Janvier 2008 : éclate au grand jour l’affaire Kerviel, du nom de ce trader condamné pour avoir provoqué une perte financière de plus de 4 milliards d’euros dans la banque où il était employé. Il a suffit d’une personne et d’un ordinateur. Comment une personne seule peut-elle provoquer de tel dégât aussi simplement? Dix ans plus tard, la question reste ouverte et le feuilleton juridique de cette affaire suscite encore des débats. Une chose est sûre, Kerviel a provoqué dans les entreprises une double prise de conscience. D’une part sur la faillibilité des systèmes informatiques et d’autre part, sur la problématique de contrôle, de ceux qui devraient être au courant de cette faillibilité.

Dans le volet informatique de cette affaire, Kerviel a été condamné pour « introduction frauduleuse dans un système de traitement automatisé de données informatiques« . Concrètement, cela revient à avoir piraté un compte dans le système informatique. Tout est parti d’une simple paire identifiant et mot de passe donnant les droits suffisants pour provoquer la catastrophe. Un « compte à privilège » que s’est procuré l’intéressé. Dans la réalité des entreprises, ces types de compte sont tellement nombreux que bien malin est celui qui peut se targuer de tous les maitriser. La prolifération de ces comptes à hauts privilèges est une des failles les plus connues des systèmes informatiques. Et personne n’est à l’abri. TV5 Monde, Ashley Madison et même Google et Twitter ont été victime d’accident utilisant ce type de compte. Cette prolifération s’explique par la présence d’une population qui échappe souvent au contrôle des responsables de la sécurité : les informaticiens eux-mêmes.

Tous les jours cette population informatique du back-office utilise des comptes hyper sensibles pour travailler. Créant ainsi un paradoxe où pour faire fonctionner leur système informatique, les informaticiens créent leurs propres failles. Par exemple, les informaticiens qui gèrent les sauvegardes ont des droits d’accès aux données. Ceux qui gèrent les réseaux ont des droits d’accès au contenu des communications. Ceux qui gèrent la sécurité ont des droits pour passer les défenses. Une population qui travaille en toute légitimité mais qui dispose de pouvoirs effrayants au bout des doigts. Elle manipule des produits numériquement dangereux mais sans de véritables protocoles de sécurités. Rappelons que cette population vit aussi un grand turnover et quand un informaticien part, il emporte avec lui son compte d’accès. Charge à l’entreprise de penser à le supprimer.

Si l’on rajoute, par dessus ce chaos de comptes, le phénomène de sous-traitance des systèmes informatiques, on obtient une situation explosive. En plus de proliférer, les comptes à privilèges se retrouvent éparpillés dans la nature.

L’affaire Kerviel a démontré la porosité des comptes à privilèges et des droits d’accès dans les entreprises. Elle a eu comme avantage  de mettre de l’ordre dans cette zone de non-droit et de quasi impunité. Instaurant des règles plus strictes de cloisonnement et des accès renforcés. A grand renfort de technologie de gestion des identités, des profils des utilisateurs et des droits d’accès. L’ironie est que du même coup, on a confié à des informaticiens la régulation de leurs propres défauts.

Contenir l’expansion des comptes et réguler les pratiques des informaticiens est difficile du fait du contexte technique et structurel des entreprises. Le monde informatique étant piloté par des informaticiens, ces derniers se soucient peu de s’autocontrôler. Certains ont même l’outrecuidance d’affirmer que le problème ne vient pas de chez eux ! De plus, avec l’utilisation du Cloud qui délocalise l’administration de l’informatique, difficile pour les entreprises de savoir qui fait quoi et où. On peut même affirmer que la situation empire. Les cas d’attaques les plus récents démontrent que la faille est toujours là.

C’est alors qu’intervient le deuxième effet Kerviel, la responsabilité ! Certainement celui qui a le plus d’impact sur le monde informatique des entreprises.

Comment un seul homme peut-il faire autant de dégât sans que personne ne  soit au courant ? Dix ans plus tard, l’affaire n’est pas close. Pour sa défense, l’intéressé a souligné le fait que ses agissements étaient connus de son entourage et de sa hiérarchie. Et que par défaut de réaction, ses pratiques étaient donc admises. La banque fut même condamnée pour « défaillance des systèmes de contrôle et de hiérarchie ». L’argument du « On ne savait pas » ne tient ainsi plus la route.

Après avoir dévoilé le chaos informatique, cette affaire a donc aussi levé le voile sur la problématique des responsabilités internes dans les entreprises. Face à cette cacophonie de comptes d’accès et de privilèges, réguler ne suffit pas. Les entreprises se doivent aussi de surveiller leur informatique. Nombreuses sont les entreprises et notamment les banques, qui ont dû investir dans des systèmes de surveillance. Ces dispositifs de contrôle sont à la fois techniques et organisationnels. Le principe est de mettre en place une armée d’informaticiens pour contrôler l’informatique et une armée d’auditeurs qui vont contrôler ces informaticiens… qui surveillent les autres informaticiens ! L’objectif est d’obtenir des alertes en cas d’agissement douteux grâce à ces « tours de contrôle » et prévenir les fraudes.

Encore une fois, les informaticiens sont mis à contribution mais avec une pression plus forte. Ils viennent renforcer les dispositifs de contrôle des audits internes dans les entreprises, avec cette fois-ci un devoir d’alerte qui engage leurs responsabilités. C’est une nouvelle population d’informaticiens, séparée du back-office pour mieux surveiller les pratiques internes, qui monte au créneau. Ils ont un devoir de réaction face à des risques identifiés et plus encore, un devoir de communication auprès des hiérarchies.  

Les informaticiens sont les mieux placés pour connaitre les failles dans leur système. Ils sont désormais challengés et les responsables de la sécurité informatique n’ont plus l’option du « je ne savais pas ».

Cette affaire est l’occasion de sensibiliser sur la responsabilité de l’humain sur l’algorithme. On aura beau numériser les processus, remplacer les humains par des ordinateurs, les principes d’incertitudes démontrent qu’on ne maitrise pas tout. Il suffira toujours d’un bug (ou bogue) informatique, d’une attaque ou tout simplement de quelqu’un qui « pète les plombs » pour tout mettre par terre.

Avec dix ans de recul, la seule certitude est donc la suivante : l’affaire Kerviel a mis une première claque à la confiance en l’informatique et une deuxième claque à la capacité des utilisateurs humains pour se réguler en toute responsabilité. La jurisprudence de cette affaire va certainement laisser encore plus de marques. A l’ère du numérique bondissant, on ne tardera sans doute pas à voir se tenir des procès contre des IA… Les verra-t-on aussi contre les informaticiens qui développent les algorithmes? Affaire à suivre.

> Chroniques précédentes :

• Scandale chez les experts cybersécurité
• Client, le chaînon manquant
• Balance ton portable