On s'y emploie. De nombreuses entreprises taisent les cyber attaques dont elles font l'objet

Uber a été victime d'un important piratage fin 2016. Les pirates informatiques ont eu accès aux noms, adresses email et numéros de téléphone portable de 57 millions d'utilisateurs. Uber a dissimulé cette attaque, survenue en octobre 2016. 

Frans Imber-Vier est un ancien directeur des services informatiques, aujourd'hui à la tête de UBcom, une société spécialisée dans la cyber sécurité. Uber a étouffé l'affaire de son piratage, préférant verser 100.000 dollars aux auteurs de l'attaque en l'échange de leur silence.

 Des cas comme celui-là ne sont par définition pas connus, mais estimez-vous qu'ils sont courants ou fréquents aujourd'hui ?

Frans Imber-Vier : "Ils sont beaucoup plus fréquents qu'on le suppose. Une grande partie des entreprises considèrent aujourd'hui que cacher la vol de données est un enjeu moins coûteux que de déclarer publiquement le cols de données, donc on a énormément d'acteurs qui ont accès au grand public qui masquent les attaques. Ces attaques on met parfois plus d'un an pour comprendre qu'on a été piraté..."

Il y a de plus en plus de cyber attaques ?

Frans Imber-Vier : "Plus on utilise les outils digitaux plus on s'expose au nombre d'attaques et les grands hackers, qui sont aujourd'hui très bien organisés, structurés comme des mafias, ont des moyens de plus en plus virulents, et comme on consomme de plus en plus, forcément l'exposition augmente en proportion."

Les entreprises ne se protègent pas assez ?

Frans Imber-Vier : "Elles sont bien protégées parce qu'elles utilisent des technologies qui leur permettent de le faire... mais elles utilisent rarement correctement ces technologies. Et derrière ça il y a un facteur de risque fort, qui est le facteur humain, c'est lui qui reste le problème entre le clavier et la chaise, et au comme dans l'aéronautique, 99% du risque est lié au facteur humain, à la formation, à la compréhension et à l'éducation."

Les salariés ne sont pas assez prévenus, pas assez formés au risque informatique ?

Frans Imber-Vier : "Il y a très très peu d'entreprises qui mettent des moyens humains pour accompagner les salariés dans les bonnes pratiques de l'exploitation des outils informatiques qui leur sont confiés. A commencer par ce qu'on appelle le cheval de Troie qui est le téléphone portable, qui entre dans l'entreprise et qui en sort..." 

Est-ce que les salariés n'ont pas leur part de responsabilité en utilisant leurs outils personnels - téléphone, tablette, ordinateur portable - dans le cadre de leur travail ?

Frans Imber-Vier : "Vous n'êtes pas responsable, c'est l'employeur qui détermine la faculté ou non d'utiliser un outil qui va dans l'entreprise et qui va en dehors de l'entreprise. Sa deuxième responsabilité c'est : est-ce que je décide de restreindre l'usage de cet outil ? Si vous contraignez l'utilisation d'un outil de communication, vous limitez la faculté de l'entreprise à communiquer avec le monde or la communication avec le monde est l'enjeu des affaires. Le paradoxe dans cette affaire c'est que plus on communique plus on va faire des affaires, mais plus on s'expose et plus le risque augmente."

Vous êtes suisse, comment se situe la France dans ce domaine ?

Frans Imber-Vier : "La France est l'un des États européens les mieux équipés aujourd'hui grâce à l'agence nationale de la sécurité des systèmes d'information. Il y a un enjeu très fort, un enjeu de souveraineté notamment, c'est vraiment stratégique pour les intérêts de la nation. Au regard des autres pays européens, à l'exception de la Lituanie et de l'Allemagne, la France est en très bonne position. Les événements de Charlie Hebdo sont à l'origine du déclenchement de ça, depuis l'Ansii s'est vue doter de moyens réels."