La crise de Travelex, un cas d'école

Publié le 13 janvier 2020 par Patriceb @cestpasmonidee
Une nouvelle cyber-attaque sur une institution financière, un nouveau désastre de communication : alors que la britannique Travelex semble maintenant en bonne voie de restaurer ses services de change deux semaines après leur mise hors ligne pour cause de virus, on reste pantois de l'impréparation affichée face à cette crise de sécurité.
Les conditions de l'offensive, telles qu'on les connaît via les informations divulguées par l'entreprise et la police londonienne, ne sont guère originales. Un virus s'est répandu la veille du nouvel an sur le réseau interne de Travelex, suivi d'une demande de rançon de quelques millions de livres. La situation a rapidement conduit à une déconnexion de l'ensemble des services en ligne, à destination des consommateurs et des banques partenaires (HSBC, Barclays, Virgin Money…). Ils ne sont pas rétablis à ce jour.
Plus de deux ans après la grave alerte causée par Petrwrap (qui n'était pas la première), des acteurs de secteurs sensibles n'ont donc toujours pas intégré les risques auxquels ils sont exposés. Une réplique de l'incident aboutit aux mêmes conséquences, paralysant totalement les opérations de Travelex durant 15 jours (seules les transactions dans les bureaux de changes, gérées manuellement en l'absence de tout système informatique, restent possibles). Apparemment, aucun plan de contention n'était préparé.
L'établissement est vraisemblablement ancré dans une culture d'inviolabilité, désormais dépassée. Le principe d'une éventuelle intrusion, qui devrait pourtant être considérée comme inévitable, n'a pas été anticipé. Dès lors, quand survient l'impossible, la panique s'ensuit : tout s'arrête, les efforts de rétablissement sont désorganisés, aucune date de redémarrage ne peut être avancée, la communication en général est erratique…
Mais Travelex n'est pas seule à faire preuve d'une certaine légèreté dans cette affaire : bien que d'abord victimes indirectes, les banques qui recourent à ses services pour offrir des fonctions de change à leurs clients ont aussi des questions à se poser sur leur confiance quasi-aveugle vis-à-vis de leurs sous-traitants. Tandis que se développe la tendance à la composition d'offres complexes par assemblage de solutions émanant de fournisseurs tiers (vers la notion de plate-forme), le sujet est critique.
L'objectif n'est évidemment pas de prévoir des options de secours pour tous les produits externalisés. En revanche, il s'agirait d'admettre que tous sont exposés à un danger d'indisponibilité, potentiellement de longue durée, et d'élaborer des réponses adaptées dans ces circonstances, depuis la mise en place d'une stratégie de communication aussi précise que possible jusqu'à, peut-être, la recommandation de firmes concurrentes. La cible devrait être, comme toujours, de satisfaire les besoins des clients.
Aujourd'hui moins que jamais, les politiques de cybersécurité ne peuvent se contenter de mesures défensives et de protection des systèmes. Elles doivent également prendre en compte les plans d'action à mettre en œuvre en cas de crise, indispensables autant pour limiter les impacts sur l'image de l'entreprise, parfois plus dommageables et coûteux que l'accident lui-même, que pour assurer une continuité de service à tout prix aux utilisateurs qui, souvent, dépendent de leur institution financière au quotidien.

Phtoto par Tejvan Pettinger - Licence CC-BY 2.0