Failles informatiques en milliards

Un petit billet dans ce blog pour rappeler que dans de « grandes affaires » à plusieurs milliards d’Euros, les failles informatiques d’un niveau organisationnel, et non technique ont été le point noir de la sécurité informatique.

Il est impossible de parler sécurité informatique, de cyber sécurité, pour avoir un terme actuel, sans parler organisation et résilience.

Hélas, beaucoup d’informaticiens ne jurent de la sécurité informatique que par une approche technique, et non par le risque.

Des exemples de cas où la sécurité informatique, et l’absence d’organisation ont couté directement des milliards, et indirectement couté en termes d’image.

  • Affaire Panama Papers : 60 milliards de Dollars US, les données ont fuité parce que le WP Include du Word Press, c’est-à-dire le moteur du site web n’était pas patché niveau sécurité, la fuite d’information du cabinet Fosac Monseka est passée par là, personne n’assurait le suivi du site web, et plus inquiétant, personne n’avait cartographié qu’il fallait faire la maintenance sur le site.

 

  • Affaire Luxleak ( 17.5 Milliards d’Euros, concernant l’évasion fiscale au Luxembourg, les données ont fuité du cabinet PricewaterhouseCoopers (PwC) d’une manière très simple, les scanners des photocopieurs faisaient du « scan to Share », et non du scan to mail. Les utilisateurs récupéraient les dossiers en faisant un glissé / déposé, qui ne supprime pas le document sur un lecteur réseau, et qui n’a aucune confidentialité.

          La personne a branché une clé USB pour récupérer l’ensemble des données qui n’étaient jamais supprimées, ni par les utilisateurs, ni par            un script automatique mis en place par le service informatique.

  • Affaire Kerviel Société Générale (4.9 milliards d’Euros), l’opérateur de trading Jérôme Kerviel était à l’origine au service du Middle Office, donc, un organisme du bon contrôle de l’exécution, puis est passé au service du Front Office, organisme d’exécution. Tout en conservant ses droits

          La seule condamnation qui a eu lieu a été l’atteinte à un système informatisé et modification des données. La Société Générale a                          également été condamné à 4 millions d’euros d’amende pour un défaut dans ses obligations de contrôle.

  • Affaire British Airways qui fut condamné à 204 millions d’euros d’amende pour défaut de protection de ses données clients, suite à un vol massif de leurs données bancaires. La faille de sécurité était documentée et corrigée depuis 7 ans par l’éditeur de logiciel, sauf, que cette application n’était pas suivie par l’IT, car personne ne savait qui en avait la responsabilité.

Tous les exemples que j’ai cités montrent que des actions simples de bon sens, de pragmatisme, sans cout supplémentaire en termes d’investissement aurait pu et aurait dû être mise en œuvre.

Cela a couté des sommes astronomiques d’un point de vue financier et d’image.

Qui pouvaient être évitées.

Sylvain Passemar Bonnet 

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.

L’auteur·e a choisi de fermer cet article aux commentaires.