu’elles font naître.

Rien de mieux, donc, que de se protéger en renforçant la vraie sécurité des entreprises. Les failles sont techniques, mais surtout humaines et comportementales. Elles sont souvent internes. Les entreprises qui résistent le mieux à la calomnie informatique ont une vraie culture, une histoire convaincante, interne d’abord. Ce sont les valeurs, le storytelling, la communication et l’échange qui protègent, notamment dans leur composante financière. Il s’agit ensuite d’améliorer la lisibilité des sites et de renforcer leur place dans les réseaux sociaux.

La cybersécurité, c’est mieux se connaître, avec les logiciels et langages utilisés dans l’entreprise, parfois vieux, avec leurs points faibles. La finance est depuis sa naissance habituée aux jeux de pouvoir, ruses et intox. Elle doit aujourd’hui renforcer ses moyens de surveillance, d’analyse et de riposte. Pas une ligne Maginot, mais une «armée de métier», avec chars et experts : des moyens de protection, d’explication et de conviction à moderniser, avec l’œil sur ce qui se passe ailleurs. La finance doit servir plus que jamais : pas de «nice place to work» si elle n’est pas safe parce que smart.