Les entreprises doivent assumer leur vulnérabilité informationnelle

Le Forum de cybersécurité franco-israélien du 4 avril, organisé par Dominique Bourrah, a mis en évidence la créativité israélienne sur la question du Man in the Browser, à savoir les menaces logiques et physiques pour les petites et les grandes entreprises. Itzik Kotler, CTO de Security Art, a souligné la croissance constante de l’arsenal des attaquants. Cette amplification de la menace potentielle par le contenant relance le débat sur le niveau de sécurité informatique de bon nombre d’entreprises. Mais derrière cet péril s’en profile un autre, l’attaque par le contenu que l’on pourrait résumer par cette question : quels effets produisent les attaques par la désinformation, la rumeur ou la polémique sur le fonctionnement global d’une entreprise ?

En vingt ans, le niveau d’agressivité des assauts par le contenu a subi une évolution aussi significative que ceux par le contenant, comme en témoigne cette agression informationnelle subie il y cinq ans par la filiale d’un grand groupe d’origine française en Belgique. Un concurrent déloyal diligente une intrusion sur le site de cette succursale. Il s'agit de créer un faux lien entre des cadres dirigeants et un site pédophile. Une fois l’opération réalisée, l’attaquant se donne les moyens pour que la police belge soit alertée du « délit » et ouvre une enquête. La vigilance du DSI permit à la direction de l’entreprise prise pour cible de stopper l’attaque en informant les autorités locales de la nature du piratage et de la manipulation diffamatoire induite par l’opération délictueuse. Ainsi fut évitée une crise informationnelle majeure par une attaque contenant-contenu.

Des attaques en image devenues monnaie courante

Au cours des années 90, deux entreprises aéronautiques furent durement touchées par ce type d’attaque. La société ATR fut victime d’une campagne de rumeurs menée principalement par le biais d’internet à la suite d’un crash aérien. En réaction, ATR organisa des démonstrations médiatiques sur la fiabilité de l’appareil, mais le modèle incriminé ne fut pas un succès commercial. Fin 98, la société Alcatel subit une campagne de rumeurs sur l’opacité de la communication financière de l’entreprise. Cette orchestration provoqua une chute historique du cours de l’action à la Bourse de Paris et perturba pendant plusieurs mois la gouvernance d’Alcatel.

Aujourd’hui, la déstabilisation des entreprises par l’information est devenue un phénomène récurrent. Les constructeurs de barrage sont régulièrement mis en accusation par des acteurs de la société civile qui utilisent le web pour amplifier leurs protestations contre des déplacements de population ou ce qu’ils considèrent comme des atteintes à l’environnement. Les coopératives laitières doivent faire face à un parasitage virtuel initié depuis une décennie par plusieurs centaines de sites et de blogs d’internautes qui dénoncent les risques sanitaires encourus par les consommateurs de lait de vache. Plus récemment, les opérateurs téléphoniques sont interpellés par des associations relayées par des sites qui les accusent de dissimuler les effets nocifs des antennes relais implantées dans les zones urbaines.

Dans ces débats publics, les entreprises se retrouvent dans des positions très défavorables. L’avantage est le plus souvent au détracteur, qu’il ait tort ou raison. L’orchestration d’une attaque informationnelle contre un point faible identifiable renforce la vulnérabilité d’une entreprise, perturbe la cohésion de sa direction générale, démoralise éventuellement son personnel. C’est ce qui arriva en 2000 à eToys, société de vente en ligne de jouets qui provoqua une mobilisation virulente d’internautes nord-américains pour avoir voulu s’emparer d’un nom de domaine déjà pris par des artistes suisses. En avril 2001, la société eToys mettait la clé sous la porte.