Failles informatiques en milliards : quand l’amateurisme coûte plus cher qu’un missile
La cybersécurité ne se réduit pas à une affaire de câbles, de pare-feux ou de mises à jour. C’est d’abord une question d’organisation, de gouvernance et de résilience.
Dans chaque grande crise numérique, il ne faut pas chercher un génie du crime, mais plutôt un oubli, une routine, un “on verra plus tard”.
Le vrai ennemi n’est pas l’attaque : c’est la négligence.
Et ces négligences, cumulées, ont coûté plus cher que certaines guerres.
Panama Papers, LuxLeaks, Kerviel, British Airways : quatre affaires, quatre continents, des milliards envolés.
Toutes ont un point commun : le risque était visible. Le danger était connu. Mais personne ne s’en est occupé.
1) Panama Papers : 60 milliards, un correctif oublié
En 2016, le monde découvre les Panama Papers : 11,5 millions de documents confidentiels d’un cabinet d’avocats panaméen, Mossack Fonseca, fuitent dans la presse internationale.
Des chefs d’État, des ministres, des sportifs, des industriels : tout un pan de la finance offshore est mis à nu.
La cause ? Ni un espion, ni une attaque d’État.
Juste une vulnérabilité non corrigée dans un plug-in WordPress, le moteur du site web du cabinet.
Un simple module « WP Include » oublié des mises à jour, et la boîte de Pandore s’est ouverte.
Personne ne surveillait la santé du site, personne n’avait défini les responsabilités, personne ne savait que la faille existait.
Résultat : 60 milliards de dollars de pertes économiques directes et indirectes.
Une entreprise pulvérisée, des clients ruinés, et un scandale mondial parti… d’un clic manquant.
Leçon : un site non patché peut coûter plus cher qu’une bombe atomique.
2) LuxLeaks : 17,5 milliards perdus à cause d’un copieur
2014, Luxembourg. L’affaire LuxLeaks révèle les pratiques d’optimisation fiscale de centaines de multinationales.
Mais la fuite n’est pas due à un hacker de génie : elle vient… d’un photocopieur mal configuré.
Chez PwC Luxembourg, les documents fiscaux scannés étaient stockés automatiquement sur un dossier partagé interne — la fameuse fonction “scan to share”.
Les utilisateurs pensaient bien faire : ils déposaient les fichiers, mais ne les supprimaient jamais.
Un simple glisser-déposer sur une clé USB a permis de récupérer des milliers de fichiers sensibles.
Pas de pare-feu franchi, pas de mot de passe cassé : juste un manque total de gouvernance documentaire.
17,5 milliards d’euros de pertes, des carrières détruites, et une leçon gravée dans le marbre :
la sécurité ne se délègue pas à une machine, mais à une procédure.
3) L’affaire Kerviel : 4,9 milliards et un badge de trop
Paris, 2008.
Jérôme Kerviel, trader à la Société Générale, fait perdre 4,9 milliards d’euros à la banque.
Le scénario est connu : un homme seul, un système mal verrouillé, et une hiérarchie débordée.
Mais l’essentiel est ailleurs.
Avant d’être trader, Kerviel travaillait au Middle Office, le service de contrôle.
Lorsqu’il a rejoint le Front Office, celui des opérations, il a conservé ses anciens droits d’accès.
Aucune revue d’habilitations, aucune séparation des rôles, aucune vigilance.
Il a pu manipuler les ordres et masquer ses positions parce qu’il maîtrisait les deux côtés de la chaîne.
Pas de piratage : un défaut d’organisation interne.
Le procès l’a reconnu : le seul délit retenu fut l’atteinte à un système informatique.
La Société Générale, elle, fut sanctionnée pour manquement à son devoir de contrôle.
Leçon : dans la cybersécurité, les droits d’accès sont comme les clés d’un coffre. Quand on oublie de les reprendre, on finance le braquage.
4) British Airways : 204 millions d’euros pour une faille archivée
British Airways reçoit une amende record de 204 millions d’euros de la part de l’ICO britannique.
Des centaines de milliers de données bancaires clients ont été volées.
La cause ? Une faille logicielle connue… depuis sept ans.
Le correctif existait. Mais personne n’a su qu’il fallait l’appliquer, car l’application vulnérable appartenait à un périmètre oublié du système d’information.
Autrement dit : l’entreprise ignorait qu’elle possédait encore le logiciel vulnérable.
C’est un cas d’école : quand la cartographie du SI n’est pas tenue à jour, on finit par se battre contre des fantômes.
Et les fantômes, eux, laissent les portes ouvertes.
Leçon : l’oubli n’est pas un bug. C’est une menace.
Le dénominateur commun : le manque d’organisation
Panama Papers, LuxLeaks, Kerviel, British Airways…
Des contextes différents, des secteurs variés, mais une même racine : l’absence de gouvernance.
Ce n’est pas la technique qui a échoué, c’est la culture de la sécurité.
Les procédures n’étaient pas suivies, les responsabilités floues, la supervision inexistante.
Et lorsque tout repose sur la “bonne volonté” des équipes, le système finit toujours par s’effondrer.
La cybersécurité, ce n’est pas un métier : c’est une discipline
On a trop longtemps réduit la cybersécurité à une question d’outils : antivirus, firewall, SOC, etc.
Mais les plus grandes catastrophes informatiques ne viennent pas des failles techniques, mais des failles humaines.
La sécurité, c’est d’abord :
Un processus de décision clair.
Une chaîne de responsabilité identifiée.
Une culture partagée de la vigilance.
Une documentation vivante du système d’information.
Tout le reste, technologies, solutions, acronymes, n’est que cosmétique si la gouvernance ne suit pas.
Et si on revenait au bon sens ?
Le plus ironique, dans ces histoires, c’est que toutes auraient pu être évitées sans le moindre surcoût.
Pas besoin d’acheter un SOC flambant neuf, ni de recruter une armée de consultants.
Il suffisait de :
Mettre à jour un logiciel,
Revoir les droits d’accès,
Supprimer les fichiers scannés,
Identifier les responsables des applications.
Autrement dit, de faire sérieusement les bases.
Mais dans le numérique comme dans la vie, les fondamentaux sont ce qu’on néglige le plus.
Conclusion : le prix du désordre
Ces quatre affaires rappellent une évidence cruelle : la cybersécurité ne coûte rien — jusqu’au jour où elle coûte tout.
Les milliards ne se perdent pas dans les câbles : ils s’évaporent dans les interstices de l’organisation.
Les dirigeants qui pensent que la sécurité est une dépense devraient relire les bilans de Panama, PwC, Société Générale et British Airways.
Ils y verront que le coût de la cybersécurité, ce n’est pas celui des outils…
Mais celui du silence avant la tempête.
“Les attaques les plus chères sont celles qu’on aurait pu prévenir avec une réunion, un patch, ou un peu de bon sens.”
Sylvain PASSEMAR