Le champ d’application de la cybersécurité est très large ; la première image qui nous vient à la tête lorsque nous entendons le mot “cybersécurité” est un routeur, un firewall ou encore un serveur, bref que des éléments appartenant à un réseau et aux systèmes informatiques.

La réalité est très différente ; certes les routeurs, firewalls et serveurs font partie de la cybersécurité mais la réalité de cette discipline fait que la cybersécurité, c’est avant tout du management. En fait, la cybersécurité c’est avant tout de la sensibilisation, du management, de la mise en place de procédure, des comportements qui sont supportés par l’outil informatique. La cybersécurité n’existe pas si seul l’outil informatique est en place.

Un exemple pour illustrer ce propos ? L’actualité de cette semaine est riche et nous avons retenu ce virement phénoménal, de plusieurs centaines de millions d’USD qui a été fait depuis l’Inde, au nom de la citibank, avec un logiciel dont l’interface est archaïque.

D’abord, je vous invite à lire cet article :

https://www.developpez.com/actu/312723/Citibank-transfere-900-millions-USD-par-erreur-a-des-creanciers-a-cause-d-une-interface-utilisateur-de-logiciel-mal-concue-un-juge-statue-que-ces-derniers-ont-le-droit-de-ne-pas-renvoyer-l-argent/

Citibank © creative commons.

L’erreur date de décembre 2020 mais le jugement date de la semaine dernière : Citibank ne pourra pas récupérer le montant du virement.

C’est un sujet qui concerne assurément la cybersécurité et voici pourquoi :

Certes, l’archaïsme de l’interface utilisateur peut avoir favorisé ce genre d’erreur, mais selon notre analyse, plusieurs autres éléments doivent être attentivement examinés.

Le premier élément est une interrogation élémentaire : Comment l’employé d’un sous-traitant indien a t’il pu effectuer ce virement d’un montant colossal ? C’est ce qui nous a d’abord interpellé ; la sous-traitance indienne, très en vogue dans les entreprises il y a une dizaine d’années, était utilisée pour réduire drastiquement les coûts de traitement. Plusieurs flux des entreprises ont été délocalisés et c’est ce qu’on a appelé le BPO, acronyme de Business Process Outsourcing, délocalisation de procédures métier en Français. Il faut admettre que les délocalisations qui sont faites dans un pays émergent doivent concerner des tâches à faible valeur ajoutée. D’où notre interrogation… Notre étonnement concerne la délocalisation d’un réel savoir faire de l’entreprise, donc de la mise en danger de ce savoir faire ce qui est appelé dans le jargon de notre métier une “valeur métier” ou encore un “bien essentiel”, sauf à considérer que le traitement de valeurs financières substantielles ne sont pas constitutifs du savoir faire de ladite banque.

Le second élément est encore une interrogation : Quel est le niveau de sécurité du sous-traitant indien ? Ce qui nous a mis la puce à l’oreille est double ; d’abord ce sous-traitant a pu réaliser sans visiblement beaucoup de contrôles un virement d’un montant faramineux, ensuite il a pu sortir une capture d’écran de ce virement où on y voit clairement le nom du destinataire, REVLON. Aussi, nous sommes légitimement en droit de nous interroger sur le sérieux du traitement et du sous-traitant. Des inspections ont elles été réalisées par Citibank auprès de ce sous traitant ? Il serait urgent d’y penser…

Le troisième élément concerne la validation des montants concernés. Existe t’il des procédures de validation des montants des virements ? Si ces procédures existent et si le virement a été fait en accord avec ces procédures, y a t’il eu un souci de communication entre la banque et son sous-traitant ?

Faire appel à une société comme la nôtre, même si elle est de taille modeste, vous permet de vous prémunir de ce genre de risques ; nous vous permettons de les identifier et de mettre en place des procédures de correction ou d’évitement.

Pin It on Pinterest

Share This