Incidents de sécurité : la transparence reste une illusion

Il n’est plus possible de passer sous silence certains incidents de sécurité informatique. Le règlement général de protection des données personnelles (RGPD) est passé par là, notamment.

Mais si la communication est un exercice obligatoire lors d’atteintes à la confidentialité de données personnelles, ou lorsque les résultats d’activité d’une entreprise cotée sont susceptibles d’être affectés, cela ne garantit en rien une transparence suffisante pour mesurer la portée des incidents. Et cela que l’on soit un particulier affecté ou un investisseur concerné par la rentabilité de ses placements ; voire que l’on soit RSSI friand de retours d’expérience pour améliorer soi-même ses pratiques et sa posture de sécurité. Les récentes révélations d’Altran et d’Airbus l’illustrent à merveille.

Le premier revendique, par la voix de son attachée de presse, un effort de transparence remarquable à défaut d’être inédit. Mais cette affirmation résiste mal à l’examen des faits. Ainsi, l’ESN a communiqué publiquement sur l’incident le 28 janvier, alors qu’il commençait déjà à être connu le 25 janvier, pour avoir démarré, selon toute vraisemblance, au moins quelques dizaines d’heures avant cette date. Surtout, comme l’indiquait Stéphanie Bia, vice-présidente groupe sénior d’Altran en charge des communications et des relations investisseurs, « puisque nous sommes une société cotée, nous avons traité cette information comme une information réglementée ».

Et il est difficile de ne pas voir également chez Airbus un effort de conformité réglementaire – à moins qu’il ne s’agisse de communiquer publiquement avant que l’information ne se répande par le truchement des collaborateurs concernés et, eux, déjà informés de l’intrusion dont l’avionneur a été victime. Prendre la rumeur de vitesse pour contrôler sa communication, en somme.

Mais là encore, quelle transparence ? Aucune, ou très peu. Certes, un porte-parole nous a sans peine fourni quelques éléments chronologiques relatifs à la découverte et au traitement de l’intrusion. Mais certaines questions cruciales restent sans réponse : combien de temps a pu effectivement durer l’intrusion ? Des annuaires ont-ils été compromis ? Ce sont deux questions clés pour mesurer l’importance de l’incident. Et si l'on en croit ce même porte-parole, l'enquête est déjà bien avancée, sinon finie : il y a probablement déjà des débuts de réponse à apporter à ces interrogations. 

Si Altran ne fournit pas plus de détails, c’est officiellement pour éviter de prêter le flanc à nouvelles attaques. Et tant pis s’il n’a probablement pas tant été victime d’une attaque que d’un incident, comme il s’en produit si souvent : la compromission par un rançongiciel, comme l'ESN l'indique elle-même. Rien que d'assez banal, en somme, mais qui interroge néanmoins tant sur les protections en place sur les messageries et les postes de travail, sur la segmentation réseau, que sur la formation des utilisateurs. Sans compter les procédures de gestion d'incident présentées comme se déroulant « comme prévu ». De son côté, Airbus parle d’incident, même si ce qui l’a affecté ressemble bien plus à une attaque. Bref, tout cela, c’est de la com’, comme diraient certains.

Alors certes, il a toujours fallu creuser pour accéder à plus d’informations sur les incidents de sécurité informatique. Mais cela n’est pas près de changer, malgré l’illusion de ce qu’une communication de plus en plus fréquente pourra donner. Car celle-ci n’est rien d’autre que de la communication ; pas de l’information.

Certains sont meilleurs que d’autres à cet exercice, ou plus transparents. Comme Saint Gobain, par exemple, dont les équipes ont multiplié les témoignages autour de l’épisode NotPetya, qui a sévèrement affecté le groupe en 2017. Mais tout le monde n’est manifestement pas Saint Gobain.