HSBC, la plus belle histoire de l’année 2009

On nous a souvent dit et redit que la sécurité informatique était la pierre angulaire de la confiance dans l’avènement de la Société de l’information. L’affirmation est tout à fait pertinente. Les questions de sécurité se résument à trois thèmes principaux : disponibilité des systèmes, intangibilité des données et confidentialité des données. L’idée maitresse est que les données stockées sur les systèmes d’information ne doivent pas être endommagées ou perdues, qu’un tiers non autorisé n’y ait pas accès ou ne les capte pas.

Le système bancaire, qui comme l’ensemble de l’activité humaine en société se transporte sur ou autour des réseaux numériques, est évidemment en première ligne sur ces questions. Il est d’ailleurs, selon les experts, un grand consommateur de produits et de services dans le domaine de la sécurité informatique. On dit que dans un pays comme la France, plus de 20% de la dépense totale des entreprises en sécurité informatique est générée par le secteur bancaire. Depuis plus de vingt ans, architectures sécurisées, firewalls, logiciels antivirus, antispyware ou espions, vidéosurveillance et contrôles d’accès en tous genres notamment, sont abondamment présents à l’entrée et à la sortie des systèmes d’information des banques. Les budgets des directeurs informatiques, directeurs des systèmes d’information et responsables sécurité des systèmes d’information sont très recherchés par les pourvoyeurs de produits et de services de sécurité. Ce sont des milliards d’euros dépensés pour sécuriser les données couvertes par la secret bancaire. Le but : obtenir le 100% ou le tout sécurité. Sauf que, Hsbc ou Hong Kong & Shanghai Banking Corporation, doit désormais considérer que l’axiome est discutable. Un simple employé de la troisième banque mondiale à Genève, a prouvé au monde que le 100% sécurité n’existait pas. Celui-ci, déjouant tous les systèmes automatisés de contrôle, a le plus simplement du monde copié des listings très secrets de la banque, puis les a fournis à l’administration fiscale française. Cet épisode, qui a fait couler beaucoup d’encre tout au long de l’année 2009, nous rappelle une réalité tout à fait banale pour les experts en sécurité, mais toujours bonne à dire : le maillon faible, c’est l’homme. Ou plutôt, on pourrait dire que l’homme est plus fort que la machine et que tous les systèmes de sécurité du monde ne pourront rien contre un bipède déterminé et motivé à sortir des données du système d’information. La nouvelle est bonne car elle montre définitivement la suprématie de l’homme sur la machine. La technique est nécessaire, elle est même la réponse première et obligatoire face au risque sécuritaire, mais elle n'est pas tout. Le droit est également nécessaire comme complément indispensable à la réponse. Le Golem, créature non vivante de l’homme qui prend le pouvoir sur l’espèce humaine, n’est pas encore pour aujourd’hui. C’est bien la plus belle histoire de l’année 2009.