SECURITE

CYBERSÉCURITÉ, CYBERCRIMINALITÉ…
QUELS DÉFIS POSÉS A LA SÉCURITÉ INTÉRIEURE PAR LES OPÉRATEURS PRIVÉS ET PUBLICS ?

(Partie n°2/2)

Olivier Chorand
Sarah Pineau

23/10/2017

Nous présentons cette analyse en 2 parties :

• La semaine dernière « La cybersécurité prise en charge par l’Etat »
• Cette semaine  « Les sociétés de service : Risques pour les entreprises françaises ? »

2ème partie :« Les sociétés de service : Risques pour les entreprises françaises ? »

SOCIÉTÉS DE PRESTATIONS INTELLECTUELLES : UNE ACTIVITÉ A DOUBLE TRANCHANT POUR LA BONNE SANTÉ DES GRANDES SOCIÉTES FRANCAISES.

Dans les métiers du service, tout comme l’audit, celui dit du conseil est de plus en plus utilisé prenant la forme de prestation intellectuelles diverses. Les sociétés spécialisées se regroupent aussi bien sous le nom de sociétés d’audit ou de conseil que d’Entreprise de Service du Numérique (ESN), ex Société de services en ingénierie informatique (SSII). Elles se retrouvent sous la forme de grands groupes internationaux, de grandes et très grandes entreprises, ETI, PME, TPE, et aussi d’indépendants. Ces sociétés peuvent intervenir dans tous les secteurs d’activité, aussi bien sur le marché privé que public. L’action de ces acteurs spécialisés touche aussi bien les entités privées (Total, Axa, Thales, etc.) que publiques (ministères de l’Education, de la Défense, de l’Economie, etc.)

Sur le marché français, l’activité de prestation intellectuelle est devenue incontournable ou presque. De plus en plus, les sociétés privées et organismes publics – les « clients » – font appel aux services de ces sociétés – les « prestataires ». Les groupes étrangers sont nombreux sur ce marché, que ce soit de grands noms – Boston Consulting Group, Ernst & Young, Deloitte, Price Waterhouse Coopers, KPMG, IBM, Accenture, etc.- ou de plus modestes, qui représentent tout de même de grosses parts de marché : Bearing Point, Kurt Salmon, CGI, CSC… La France n’est pas en reste avec des acteurs comme Atos, Capgemini, Solucom, Sopra Group ou encore Orange Business Consulting. Au-delà du critère national, il est important de considérer le degré de notoriété de ces entreprises, ainsi que leur(s) secteurs d’activité. En effet, meilleure est la réputation d’une société, meilleur sera son positionnement sur des projets sensibles ou au sein de départements critiques d’entreprises ayant un lien direct avec les intérêts français. Par exemple, les acteurs tels que BCG, EY ou encore Accenture, interviennent régulièrement sur des sujets stratégiques (intelligence économique, défense…) auprès des entités de direction.

Les failles cyber : entre menaces et opportunités

Bien sûr l’activité de services ne s’arrête pas à celles citées précédemment. L’entreprise privée ou l’entité publique sous-traite généralement une activité dont elle ne maîtrise pas le savoir-faire ou qui n’est pas son cœur de métier. C’est pourquoi peuvent être associés aux cabinets de conseil ou d’audit et ESN des cabinets d’avocats, pour des expertises en fusion acquisition par exemple, -ou encore des sociétés de sécurité ou de nettoyage. De fait, un cabinet d’avocats peut jouer un rôle parfois décisif à propos de décisions d’avenir de sociétés françaises s’il intervient dans les procédures de vente, d’achat, de cession etc.

Or si l’aspect cybersécurité n’est pas le premier sujet qui intervient dans ces activités, il facilite pourtant grandement l’apparition de vulnérabilités, voire les accentue. Prenons l’exemple d’une société américaine prestigieuse qui réalise l’audit des finances d’une société du CAC 40. Si celle-ci concurrence d’autres sociétés de cette même nation étrangère, il n’est pas impossible que des actions soient entreprises afin d’avantager les intérêts nationaux. En effet, un rapport sur l’état de santé financier de cette société française, pourrait être opportun pour le concurrent étranger dans le cadre d’un marché concurrentiel. Tout en restant sur le terrain des suppositions, la finalité serait similaire dans le cas d’un service Droit d’une société de service qui gère les cas de fusion acquisition de groupes français où les acteurs accèdent à des éléments stratégiques et vitaux.

 Il est donc aisé de considérer qu’en termes d’intelligence économique, et même d’espionnage industriel, le champ des possibles est large. Ces scenarii ne sont certes pas nouveaux, mais les moyens qu’apportent les systèmes d’informations en tant qu’outils facilitent considérablement l’acquisition, la centralisation et le transfert d’informations.

Un couple soumis à aléas: une dépendance mutuelle et une cohabitation à risques

Bien sûr, les risques qu’encourent les sociétés françaises sur le plan des cyber-vulnérabilités et des failles intrinsèques aux sociétés de prestations ne sont pas uniquement de l’ordre du vol prémédité ou intéressé d’informations. Il suffit parfois d’observer le fonctionnement de procédures commerciales ou bien des comportements imprudents pour se rendre compte que le risque peut naître de nombreuses situations différentes.

Le point commun de ces sociétés de service est leur Business Model. Si l’on simplifie à l’extrême, on peut dire qu’elles tirent leur chiffre d’affaire de l’obtention de missions de prestation intellectuelle. Deux cas de figure se présentent : un engagement d’assistance technique ou un engagement au forfait. Le premier cas consiste en une obligation ressource : une activité interne est sous-traitée à un prestataire externe qui rapporte de l’argent pour chaque jour effectué (une mission peut avoir lieu au sein des infrastructures du client ou en dehors), alors que le second cas consiste en une obligation de résultats. Pour l’assistance technique, le chiffre d’affaires correspond au coût journalier du prestataire (taux journalier moyen) multiplié par le nombre de jours vendus, alors que pour un forfait le chiffre d’affaires ne tient pas compte des ressources ni de la charge allouée mais du résultat convenu. Dans un cas comme dans l’autre, un consultant qui n’est pas positionné sur une mission est considéré comme un centre de coût pour l’entreprise, qui doit alors éviter d’avoir trop de salariés non positionnés en clientèle, sur une trop longue durée. Cette notion met ainsi en évidence les intérêts économiques des sociétés de service tout comme leurs objectifs stratégiques pour les remplir : multiplier les missions, s’assurer d’une pérennité d’affaires, absorber du savoir, élargir son réseau, avoir connaissance des besoins du client ou les « créer », se rendre indispensable… Cela permet de considérer aussi les méthodes de rentabilité et de se rendre compte des biais possibles et des divergences compréhensibles d’objectifs entre une société prestataire et un client.

Ces deux parties ont besoin l’une de l’autre : le client a besoin de ressources et de savoir-faire qu’il ne peut ou ne veut pas assumer, le prestataire de contrats de prestation pour « vendre » ses ressources et compétences, raisons pour lesquelles elles collaborent logiquement et de façon répétée. A l’heure actuelle en France, il existe donc une réelle dépendance des sociétés privées et entités publiques à la prestation intellectuelle. Aussi, nonobstant que la majorité des clients (grandes entreprises françaises ou entités publiques) possèdent une politique et une infrastructure de sécurité généralement de bon niveau, il est important d’évaluer leurs potentielles vulnérabilités en rapport avec les activités concernées par les besoins de prestations externes.

Une complexité qu’il est possible d’identifier relève de la nature même de cette collaboration. Des individus externes à la société cliente sont engagés pour travailler sur une matière interne parfois sensible. Il y a donc un déséquilibre notable. De plus, un prestataire travaillant pour une société de prestation est amené à intervenir chez plusieurs clients au cours de sa carrière et, par la suite peut être embauché par d’autres sociétés de service. Il devient alors légitime de se poser la question du respect de la confidentialité et de la loyauté vis-à-vis des clients. En outre si on en revient aux objectifs de chaque partie, la société de prestation acquiert une plus-value capitale des connaissances sectorielles et métiers, informations organisationnelles et fonctionnelles, qu’elle absorbe à travers ses salariés. Cette absorption se fait naturellement via l’apprentissage et l’expérience, mais aussi par récupération et extraction non autorisée (documents, organigrammes, données, codes, etc.).

Finalement, les vulnérabilités plus évidentes à identifier à propos des systèmes d’informations se retrouvent dans toutes les situations présentées (qui pour la plupart ne sont pas propres à la prestation intellectuelle) et concernent d’une part le matériel introduit (PC portables externes, clés USB externes) et d’autre part les comportements (comportements non responsables ou qui ne respectent pas les règlementations, utilisation non vigilante ou non appropriée des outils informatiques ou d’autres applications/sites, branchement de téléphones portables sur les ordinateurs, télétravail etc). Ces nombreux risques peuvent être négligeables mais peuvent également s’avérer catastrophiques et impacter gravement la santé de la société cliente s’ils ne sont pas correctement pris en compte.

Ainsi, bien que des clauses de confidentialité protègent ces collaborations, elles sont finalement limitées à la fois dans leur mise en œuvre et par la complexité d’identification des fautes. Il serait illusoire de contrôler toutes les activités des prestataires externes, que ce soit au sein de leurs locaux, de leurs outils informatiques nomades (contrôler l’extraction de données sur les disques durs ou via une plateforme en ligne de stockage de données, qui plus est étrangère car généralement le stockage est situé en dehors du pays et toute donnée est soumise à la législation du pays où elle est stockée, mais aussi qu’aucun fichier ne vienne affecter le système informatique), à travers un filtrage du réseau (extraction de données depuis la boîte mail externe connectée au navigateur ou encore la réception de mails vérolés). Il est très compliqué pour la société cliente de s’affranchir de tous ces risques dont l’origine est généralement humaine. S’il est toujours possible de maximiser la protection des infrastructures d’une entreprise, le risque « zéro » n’existe pas. Aussi, la sensibilisation aux enjeux de cybersécurité, du côté du client comme du côté du prestataire, semble être une priorité voire une condition requise pour que la collaboration soit la plus sûre possible. Pourquoi ne pas imaginer une labellisation ou une certification des sociétés de service, à l’image du label « France Cybersécurité » existant et déjà remis par Axelle Lemaire, secrétaire d’Etat du Numérique, lors de l’édition 2015 du Forum International de la Cybercriminalité à Lille (1) ? Ce nouveau label ou cette nouvelle certification permettrait d’apporter une garantie supplémentaire sur la sensibilisation du prestataire aux enjeux de cybersécurité ainsi qu’un niveau d’exigence sécuritaire en termes de comportements et de confidentialité.

 Avec la numérisation d’un grand nombre de processus métiers où pratiquement tous les secteurs d’activité sont concernés, il apparaît clairement que les systèmes d’informations et la place qu’ils tiennent dans la transformation des organisations et des métiers dans les entreprises, jouent un rôle critique au sein même de la chaîne de valeur de ces sociétés. Les entreprises sont aujourd’hui numériques et connectées et, de fait, leur savoir et leurs richesses sont à la merci des vulnérabilités du système et des interventions humaines : la cybersécurité est un enjeu de taille. En effet, d’une part beaucoup d’entreprises sont devenues dépendantes de telles collaborations avec des sociétés de service, et d’autre part, même si le critère de souveraineté est respecté, les autorités doivent s’adapter aux enjeux cyber, tout particulièrement en ce qui concerne les OIV. Il ne suffit plus de porter attention à la façade d’une société, il devient nécessaire afin d’évaluer plus complètement les risques cyber, de s’intéresser à ce qu’il se  passe en coulisse, c’est-à-dire au cœur des interventions de ces sociétés de service qui interviennent au sein des opérateurs publics et privés. Le secteur de la cybersécurité a donc encore de beaux jours devant lui, car ces observations mettent en évidence de nouvelles problématiques sur lesquelles devront se pencher les acteurs leaders de ces marchés, que ce soit par le biais de formations, de solutions logicielles mais surtout de partenariats établis sur une culture de la cybersécurité. Il en va de la sécurité intérieure, économique comme stratégique, de notre pays.

Olivier CHORAND, Membre des Comités Sécurité intérieure et Cyberdéfense de l’ANAJ-IHEDN Auditeur Jeune de la 87e session, Paris, 2013

Sarah PINEAU, Membre du Comité Sécurité intérieure et Cyberdéfense de l’ANAJ-IHEDN Auditeur Jeune de la 91e session, Nîmes, 2015

1 J. Lausson « Un label France Cybersécurité remis à 17 entreprises », numerama.com, 21.01.2015, [en ligne], URL : http://www.numerama.com/magazine/31950-label-france-cybersecurity.html.