L’infosphère est devenue un champ de bataille où les établissements financiers sont des cibles prioritaires.
Le rapport asymétrique entre la compréhension des technologies et leurs potentiels réels peut avoir des conséquences importantes sur l’environnement stratégique et concurrentiel des entreprises. Il est donc nécessaire de penser aux actifs dématérialisés de l’entreprise en terme de patrimoine informationnel. Il s’agit également de considérer les différents vecteurs et “véhicules” de l’information participant à l’exercice de l’activité professionnelle, ceci dans le périmètre informationnel de l’entreprise. Qu’il soit de nature humaine ou technique, chaque dysfonctionnement peut entraîner de graves conséquences sur la réputation des entreprises concernées. Plus que jamais l’infosphère est devenue un champ de bataille où les établissements financiers sont des cibles prioritaires.
Dans ce contexte, il est nécessaire d’avoir des réponses claires à des questions telles que: Connaissez-vous les limites de votre périmètre informationnel sur internet? Savez-vous ce qui est dit sur votre société sur internet, dans les blogs ou les groupes de discussion? Si de telles questions restent sans réponse pour vous, sachez que les technologies ont fortement évolués et permettent maintenant grâce à des outils simples et conviviaux de créer des « tsunamis » informationnels qui peuvent endommager l’image de votre société … et certainement pas uniquement de manière virtuelle!
Cet article expose une synthèse des thèmes présentés lors de la conférence « Gérer le risque de réputation des banques sur internet » organisée le 8 mars 2007 à Genève à l’initiative du Groupement de Réviseurs Bancaires (www.grb-romand.ch) et de l’association suisse des auditeurs informatique ISACA (www.isaca.ch). Retrouvez le support de présentation ainsi qu’un ensemble de liens utiles directement sur le site de l’animateur de cette soirée, Stéphane Koch de Intelligentzia, ici: http://www.intelligentzia.ch/present/ISACA/
Connaître son périmètre informationnel
Gérer son risque de réputation nécessite de connaitre quelle information l’on souhaite protéger ou, à l’inverse, laquelle doit être communiquée. Cette démarche n’est pas anodine. Elle doit permettre de cartographier le périmètre informationnel de la société et, par ce biais, d’apprécier la sensibilité et la criticité de chaque groupe d’information d’un point de vue opérationnel.
Cet inventaire ne doit pas seulement considérer l’information statique stockée dans l’entreprise ou à l’extérieur comme sur un site web ou un blog. Il est également nécessaire de considérer l’information en mouvement sur les différents médias disponibles. Un mode de transmission inadapté peut compromettre la confidentialité des informations échangées, mais il peut également démontrer l’absence d’un comportement adéquat; De là à douter du professionnalisme de la contre-partie, il n’y a alors qu’un pas à franchir. La réputation est partout.
Cette conférence a mis en évidence la complexité issue de l’interconnexion des réseaux d’informations et, en conséquence, la difficulté d’identifier de manière claire les limites de son périmètre informationnel. Une entreprise n’est pas un îlot: Celle-ci est reliée à internet et, via ce média, à ses employés, à ses clients et à une foule d’internautes inconnus. Ces relations socio-professionnelles se basent sur une couche technique, ne l’oublions pas. Là encore, la technologie représente un vecteur d’information incontournable et en constante évolution. Les moyens d’accès à internet se sont également diversifiés: téléphone mobile (GSM et technologie Bluetooth) intégrant des appareils de photos ayant des fonctions de caméra, des organiseurs personnels (PDAs avec une connexion WIFI) ou simplement les PC portables offrant l’ensemble des moyens de connexion standard. Et, logiquement, chacun de ces chemins d’accès à internet et ces moyens de stockage d’informations représentent autant de vulnérabilités potentielles de sécurité.
Identifier les menaces pour mieux les anticiper et les gérer, tel est le défi à relever pour gérer sa réputation sur internet.
Passée l’étape de prise de connaissance de son patrimoine informationnel, il est ensuite nécessaire de comprendre la notion de risque de réputation sur internet. Mais ne vous y trompez pas, que vous soyez présent ou non sur internet, votre réputation peut y être compromise.
Cette menace a fortement évolué, ceci en particulier grâce aux nombreux outils permettant de diffuser de l’information sur la toile. Il est ainsi offert à chacun d’entre nous la possibilité de publier un avis sur internet, par exemple via un blog, sans avoir de connaissances technique ou rédactionnelle et atteindre des millions de personnes; Une nouvelle èrepour la communication est en marche.
La compréhension de la technologie sous-jacente ne peut toutefois pas être négligée. Cette connaissance technique permet à chaque société de mieux protéger sa réputation et d’optimiser sa communication sur la toile.
Au cours de cette conférence, les vecteurs d’informations suivants ont été abordés en particulier:
1) Les noms de domaine
Qui parle d’internet fait automatiquement référence à des noms de domaines. Ainsi, chaque société présente sur internet se doit de gérer adéquatement son portefeuille de noms de domaine, et pas uniquement du point de vue des échéances de renouvellement. Savoir quelle adresse l’on souhaite maîtriser revêt, dans ce cas, un facteur à considérer pour gérer son image sur la toile. Le choix de l’extension est également un thème important: Les statistiques actuelles démontrent que toutes les extensions ne sont pas égales face à la menace du pourriel (spam), par exemple.
2) Les sites web
Parmi les outils à disposition sur la toile, le site internet vient habituellement en première place. Il s’agit encore actuellement de l’outil de communication de référence pour les entités financières. De manière logique, un site web se doit de protéger adéquatement les accès à ses pages, notamment celles d’administration. Il est nécessaire, en particulier, d’interdire à un pirate de pouvoir modifier le contenu du site à l’insu de son propriétaire; on parle alors de défaçage. L’omniprésence des attaques de types phishing (hameçonnage), même si elles ne concernent pas directement le site de la banque, doivent également être surveillées et permettre ainsi de favoriser la prévention. En rapport à cette menace permanente, beaucoup de banques ont d’ores et déjà réagi en publiant des campagnes de sensibilisation à l’attention de leur client (page sécurité, centrale d’alarme, …).
3) Les blogs
Le blog est un outil de communication puissant sur la toile. Sa facilité d’utilisation et ses principes de diffusion de l’information (flux RSS et « track-back ») optimisent la puissance de ce vecteur d’information et le rendent particulièrement efficace pour le lancement de rumeur ou l’émergence de groupe d’influence. Cette simplicité d’utilisation permet, sans compétence rédactionnelle particulière, d’émettre une opinion, un commentaire ou une analyse qui pourra finalement être reliée très rapidement sur internet. Bloguer est une tendance qui continue de progresser selon Technorati, un référentiel pour le monde de la blogosphère. Ainsi en 2006, environ 75′000 blogs étaient créés quotidiennement et environ 70 millions de blogs étaient référencés sur internet. L’effet de mode parfois mentionné au sujet des blogs ne semble pas se vérifier.
4) La messagerie électronique et le pourriel (spam)
Internet est, ne l’oublions pas, le média de référence pour la transmission de messages, les emails. Dans cette optique, sachez que le spam représente actuellement près de 90% du trafic email. Il n’impacte pas seulement la productivité des employés mais transporte également des codes malicieux comme les virus, les chevaux de Troie. Il est également le moyen de préférence pour appâter les internautes imprudents via des attaques de phishing.
5) Les outils de recherche
Si les outils de recherche sont des outils incontournables sur la toile, ils possèdent et récoltent une quantité d’informations qu’il est difficile de maîtriser. Ces outils vont donc garder une information rémanente d’événements passés: un événement sur la réputation ne sera donc pas complètement supprimé, une trace restera dans le cache des outils de recherche sans une opération de la société. L’achat de mots-clés peut également entrer en considération pour la maîtrise de son environnement informationnel.
6) Les réseaux sociaux
L’ingénierie sociale (social engineering) utilise l’art de manipuler les personnes afin de contourner des protections et ainsi d’obtenir des informations sensibles. Dans ce contexte, les sites de réseaux sociaux, tels que XING-OpenBC, LinkedIn ou MySpace par exemple, deviennent des mines d’informations pour les pirates et donc logiquement des cibles prioritaires pour leur préparation d’attaques.
7) Les codes malicieux
Si l’on parle technologie, l’impact des codes malicieux (malware) ne peut être occulté. Ces codes malicieux professionnels deviennent quasiment indétectables et ciblent de plus en plus précisément les actifs économiques et stratégiques des sociétés. La gestion de la sécurité ne peut être négligée, car elle représente une solution clé pour la protection de la réputation sur le web.
8 ) La technologie web 2.0
L’émergence des nouvelles technologies et en particulier du web 2.0 s’accompagne bien évidemment de nouvelles menaces. A l’instar des outils de communication puissants qu’elle met à disposition sur le web, la technologie a également permis de doter les pirates d’outils performants, pernicieux et capables d’adaptation rapide, comme par exemple lors d’attaques « 0-day ». Internet ne s’arrête jamais, tout comme ses attaques.
La solution: Anticipation et prévention.
Ainsi, et en conclusion à cet exposé, il est rappelé que la protection de la réputation de son entreprise revient à adopter une démarche structurée qui peut être résumée de la manière suivante:
-
Anticiper, cartographier et scénariser les flux d’informations de l’entreprise
-
Estimer la valeur de son patrimoine
-
Segmenter et hiérarchiser son information
-
Délimiter son périmètre
-
Sensibiliser les différents intervenants
-
Sécuriser ses échanges reposant sur des protocoles non maîtrisés ou des protocoles tiers
-
Sécuriser les outils
Une chose est sûre: Sur internet, un environnement en constante évolution, l’anticipation et la prévention restent les maîtres mots pour la gestion de sa réputation.
Marc Barbezat.