Menace cyber : un risque systémique

L’inversion des priorités est tout à fait notable dans ce secteur, coutumier s’il en est des bulles spéculatives et autres effondrements de marchés, sans parler des scandales à la Madoff ou à la Jordan Belfort (le banquier qui a inspiré le film Le Loup de Wall Street) ni de l’attaque des tours jumelles de 2001 – au sein desquelles plusieurs banques de l’époque avaient installé leur siège, ce qui en dit long sur la perception du risque terroriste dans ce secteur.

L’article signale que JPMorgan Chase, la première banque des États-Unis, dépense quelque 600 millions de dollars chaque année pour sa sécurité cyber et y consacre plus de 3 000 employés. Le ratio est intéressant : rapporté à son CA, la cyber engloutit 0,5 % du budget et environ 1 % des effectifs de la banque. À titre de comparaison, si un CHU ou un GHT y consacraient les mêmes ressources, on trouverait dans les équipes d’un CHU « médian » environ 80 agents dédiés à la cyber (ils sont rarement plus de 10) et un budget cyber équivalent au tiers du budget SI (il ne dépasse presque jamais 10 %). On hésite entre « On ne joue pas dans la même cour » et « La cyber est prise un peu plus au sérieux », toutes choses étant égales par ailleurs.

Ce qui est intéressant dans l’article, c’est la tentative de modélisation du volet systémique du risque cyber : qu’un établissement financier tombe est une chose, mais quid si une attaque cyber issue d’un pays très très très à l’est touchait par exemple un tiers des établissements financiers du pays (risque estimé faible, mais pas improbable par l’université Columbia) ? L’interconnexion des places de marché donne des sueurs froides aux spécialistes du secteur : s’il est un domaine où le SI d’un acteur ne peut fonctionner sans l’écosystème global, c’est bien celui-là.

Il y a certes pas mal de différences avec les SI de santé, mais pas mal de similitudes aussi. L’interconnexion n’en est pas à ce niveau dans la santé (heureusement ou pas, c’est selon), mais le SI d’un CHU ne fonctionne pas pour autant en autarcie : essayez de couper les accès VPN des fournisseurs et des partenaires pendant 72 heures juste pour voir… De plus, le socle étatique du secteur commence à se densifier et à induire par ricochet une certaine dépendance : le jour où la seule source d’identification des professionnels de santé aux DPI locaux sera un service de type FranceConnect (ce qui semble dans l’air du temps), on imagine sans peine les conséquences d’une attaque basique en DDoS sur cette brique de base. Pour information, les attaques en DDoS sont maintenant totalement packagées, et vous pouvez faire tomber le service Web d’un concurrent pendant des heures pour le prix d’un sachet de Carambar.

La conception de services socles n’exonère en rien la réflexion sur les modes dégradés locaux en cas de panne de ces mêmes services. De la même manière, votre banque a beau stocker vos relevés sur ses serveurs, il est fortement conseillé d’en avoir une copie sur votre ordinateur personnel (c’est la seule preuve qui vous restera si votre banque subit un Big Crunch), et personnellement je garde à toutes fins utiles une copie scannée de mes documents médicaux sur mon disque (chiffré bien sûr).

Dernier point de fragilité soulevé par l’article : le recours massif des banques US à des services Cloud de stockage, de SaaS, etc. C’est bien joli l’externalisation de l’IT, c’est juste que le Cloud n’est rien de plus que l’ordinateur de quelqu’un d’autre, qui a autant de chances (sinon plus car il est une cible de choix) de se faire poutrer.

La dernière panne d’accès au numéro d’urgence des Samu et l’incendie récent chez OVH sont là pour nous le rappeler : tout service IT critique n’est pas à l’abri d’un sinistre, quels que soient les moyens humains et financiers qui lui sont consacrés : faire porter des pans entiers du fonctionnement d’un système à l’échelon national sur des briques techniques centralisées sans réflexion de fond sur un risque systémique (récent, mais réel) est à proscrire.

Bonne rentrée quand même.