Histoire vécue incroyable de RSSI : l’oubli du code « FTG » (n°2 d’une longue série à venir….)

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.

Il est désormais habituel de tout publier. Un dessert crème chantilly dans un restaurant est pris en photo et posté immédiatement sur Facebook ou Instagram avec un commentaire de satisfaction gourmant. Un appel téléphonique, ou même un simple SMS, et il faut répondre sans délai en donnant tous les détails et toutes les explications, y compris en public. Un mail est non reçu, alors qu’il a été émis depuis le poste de travail, il va être renvoyé depuis le smartphone dans les transports publics, avec la mention « émis de mon iPhone », ou « téléphone Android », qu’importe. L’expéditeur sera un « héros » pour avoir  débloqué la communication et republié tout dans la seconde, sans savoir si la communication peut être interceptée ou non. Les SMS sont notamment interceptables sur la planète entière sur la couche de signalisation SS7 des réseaux téléphoniques, où ils ne pas chiffrés.

Sans oublier les conversations argumentées, voire enflammées, sur des contrats sensibles, lors d’un déjeuner dans un restaurant dans le quartier d’affaires de la Défense au milieu de centaines de personnes, inconnues, pouvant travailler chez des concurrents. Ou dans un café, ou dans l’ascenseur d’un immeuble de dizaines d’étages logeant de très nombreuses sociétés différentes.

Tout cela est-il bien raisonnable ?

Sans doute pas.

Et pourtant, tout le monde sait ce qu’est le risque, mais le nie dans un total déni de réalité. Les services de la DGSI l’expliquent dans toutes les entreprises intervenant sur des sujets sensibles, toujours et sans cesse. Et avant la DGSI, c’était les services des renseignements généraux (RG) qui faisaient ce travail d’instruction. Voici des scénarios dans lesquels des ingénieurs, cadres commerciaux et dirigeants  peuvent mettre en péril leur entreprise, voire les intérêts de la Nation. Et d’abord et avant tout, leur propre job ! Ce dont ils n’ont pas la moindre conscience.

Les bêtises et erreurs sont plus nombreuses que les cas de malveillance. Mais ceci n’est pas rassurant.

Le téléphone ouvert

Une faille classique est celle du téléphone dont la connexion est ouverte. Bluetooth, wifi, ou autre et dont le carnet d’adresses et l’historique des communications peuvent être aspirés par un robot, à proximité. Dans les séances de responsabilisation en entreprise, la DGSI se fait un malin plaisir de scanner les téléphones dans la salle et d’afficher sur grand écran les informations collectées. Les noms des fautifs sont masqués, mais personne n’est dupe.  C’est un premier avertissement, sans sanction. Le suivant pourrait changer de nature… Tout le monde comprend le message, mais sans faire aucun commentaire. Le message passe.

Des comportements irresponsables dans les lieux publics

La pression et l’action imposent de tout faire dans l’immédiat. Et de répondre et de donner des ordres ou des directives. C’est le rôle d’un chef qui doit mériter un salaire supérieur à celui de ses subordonnés. Alors les consignes partent en temps réel. Qu’importe si « le chef » se trouve dans les transports, un lieu publics, ou dans un restaurant. Directeur de projet, commercial, ou membre d’un comité de direction.

Il est pourtant possible de différer la transmission de certaines informations, en sachant hiérarchiser les priorités et le contexte  de l’environnement.

Il existe toutefois des exceptions, rares.

Sur l’esplanade des invalides, en sous-sol, près de l’Assemblée Nationale, il existe un restaurant de bonne réputation « chez Françoise ». Depuis des dizaines d’années, tous les parlementaires le fréquentent. De tous les bords politiques que ce soit. Les serveurs savent placer les clients, sans poser de question, pour leur permettre d’échanger en toute confidentialité sur différents sujets avec leurs interlocuteurs de toute origine, et écarter les oreilles indiscrètes de personnes ayant d’autres opinions politiques. Cela se fait dans l’espace d’un regard, sans rien dire. Certains habitués diront toutefois qu’il peut aussi y avoir des ratés … rares.

« Chez Françoise » est une exception. Quel autre restaurant a un tel sens de l’organisation de ses clients, à Paris ou ailleurs en France ? Il convient de choisir ses lieux de rencontre et d’en connaître les codes. Et, en cas de doute, de pas parler de tout à haute voix de tout et n’importe quoi.

Un besoin de tout raconter sur les réseaux sociaux

Le sujet est très délicat pour les entreprises. Car les publications d’articles par les salariés sur les réseaux sociaux relèvent plus de leur vie privée, que des activités de l’entreprise. C’est particulièrement vrai pour Facebook, cela peut l’être aussi pour le réseau professionnel linkedin.

On trouve toutefois sur ces réseaux professionnels des informations concernant les projets sur lesquels travaillent les dits individus. Voir les niveaux d’habilitation qu’ils ont pour travailler sur ces dossiers. Cela n’est pas conforme à l’IGI 1300, mais les personnes concernées s’en moquent et se vantent sur le net d’avoir été habilité en précisant parfois le nature des projets sur lesquels ils ont travaillé.

De nombreuses officines d’information (renseignement, ou espionnage économique) s’en régalent. Des fichiers de relations sont exposés sur Internet sans aucune limitation, alors que l’option de limiter la divulgation des relations existe, mais n’est pas connue et n’est pas utilisée. Les fonds de commerce de nombreuses sociétés peuvent ainsi être « aspirés » sur le web par les officines de renseignement. Personne n’en ayant conscience, le sujet semble ne pas exister à ce jour. Il y a, et il y aura des victimes, coupables par négligence fautive.

Une absence de frontière entre la vie privée et les affaires professionnelles sur le net

Le besoin d’expression et d’épanchement sur les réseaux sociaux peut être surprenant. Il est possible d’y exposer ses affaires professionnelles et sa vie privée la plus intime à la fois. Ensuite, les discussions avec les tiers peuvent rebondir sur l’un ou l’autre des sujets, ou sur tout et n’importe quoi. C’est là que le risque devient le plus important pour l’entreprise : la perte totale de contrôle de ce qui est diffusée ou divulgué. Du côté adversaire, les professionnels du renseignement savent parfaitement exploiter ces failles : excès d’émotion et de compassion, y compris sur des sujets professionnels.

Ce que doit faire le RSSI ou le directeur de la protection du patrimoine informationnel : appliquer le « code FTG » en profondeur

Alors que faire ?

Tout d’abord, ne pas chercher à théoriser, mais donner des consignes simples et non discutables. Quand tout peut partir dans tous les sens, il faut revenir aux fondamentaux.

Un code simple, bien connu, est le code « FTG » : « Fermes ta gueule ». Pour ne pas divulguer inutilement des secrets, il faut une discipline. Elle peut se résumer en ces 3 lettres : « FTG ».

Cela n’est peut-être pas bien vu par certains intellectuels qui ont besoin de tout raconter à leur psy sur tout, depuis l’histoire de la grand-mère qui a couchée avec le jardinier, ou le jeune sous-officier du régiment …. Mais c’est une règle inaliénable en matière de sécurité du patrimoine informationnel.

A l’heure du big data, le code « FTG » et les « taiseux de Jacques Brel » sont aussi une protection.

Et ensuite, coller des baffes

Appliquer cette règle ne peut se faire avec des QCM. C’est un exercice de corps à corps avec toutes les équipes. Cela doit partir de la direction, et être diffusé dans tous les niveaux de l’entreprise. C’est très simple ! Le code « FTG » est une assurance vie pour l’entreprise, et donc pour chacun de ses employés.

Ensuite, il faut passer aux mesures conservatoires et coercitives : les paires de baffes, si la première étape n’a pas aboutie. Comme d’habitude !

Puis, les solutions techniques, au second ordre

Concrètement que doit faire le RSSI ?

Sensibiliser, éduquer et dresser ses « ouailles » autant que de besoin. Puis coller des paires de baffes pour les comportements irresponsables. Il y en a.

Techniquement, on peut parler de chiffrement des données, des fichiers, des disques. On peut parler d’authentification forte multi-facteurs. On peut parler de contrôle d’accès, de logs, de SOC et de SIEM, ou encore de DLP. On peut ajouter des filtres de confidentialité sur les écrans. Ou encore de procédures pour transporter des ordinateurs sans contenus pour passer les frontières, puis de systèmes de VPN pour rapatrier les données à l’étranger, avant de les détruire à nouveau pour repasser la frontière dans l’autre sens. Etc., etc.

Toutes ces solutions techniques n’ont rien à voir avec le code « FTG ». Il ne s’agit que d’imposer un comportement, qui doit résister aux phénomènes d’épanchement inutile sur le web.

En trois lettres : « FTG ».