Sécurité informatique : le CSE et la CSSCT doivent être informés (et consultés ?)

no-photo

Denis Duplan est sociologue des organisations (Sciences-Po Paris) et informaticien (UPMC), passionné par l’histoire et la pratique de la sécurité informatique. Il intervient depuis une douzaine d’années auprès des représentants du personnel dans le cadre d’expertises (CE et CHSCT, et désormais CSE).

L’enjeu de la sécurité d’un système d’information, c’est très simple. Qui pénètre ce système peut faire trois choses, soit dans l’ordre du moindre au pire : exfiltrer, censurer et polluer des données. Exfiltrer, c’était la mode d’hier : voler des données confidentielles, qui peuvent éventuellement permettre de pénétrer d’autres systèmes d’information – typiquement, le mot de passe malencontreusement réutilisé. Censurer, c’est la mode d’aujourd’hui : chiffrer des données essentielles et n’accepter de livrer la clé permettant de les déchiffrer que contre une rançon. Polluer, c’est la mode de demain : altérer des données sans permettre de savoir lesquelles, et saboter ainsi toute une chaîne de production ou de service. Inutile de dire qu’en matière d’attaques sur les organismes d’importance vitale, on n’a encore rien vu : quand, tel le technicien de la centrale nucléaire de Natanz, l’infirmière se demandera si le dosage qu’elle lit sur l’écran est le bon, nous aurons vraiment fait le tour du problème…

La copie, la destruction et l’altération de données peuvent engendrer des coûts économiques et sociaux considérables pour une organisation, jusqu’à menacer son existence, ou du moins la forme sous laquelle elle existe. Face à ce risque de dislocation organisationnelle, quelle place donner aux représentants du personnel dans sa prévention ? Comme elle ne semble jamais avoir été clairement posée, prenons un instant pour dégrossir la question.

Le monde est petit… et il est très méchant (1)

Depuis que l’informatique a fait son apparition dans les entreprises, les attaques contre leurs systèmes d’information n’ont fait que se multiplier. Connecté ensuite par la grâce d’Internet, le monde est devenu petit. Le problème, c’est qu’il est aussi devenu très méchant.

Si les éditeurs de logiciels considèrent désormais la sécurité comme un priorité – certes non sans avoir tardé, comme Microsoft qui célèbre le vingtième anniversaire du célèbre mémo Trustworthy Computing de Bill Gates cette année (2) – ce n’est pas avant longtemps que toutes les Directions de Systèmes d’Information (DSI) de nos entreprises, feront de même, ne serait-ce que parce qu’elles n’existent pas toujours, et que lorsqu’elles existent, elles ne disposent pas nécessairement des moyens requis. Par ailleurs, depuis le premier temps du phreaking – l’art de s’infiltrer dans les réseaux téléphoniques –, l’histoire de l’infiltration dans les systèmes de toute sorte démontre à l’envi que la première faille est humaine : Kevin Mitnick, « the world’s most wanted hacker » comme il s’est complaisamment décrit dans une biographie qui reste toujours bonne à lire dix ans plus tard (3), n’était-il pas un maître en matière de social engineering, cet art de soutirer de l’information sans violence, comme en papotant ou en faisant les poubelles ? Dès lors que le risque n’est pas seulement technique mais humain, l’ampleur de la tâche est immense.

Or un fait marquant depuis le début de ce siècle est que toute une industrie de l’armement s’est développée, qui met à disposition des gouvernements comme des mafias – sans compter les script kiddies, hackers en culottes courtes – des outils extrêmement puissants pour pénétrer ces systèmes et y implanter de quoi détruire, falsifier et/ou exfiltrer des données. Pour ce qui concerne les gouvernements, cette cruelle réalité a été tout particulièrement révélée au grand public à l’occasion de scandales à répétition, dont les moindres ne sont pas les révélations d’Edward Snowden sur la pratique de l’espionnage de masse par la National Security Agency (NSA) et celles de Citizen Lab sur le commerce interlope du groupe Niv, Shalev and Omni (NSO), éditeur de l’infâme Pegasus. Pour ce qui concerne les mafias, on citera des affaires de ransomwares tels que Wannacry ou encore Darkside, mais la distinction qu’il est possible d’opérer entre ces méfaits et les entreprises d’infiltration des états est très difficile à établir : pour bien des gouvernements, il est utile de pouvoir se reposer sur des crapules technophiles, voire simplement sur des hackers pas nécessairement mal intentionnés, mais en quête d’argent – c’est tout le commerce très lucratif du zero day, la faille de sécurité dans un logiciel que son éditeur n’a pas encore détectée (4).

Un enjeu pour les CSE, les entreprises et leurs salariés étant plus exposés que jamais

Pour les entreprises, le contexte est donc périlleux. Pour en prendre la mesure, il faut se rappeler qu’en 2012, Keith Alexander, directeur de la NSA, qualifiait de « greatest tranfer of wealth in history », c’est-à-dire de « plus grand transfert de richesses de l’histoire », le pillage de la propriété intellectuelle des entreprises américaines par la Chine infiltrant leurs systèmes d’information (5). Depuis, la situation s’est peut-être améliorée sur ce front, mais elle s’est considérablement dégradée sur d’autres, et cela dans tous les pays. Pour ce qui concerne la France, dès les premières lignes de son Panorama de la menace informatique en 2021, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) peint une situation des plus alarmantes, caractérisée par une « hausse continue du niveau de menace » du fait que « l’évolution de l’écosystème cybercriminel est marqué par une professionnalisation et une spécialisation constantes », et rappelle que « l’espionnage reste la première finalité poursuivie, notamment en France » (6).

En conséquence, les entreprises sont condamnées à s’investir toujours plus pour se défendre face à des ennemis dont les moyens ne cessent de croître. Si jamais la volonté venait à leur manquer, le développement de toute une régulation viendrait leur rappeler qu’elles ne peuvent y échapper. C’est que lorsqu’elles succombent à des attaques, les intérêts d’autrui peuvent être compromis : assureur, Etat, clients… Or aucun de ces acteurs n’entend légitimement faire les frais de l’impéritie des autres.

Tout cela coûte très cher, et ce coût n’est pas seulement économique, il est aussi humain. En effet, une entreprise doit investir pour prévenir le risque d’intrusion dans son système d’information, et par ailleurs faire face aux conséquences d’une telle intrusion quand elle survient.

Du point de vue d’un salarié, la sécurisation du système d’information peut se traduire par des contraintes supplémentaires qu’il faut respecter. Le salarié peut d’autant plus mal le vivre que ces contraintes ne font pas toujours sens pour lui, notamment parce qu’il peut les interpréter comme un manque de confiance de la part de l’employeur – quand ce n’est pas une volonté de le « fliquer » –, et qu’elles ne sont pas prises en compte dans l’évaluation de son travail, qu’elles ralentissent.

Au-delà, si en dépit de ces contraintes le système d’information est compromis, cela peut porter à conséquences pour le salarié qui l’utilise, non seulement parce qu’il peut ici encore être empêché dans son travail – devoir basculer sur un mode (très) dégradé, quand ce n’est pas ne plus rien pouvoir faire du tout –, mais aussi parce que sa responsabilité peut être mise en cause dans le cadre d’une instruction plus motivée par la recherche de bouc-émissaires que de failles dans le système d’information entendu au sens large, c’est-à-dire de système sociotechnique.

A vrai dire, utiliser un système d’information qui n’est pas sécurisé, c’est comme manipuler une machine qui n’est pas protégée. Autrement dit, c’est s’exposer à un danger avec la possibilité que cette exposition débouche sur un accident qui entraîne des dommages dont la gravité dépend de la prévention mise en œuvre. Quant à la nature de ces dommages, s’ils ne sont pas physiques, ils sont assurément psycho-sociaux : empêchement dans le travail, tension avec la hiérarchie, conflits avec les collègues, insécurité professionnelle, etc.

On le voit, la sécurité du système d’information n’est pas seulement un enjeu pour les conditions d’emploi : c’est aussi un enjeu pour les conditions de travail. C’est donc à double titre un enjeu pour le CSE.

L’éléphant étant dans la pièce, tout le monde fait l’autruche ?

Cela étant, force est de constater que les échanges entre directions et CSE sur la sécurité du système d’information sont le plus souvent cantonnés au contenu de la charte informatique, généralement annexée au règlement intérieur pour lui donner une juridique efficacité. Au-delà, le sujet n’est éventuellement abordé qu’à la marge et souvent par par des spécialistes lors d’occasions spécifiques – par exemple, lors de la présentation par le DSI du projet d’introduire un nouvel outil informatique, s’il se trouve qu’un représentant du personnel est du métier. En fait, chacun sait qu’il y a un enjeu, mais il est très difficile d’en parler. Comme le disent les anglo-saxons, c’est the elephant in the room – l’éléphant dans la pièce –, et pour poursuivre la métaphore animalière, on dira que cela conduit à faire l’autruche.

A la décharge des parties, le sujet est assurément complexe. Enfin, pour être plus juste, c’est qu’il peut rapidement le devenir. Lancez la conversation sur le risque d’intrusion sur le réseau local lors d’une réunion de CSE, et vous risquez d’entendre un représentant du personnel qui est du métier se mettre à discuter des règles de filtrage de ports TCP au niveau du pare-feu avec le DSI. La conversation, sinon l’empoignade, indéchiffrable pour vous, se terminera vraisemblablement par des assurances de l’un que le risque existe, et de l’autre qu’il est prévenu. Pour votre part, vous serez conforté dans votre crainte d’aborder le sujet de peur de n’y rien comprendre, ou tout simplement de passer pour un âne. Tout le monde en restera là, et se reverra pour en discuter encore moins cordialement quand l’enjeu sera devenu un problème.

Une nécessité, c’est donc d’éviter d’en arriver à ce que personne ne parle de la sécurité informatique au sein du CSE, ou alors quand il est trop tard. Cela implique de traiter cette sécurité pour ce qu’elle est, un enjeu qui mérite une attention permanente de tous, et partant une éducation généralisée, au même titre que les résultats économiques, la politique de formation, l’égalité professionnelle, et tous ces autres sujets sur lesquels les représentants du personnel doivent être formés et informés, voire même consultés.

En l’état de l’art où les lois et règlements en vigueur n’ont pas encore rajouté explicitement la politique de sécurité informatique de l’entreprise à cette liste – mais qui sait, un juge astucieux pourrait bien un jour l’en exciper –, un travail de pédagogie porté spontanément par l’entreprise s’impose. Au-delà, comme les représentants du personnel passent et que leurs représentations restent, l’entreprise devrait fournir au CSE les moyens de traiter de la sécurité informatique au sein d’une commission qui, si elle n’y est pas spécifiquement consacrée, devrait a minima être une « commission informatique » qui traite des enjeux relatifs à l’informatique dans l’entreprise : déroulement de projets, recours de la sous-traitance, …et donc sécurité informatique. Pour ce qui concerne spécifiquement ce sujet, cette commission pourrait commencer par plancher sur l’inscription des risques résultant d’une infiltration dans le système d’information au Document Unique d’Evaluation des Risques Professionnels (DUERP).

Impliquer les représentants du personnel, c’est renforcer la DSI

C’est dans l’intérêt de tout le monde, en premier lieu de la DSI. On le sait, comme toutes les directions des fonctions dont la contribution directe à la production n’est pas immédiatement perceptible, la DSI est souvent traitée comme une direction support, et partant un centre de coûts et non de profits. L’histoire de la DSI, c’est l’histoire d’une direction qui cherche à être prise au sérieux, et qui n’y parvient qu’au prix d’un temps infini d’acculturation de la Direction générale au début de ce siècle à reconnaître, bien obligée de reconnaître l’importance du numérique au point d’élaborer des stratégies qui ouvertement s’en revendiquent (7).

Si globalement chacun a désormais bien conscience de la centralité du rôle de la DSI dans l’entreprise en tant que productrice de services à valeur ajoutée, ce n’est pas nécessairement le cas pour la sécurité informatique, qui constitue somme toute un volet récent de ses occupations. La spécialisation de certains de ses acteurs dans le sujet, l’apparition d’un Responsable de la Sécurité Informatique (RSSI) tout d’abord, remonte presque à hier. La fonction reste mal comprise, d’autant plus qu’à l’instar de la qualité et de la compliance, les salariés pris par la nécessité de produire au quotidien ont nécessairement la tentation d’y voir un bâton de plus que l’on voudrait leur mettre dans les roues. En retour, il est peut être pénible, usant, et pour finir décourageant, de « vendre » la sécurité informatique à ces derniers.

L’erreur à ne pas commettre pour un RSSI de nos jours, c’est de s’enfermer dans sa tour d’ivoire comme le DSI des années 70, en se retranchant derrière un « Je vous avais prévenu ». D’ailleurs, ce serait d’autant plus contre-productif qu’il pourrait manquer d’avoir prévenu, faute d’avoir été attentif à des signaux faibles, ne serait-ce que les ronchonnements de salariés sur le caractère contraignant de la nouvelle longueur minimale des mots de passe qui ne va pas manquer de déboucher sur une audacieuse floraison de Post-it.

Ça tombe bien, les ronchonnements des salariés, les représentants du personnel, ils connaissent. Non pas qu’ils ronchonnent eux-mêmes, mais que les salariés viennent plus souvent que parfois les voir pour se répandre en ronchonnements, non sans raison. Dans ces conditions, le RSSI – à défaut le DSI – a tout intérêt à dialoguer avec ces représentants pour savoir s’il n’y aurait pas là-dedans des sources de mécontentements qui peuvent témoigner ou engendrer une faiblesse dans la sécurité du système d’information

Impliquer les représentants du personnel, c’est protéger les salariés

Formés et informés, les représentants du personnel peuvent aider les salariés à mieux comprendre les enjeux de la sécurité informatique dans l’entreprise, et contribuer ainsi à ce que les salariés ne se mettent pas en danger – et avec eux, toute l’entreprise – sans le savoir. Affirmer cela, ce n’est pas dire que les représentants du personnel doivent devenir des relais opérationnels du RSSI, mais simplement qu’ils ne doivent pouvoir contribuer à protéger les salariés quand l’occasion manifestement se présente.

A l’inverse, formés et informés, les représentants du personnel peuvent protéger les salariés contre les abus. Comme dans tout ce qui relève de la sécurisation, le risque en matière de sécurité informatique est de basculer dans le sécuritaire. Sans qu’il s’agisse de mettre en place des dispositifs ostensiblement illégaux pour servir des objectifs inavouables poursuivis par quelques-uns, il peut simplement s’agir d’adopter par excès de zèle des mesures qui, au prétexte de protéger l’entreprise, attentent sinon aux droits, du moins à la dignité des salariés. S’ils peuvent tirer la sonnette d’alarme, les représentants du personnel peuvent protéger l’entreprise contre elle-même.

Enfin, il faut considérer la place particulière que les représentants du personnel occupent dans le système d’information de l’entreprise, et cela à deux titres.

Tout d’abord, ces représentants sont dans ce système en tant qu’il contient des données sur eux. Ces données doivent être protégées. Il s’agit non seulement des données qui les concernent en tant que salariés, mais aussi de celles qui les concernent en tant représentants du personnel. Ces données doivent faire l’objet d’une protection toute particulière, et non pas être traitées comme des données qui traînent à côté car rien n’a été prévu pour les sécuriser. Ainsi, une responsable des ressources humaines ne doit pas avoir à laisser traîner des notes prises dans le cadre d’un échange avec un représentant du personnel sur une Dropbox qu’elle a créée elle-même, car c’est la seule solution qu’elle a trouvée : la DSI doit être en mesure de lui proposer quoi faire des données recueillies à cette occasion.

Ensuite, les représentants du personnel sont dans le système d’information de l’entreprise en tant qu’ils en utilisent une extension. En effet, ils collectent nécessaire des données sur l’entreprise et ses salariés pour alimenter des bases de données nécessaires au fonctionnement de leurs organisations syndicales et des œuvres sociales. Le système d’information qu’ils utilisent à cette fin doit être considéré comme partie intégrante de celui de l’entreprise, ne serait-ce que parce qu’il y est de ce fait logiquement relié : quand bien même il ne serait pas connecté au réseau de l’entreprise, qui infiltrerait l’ordinateur du CSE pourrait accéder à des informations lui permettant d’infiltrer le réseau en question par moyens d’ingénierie sociale et technique.

Aider les CSE, c’est aider les entreprises, c’est aider la France

Oui, cet intertitre est assez ronflant, mais il sera justifié.

Les systèmes d’information sont désormais tellement formellement et informellement interconnectés que la compromission d’un système peut entraîner en cascade la compromission de beaucoup d’autres. Noter que cela peut partir de rien. Par exemple, qui récupère sur le dark net la base de données subtilisée d’un réseau social qu’un salarié X fréquente peut toujours tenter sa chance pour voir si X n’a pas utilisé ce même mot de passe pour accéder au système d’information de son entreprise (8). Dans ces conditions, faut-il décrire avec quel délice le hacker qui cherche à pénétrer le réseau d’une entreprise pourrait contempler la base données des salariés qui traînerait sur le serveur mal protégé des œuvres sociales gérées par un CSE ? C’est « miam » puis « slurp », assurément.

Bref, une fois que l’on est rentré dans un système d’information, the sky is the limit. Les états du monde entier n’ont pas manqué de le comprendre, et c’est bien pourquoi, depuis des dizaines d’années, nous sommes engagés depuis dans une cyberguerre mondiale – une vraie « guerre » pour le coup, pas celle qu’un schtroumpfissime déclare à un microbe. Pour notre malheur, faute de régulation internationale, la seule doctrine qui a émergé vise à établir un nouvel équilibre de la terreur en infiltrant les systèmes d’autrui à tout va, quitte à devoir jouer des coups de billard à plusieurs bandes – à la limite, c’est plus discret (4). La menace qu’un pays cherche à faire peser sur un autre, c’est de paralyser à distance ses infrastructures, et même de les détruire. La Russie n’a pas manqué de le faire à répétition contre l’Ukraine depuis une décade (5). C’est la loi de la jungle.

En 2009, la France a fait le choix de se doter d’une agence spécialisée dans la défense de systèmes d’information : c’est l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Comme on le dit dans le milieu, l’ANSSI, c’est blue team, et pas red team : la défense, pas l’attaque (9). Autrement dit, l’ANSSI n’est pas censée s’introduire par effraction dans des systèmes d’information pour exfiltrer / censurer / polluer des données : ce registre d’action relève de la compétence de notre police et de nos armes.

Noter que même si cela peut relever de la figure de rhétorique au niveau technique, distinguer ainsi les genres au niveau institutionnel est tout à fait judicieux, car cela permet de s’épargner un débat qui a contribué à la compromission des systèmes d’information outre-Atlantique. Là-bas, les entreprises, éditeurs de logiciels en tête, déjà peu disposées à répondre à toute injonction d’investir dans leur sécurité informatique car elles n’y voyaient pas un enjeu, ont pu considérer avec méfiance, pour ne pas dire hostilité, les agences spécialisées dans la sécurité informatique, parce qu’elles ont joué à leur dépens sur les deux tableaux (10). Rien ne serait plus terrible pour l’ANSSI que de sortir un jour de son rôle.

L’ANSSI a très bonne réputation. Toutefois, pour aussi volontaire et efficace qu’elle soit, elle can only do so much – formule anglo-saxonne moins déprimante pour dire qu’elle ne peut pas tout faire. Si l’ANSSI s’emploie ardemment à disséminer la connaissance non seulement par ses actions de sensibilisation, mais aussi en jouant le rôle d’un vivier qui alimente tout un écosystème de la sécurité informatique – généralement, on « passe » à l’ANSSI avant de rejoindre une entreprise quand ce n’est pas pour créer une start-up –, il est clair qu’elle ne peut être présente en permanence aux quatre coins du pays.

Qu’on le veuille ou non, la sécurité informatique, c’est l’affaire de tous, tout ne peut pas reposer sur les épaules du pompier de service – sans compter qu’il est déjà bien tard quand on en vient à appeler ce pompier. Dans le contexte qui vient d’être décrit, les entreprises doivent se prendre en main, ce qui implique de mobiliser les salariés. Partant, le bon sens impose que les représentants du personnel soient mis dans la boucle, pour alimenter la réflexion sur la politique de sécurité informatique et éviter des dérives. Au regard des enjeux pour tout le monde – l’entreprise, mais aussi toutes les organisations qui sont en rapport avec elle, et finalement pour le citoyen lambda –, ce n’est pas être grandiloquent que de dire qu’aider les CSE à se saisir de la sécurité informatique comme d’un enjeu pour leurs entreprises, c’est aider les entreprises, donc c’est aider la France.

Le titre de cet article aurait pu recourir au conditionnel : « Sécurité informatique : le CSE et la CSSCT devraient être informés (et consultés ?) ». Toutefois, son objectif était de faire comprendre que désormais, le sujet ne peut plus être abordé que sur le mode de l’impératif. Il est plus que temps que les entreprises permettent aux représentants du CSE de traiter de la sécurité informatique en tant que telle en les formant à ce sujet et en leur donnant les moyens de travailler dessus, et plus généralement sur celui de l’informatique, au sein d’une commission spécialisée. Très concrètement, pour faire vivre le sujet, et considérant les conséquences dramatiques qui peuvent en découler pour les salariés, cette commission pourrait commencer par plancher sur l’inscription des risques résultant d’une infiltration dans le système d’information au Document Unique d’Evaluation des Risques Professionnels (DUERP).

Références

(1) Lee Van Cleef et Klaus Kinski, dans For a Few Dollars More.

(2) Gupta A., Celebrating 20 Years of Trustworthy Computing, Microsoft, 2022.

(3) Mitnick K., Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker, Little, Brown and Company, 2011.

(4) Perlroth N., This Is How They Tell Me the World Ends: The Cyber Weapons Arms Race, Bloomsbury Publishing, 2021.

(5) Greenberg A., Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers, Doubleday Books, 2019.

(6) ANSSI, Panorama de la menace informatique en 2021, 2022.

(7) Ce combat pour la reconnaissance de la DSI a été tout particulièrement mené par le Cigref. Aujourd’hui, pour ce qui concerne la sécurité informatique, c’est plus particulièrement le Clusif.qui s’y emploie.

(8) Rhysider J., The Linkedin incident, Darknet Diaries, 2021.

(9) Décret n° 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information ».

(10) Kaplan F., Dark Territory: The Secret History of Cyber War, Simon & Schuster, 2016.

DEGEST

E-mail