Tandis que la saison 2 de la série Mr Robot se termine, il est temps de se pencher sur l’intérêt pédagogique que peu avoir cette série américaine à succès – dont la diffusion a récemment commencé en France.
Si cette série séduit un large public, elle est aussi d’ores et déjà reconnue par les professionnels et les passionnées d’informatique pour sa justesse en terme de cyber sécurité – et devrait être conseillée aux chefs d’entreprises.
La fiction est souvent proche la réalité, mais dans le cas de Mister Robot c’est également l’inverse. La série vedette de USA Networks, Mr Robot, relate l’histoire d’un groupe d’individus – Fsociety – tentant de pirater une multinationale appelée Evil Corp. Et ce piratage pourrait avoir de lourdes conséquences pour l’entreprise, mais aussi pour l’économie mondiale dans son ensemble.
Sans dévoiler toute l’intrigue de la série, la technique choisie par Fsociety est simple : ils tentent d’obtenir l’accès à un système utilisé par un fournisseur externe de services informatiques gérés d'Evil Corp. Et la réalité semble s’inspirer de la fiction puisque de nombreux sites spécialisés détaillent les techniques utilisées dans les nombreux hacks de la série. Un groupe de hackers a par ailleurs publié des échantillons de code de ransomware, portant le nom de « fsociety ».
Même si les techniques de piratage semblent à l’écran beaucoup plus faciles qu’elles ne le sont en réalité, les experts de la sécurité informatique en entreprise devraient conseiller à leurs collègues de regarder Mr Robot – ou du moins quelques extraits sélectionnés. Nous le savons tous, en cyber-sécurité, l’éducation de chaque collaborateur de l’entreprise est primordiale puisque l’humain est régulièrement considéré comme le maillon faible et donc ciblé par les pirates comme en témoignent les nombreux cas de social engineering. Le fossé entre la destruction de toute une entreprise dans une série américaine et ce qui pourrait arriver dans la réalité n'est pas aussi grand qu’on aimerait le penser.
Evidemment, les péripéties informatiques ne constituent pas l’intégralité de l’intrigue – et certains pourraient ne pas apprécier l’introspection personnelle engagée par le personnage principal. Mais les parties concernant la sécurité informatique et les piratages sont tout à fait crédibles. Plus important encore, ces extraits illustrent les risques qu’encourent les entreprises en matière de sécurité d'une façon ludique et facilement compréhensible par la plupart des chefs d'entreprise et des collaborateurs.
Par ailleurs, amener les chefs d’entreprises et les directions financières à évaluer correctement les risques est aujourd’hui – dans un contexte budgétaire parfois difficile - le plus grand défi que doivent relever les professionnels de l’informatique.
Heureusement, la plupart des cadres et des entrepreneurs sont habitués à penser en termes de risques. Toute création d'entreprise comporte des risques. Les chefs d'entreprise passent généralement la plupart de leur temps à essayer de les évaluer, par rapport aux gains potentiels associés à une initiative. Mais, en termes de sécurité informatique, la plupart d'entre eux n’ont pas pleine connaissance des dangers et surtout de leurs potentielles conséquences. Ils comprennent que les logiciels malveillants peuvent infecter un système, mais ils ne mesurent pas l’étendu des dommages qu'un tel logiciel peut infliger à l'entreprise.
A titre d’exemple, le vol de propriété intellectuelle peut effacer des années entières d'investissements dans la recherche et le développement. Pourtant, le vol de plans de développement produit dans une entreprise lambda peut être un jeu d'enfants pour les pirates les plus sophistiqués. Les risques sont multiples : la petite entreprise pourrait se voir devancer par la concurrence tandis que l’entreprise cotée pourrait voir ses actions chuter. Un tel piratage peut éventuellement entrainer la faillite d’une entreprise ou des difficultés budgétaire poussant au licenciement. Voilà un scénario de risque que la plupart des chefs d'entreprise peuvent imaginer.
Le défi, pour les professionnels de la sécurité informatique d'aujourd'hui, consiste à remettre les risques associés à la sécurité informatique dans un contexte que les chefs d'entreprise peuvent comprendre, tout en continuant leurs initiatives de sensibilisation envers tous les collaborateurs de l’entreprise. Les professionnels de l’informatique doivent pouvoir identifier les principaux actifs de l'entreprise, puis expliquer en langage clair non seulement ce qu'il faut réellement pour les protéger, mais également les conséquences bien réelles que représente la perte de contrôle sur ces actifs pour l'entreprise.
C’est pourquoi Mr Robot devrait être conseillé à tous les collaborateurs d’une entreprise, et en particulier aux chefs d’entreprise. Au delà de l’histoire d’un simple groupe de hackers marginaux, c’est une nouvelle vision de la cyber-sécurité que propose cette série à succès. Si la paranoïa du personnage principal peut lui causer quelques torts, une légère paranoïa au sein des directions informatiques pourrait, elle, sauver l’entreprise.