à des solutions d’avant-garde. Nous ne pouvons que saluer la rétrospective historique, trop souvent absente dans les livres d’IT, utilisée par les auteurs pour démontrer les racines antiques de phénomènes comme l’illusion, l’intox, les mensonges et surtout leur usage, toujours d’actualité, contre les criminels. Les auteurs proposent enfin une série de techniques pour mesurer le succès de la «déception» et pour trouver des solutions afin de l’améliorer quantitativement… Pris par l’enthousiasme d’une lecture aussi haletante, nous nous mettrions presque à rêver que dans un futur proche, auprès du CIO, du CSO ed du CISO, nous verrons apparaître la figure du Chief Deception Officer – car même si plusieurs CIO et CISO excellent déjà dans l’art subtil de la «déception», ils sont encore trop peu nombreux, en particulier en Europe. Steve Grobman, Allison Cerra, The Second Economy. The Race for Trust, Treasure and Time in the Cybersecurity War, Apress, New York 2016 «According to the Center for Strategic and International Studies, a Washington think tank, the estimated global costs of cybercrime and economic espionage are nearly $450 billion, placing cybercrime in similar company with drug trafficking in terms of economic harm. Put another way, if cybercrime were a country, its GDP (gross domestic product) would rank in the top 30 of nations, exceeding the economies of Singapore, Hong Kong, and Austria, to name just a few.» C’est avec ce constat, dont l’intention est, dès le préambule du volume, de donner au lecteur l’électrochoc nécessaire, que les auteurs ont choisi d’ouvrir une réflexion impressionnante de profondeur, où chaque chapitre débute par une narration des racines historiques de toutes les formes de criminalité et d’espionnage pour mieux expliquer ensuite comment nous sommes parvenus à la situation, souvent dramatique, d’aujourd’hui. Ce tome a été pensé pour le grand public et en particulier pour les décideurs, afin que ces derniers puissent comprendre la complexité de l’écosystème qui se trouve désormais sous leur direction et leur responsabilité directes. L’intention des auteurs est aussi de simplifier la compréhension, grâce à une approche claire, de trois éléments vitaux à toute structure publique mais surtout privée: la confiance, les finances et, surtout, le facteur temps, qui est devenu désormais le plus mortel des ennemis en cas d’infraction informatique. En effet, plus une attaque réussie est courte et simple et plus il devient presque impossible de la contrer. En revanche, si une entreprise est bien défendue, avec des technologies de pointe et du personnel de qualité, dûment formé, il existe alors toute une gamme d’actions anormales (ingénierie sociale, phising, relations douteuses – y compris celles physiques) qui peuvent être dépistées avec anticipation, bien avant l’attaque frontale en préparation duquel elles doivent ouvrir le plus de portes possibles.
Le cynisme réaliste et voulu par les auteurs donne le ton nécessaire à nous obliger à rejoindre et adopter un véritable manifeste sur l’honnêteté nécessaire que devraient avoir Etats et entreprises lorsque l’on vient à aborder ce genre de problématiques. Nous rendons ci-après quelques-unes des phrases-choc choisies pour renforcer une analyse selon laquelle le pragmatisme et la défense proactive n’ont rien à voir ni avec les lois, ni avec la morale. Le premier axiome est résumé à la perfection par une citation du célèbre juriste indien B.R. Ambedkar: «History shows that where ethics and economics come in conflict, victory is always with economics». En un mot, soit une entreprise a une défense gagnante parce qu’elle est à l’avant-garde en termes de techniques de sécurité, c’est-àdire qu’elle a intégré dans son équipe aussi bien des black hats que des white hats, sans oublier un crisis management response team souvent réactif, ce qui implique qu’elle a «fermé un œil» sur certains aspects éthiques, soit elle sera perdante contre des criminels qui ne connaissent ni morale, ni pitié. Avec ironie, les auteurs soulignent que depuis toujours, dans le secteur privé, le fait de «fermer un œil» sur certains aspects éthiques est pour beaucoup dans le recette d’un succès sur le plan global. Ainsi, vouloir être «éthiques» en parlant de défense contre une attaque criminelle relève bien plus d’un discours de propagande que d’une volonté réelle. Le second axiome, une évidence pour tous ceux qui ne sont pas soumis au «politiquement correct» et qui correspond parfaitement à la réalité, est celui qui veut qu’à l’exception de quelques rares cas ayant fait l’objet de très longues investigations, toute attribution – encore plus si elle est immédiate – d’une attaque contre une entreprise privée de la part d’un Etat ne relève pas seulement de l’absurde, mais se révèle être une technique de communication nocive, qui fera non seulement perdre du temps aux enquêteurs, mais qui risque pousser cette «intox» tellement loin que de nombreux employés, y compris les spécialistes en sécurité, vont finir à croire que c’est bien la vérité. Les morphologies des attaques et les modus operandi observés durant les dernières années montrent bien à quel point l’attribution certaine d’une attaque contre une entreprise privée est devenue quasiment impossible, même dans les cas où l’enquête permet de remonter la piste et d’identifier de façon générique un groupe de «black hats», connu pour avoir des liens avec un certain Etat, mais qui agit souvent aussi à son compte (ou en «pay per service»), in primis pour ses propres intérêts économiques. Une citation, parmi tant d’autres proposées dans le volume, destinée à nous faire comprendre la nature du monde dans lequel nous vivons, est un extrait d’une réflexion du poète et philosophe anglais Gilbert K. Chesterton, qui semble directement nous parler d’une bonne partie de nos élites politiques et économiques: «It isn’t that they can’t see the solution. It is that they can’t see the problem.» Viennent ensuite des listes entières d’arguments dûment motivés venant nous rappeler que nous vivons dans une réalité dont nous avons perdu le contrôle à cause de notre engouement pour l’innovation et pour son côté frénétique, un élément qui, jour après jour, amène les dirigeants vers une incompréhension toujours plus grande du système. A ce sujet, l’un des parallèles
49