Aller au contenu
United States of Security

Politique internationale et disponibilité des SI

·808 mots·4 mins·
Sécurité IT Crise Embargo Exercice de crise GAFAM Slack
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

Sur la fin 2018, Slack est passé sous les feux des projecteurs pour avoir, par erreur, banni plusieurs comptes d’utilisateurs soupçonnés d’appartenir à des Iraniens. Dans un communiqué d’excuses, la firme américaine indique s’être conformée à la législation américaine, notamment en matière d’embargo concernant certains pays dont l’Iran. Si elle affirme ne se baser que sur l’adresse IP pour déterminer l’origine d’un utilisateur, certains s’étonnent d’avoir été bloqués alors qu’ils n’ont pas quitté le Canada.

Au-delà du problème du profilage géo-ethnique, intéressons-nous à l’impact potentiel de ce genre d’incidents sur une société française, que l’on appellera MIF (pour Made In France).

Le contexte

Avant d’avancer dans l’exercice, posons quelques hypothèses.

  • MIF a certes un gros bureau à Lyon, mais près d’un tiers de ses effectifs sont en télé-travail, dans toute la France.
  • Les salariés de MIF utilisent Windows, et sont sous la version 10 du logiciel puisque c’est la seule encore commercialisée. Le service d’annuaire est assuré par Microsoft Azure AD.
  • Dans un souci de simplicité, MIF n’exploite pas ses propres infrastructures de messagerie, elle paie un abonnement GSuite de chez Google.
  • Parce que la suite bureautique de Google fonctionne généralement bien, mais a tout de même des défauts, certains utilisateurs ont également une licence Office 365 par Microsoft.
  • Pour la communication instantanée, MIF a déployé Slack auprès de ses salariés. Le service informatique a toutefois constaté que deux groupes se sont formés : ceux qui utilisent Slack et ceux qui préfèrent Google Hangout.
  • La paie est externalisée à un des leaders sur le marché : ADP, par exemple, ainsi que les dossiers salariés.
  • C’est Salesforce qui a remporté l’appel d’offre pour la gestion de la relation client.
  • Pour l’image de marque, MIF a distribué des iPhones professionnels à tous ses collaborateurs.

Tout cela fonctionne très bien, certains de ces produits sont même capables de s’interfacer entre eux pour en faciliter l’utilisation. Notons par ailleurs que ces hypothèses, bien que spécialement choisies pour l’exercice, n’ont rien d’exceptionnel.

L’élément déclencheur

Tout cela fonctionne bien, seulement voilà, les USA sont réputés pour avoir un président un peu soupe-au-lait, qui a l’ordre exécutif un peu facile. Imaginons que ce qui est arrivé à l’Iran arrive maintenant à la France. Pour ne pas avoir respecté certaines sanctions américaines et ne pas vouloir s’y conformer dans un futur proche, la France est frappée d’un embargo technologique. Les entreprises américaines sont priées de cesser de lui fournir leurs produits et services.

Vous avez noté que MIF dépend lourdement d’acteurs états-uniens pour l’infrastructure de base de son Système d’Informations. À la manière de Slack en décembre 2018, les Microsoft, Google et autres Apple bloquent désormais les adresses IP françaises ainsi que les principaux fournisseurs de VPN.

Début d’exercice

Vous êtes le PDG de MIF, start-up française de plusieurs centaines de salariés en pleine croissance dans l’Union Européenne.

Vous apprenez ce matin sous la douche la décision des États-Unis sur une radio d’information en continu. En arrivant au bureau, votre ordinateur ne démarre plus, ceux de vos collaborateurs non plus. Qu’à cela ne tienne, il vous reste votre téléphone. Il fonctionne encore, mais impossible de synchroniser votre messagerie électronique. L’application Slack refuse de se connecter au réseau, au prétexte que votre compte entreprise a été désactivé.

Vous n’avez donc plus accès à l’annuaire de vos salariés ou de vos clients, plus accès à votre outil informatique, plus de messagerie électronique ou instantanée.

Questions :

  1. Comment rétablissez-vous le contact avec vos salariés, y compris ceux en télé-travail ? Comment versez-vous les paies mensuelles ?
  2. Comment informez-vous vos clients ?
  3. Comment maintenez-vous une activité en mode dégradé jusqu’à ce que diplomatie se fasse et que les services reviennent ?
  4. Si les services sont finalement rétablis après plusieurs semaines de tractation à haut niveau, comment revenez-vous à une activité normale ?
  5. Question bonus : après combien de temps chercherez-vous une solution de remplacement en urgence pour reconstruire votre SI ?

Vous avez 4 heures.

Les limites de l’exercice

Les hypothèses de départ sont évidemment choisies spécifiquement pour ce scénario. La situation n’est donc pas transposable telle quelle à toutes les entreprises. Néanmoins, elles sont réalistes, d’autant plus que l’on constate depuis plusieurs années une tendance à l’externalisation chez les GAFAM d’une partie des services essentiels des SI, y compris chez de grands groupes français.

L’élément déclencheur est lui plus discutable. Inimaginable avant 2017 en raison de la proximité diplomatique entre les deux pays, il entre dans le champ des possibles depuis. Il a en outre l’avantage de mettre en lumière une dépendance technologique de plus en plus forte et l’absence d’acteurs européens pour compenser. Le scénario le plus probable restant cependant l’erreur massive de l’un des GAFAM, ayant pour conséquence de désactiver temporairement l’un ou l’autre de ces services. Entre alors en jeu la chaîne des dépendances : perdre l’annuaire dont dépendent tous les autres revient à tout perdre.

Articles connexes

Décision d’adéquation pour les USA
·1908 mots·9 mins
Sécurité IT CJUE CNIL Commission européenne Données personnelles GAFAM Privacy Shield RGPD Schrems Trans-Atlantic Data Privacy Framework
On l’attendait depuis l’arrêt Schrems II, la Commission européenne a rendu une décision d’adéquation des USA au regard du RGPD. Véritable avancée ou nuage de fumée ?
Google or not Google?
·319 mots·2 mins
Brèves Sécurité IT Données personnelles GAFAM

Grande question, d’autant plus depuis les révélations sur les pratiques des services américains, et de certaines sociétés mondiales. Sont généralement visées les GAFAM, mais pas seulement.
La taxe « GAFA » et Criteo
·248 mots·2 mins
Brèves Criteo GAFA GAFAM Publicité Taxe
Une “pépite” française est dans la liste des entreprises visées par la taxe GAFA… Mais la France se tire-t-elle vraiment une balle dans le pied ?