Votre base de données avec des informations personnelles sera piratée

Vous avez un site Web qui collecte des données, par exemple via un formulaire ? Ces données contiennent des informations personnelles ? (Rappelez-vous que ce n’est pas parce que le nom de l’utilisateur n’apparait pas que ce n’est pas une donnée personnelle.) Eh bien, vos données seront piratées un jour, c’est certain. Si vous pensez que non, c’est que vous êtes plus fort en sécurité que Sony, Equifax, l’Express et Yahoo.
La question n’est donc pas d’empêcher le piratage, mais « que faire avant » et « que faire pendant ». Avant, vous *devez* vous habituer à récolter moins de données, principe déjà posé par la loi Informatique et Libertés… en 1977. Vous avez vraiment besoin du genre de l’utilisateur ? Et de sa date de naissance ? Et de son numéro de téléphone ? Et, si oui, vous avez vraiment besoin de le garder aussi longtemps ? Moins de données, c’est aussi moins d’ennuis POUR VOUS.
Et pendant la crise ? Si vous voulez gérer la crise comme toutes les autres boites : 1) ignorez les signalements et les alertes 2) niez tout 3) avouez finalement à contre-cœur la fuite, en la minimisant, quitte à mentir.
Toutes les entreprises citées plus haut ont procédé ainsi, pourquoi pas vous ?
Non, en fait, c’est une blague, on proposera une meilleure gestion des fuites de données.

Bonjour. Tout le monde m’entend bien ?
Je m’appelle Stéphane Bortzmeyer, je travaille à l’Afnic [1] qui est le registre des noms de domaine. Si vous avez des questions sur les noms de domaine, sur votre.fr ou tout ça, n’hésitez pas à me venir me voir. Le sujet d’aujourd’hui n’est pas sur les noms de domaine c’est sur le piratage des bases de données personnelles. Le message important et, une fois que je l’aurais donné, vous pourrez quitter la salle si vous voulez, c’est que de toute façon votre base de données sera piratée un jour ou l’autre. Il y a eu des tas d’exposés, à Paris Web ou ailleurs, sur la sécurité des données, comment les sécuriser, comment les protéger, c’est très bien, il faut le faire, mais il y a un point qui a plus rarement été traité c’est que fait-on quand ça n’a pas marché ?, et tôt ou tard ça ne marchera pas.
Bon exemple déjà, en fait c’est pour sauver la planète que mon ordinateur éteint son écran automatiquement au bout de quelques secondes d’inutilisation, c’est plutôt une bonne idée.
Autre point je suis un utilisateur du réseau social Fediverse [2], Mastodon, Pleroma et compagnie, j’avais lancé un petit défi que si j’avais plus de 1000 « repouètes » de mon message je venais avec un tee-shirt de la boutique de l’Élysée. Je n’en ai eu que 500, ce n’est pas assez, donc je n’ai pas pris un vrai tee-shirt de la boutique de l’Élysée, j’en ai acheté un sur une autre boutique mais avec une phrase du même auteur [Emmanuel Macron : « Je traverse la rue et je vous trouve un emploi », NdT], donc ça convient aussi et c’est un sujet qui vient souvent à Paris Web, il y a des gens qui se promènent avec le badge « Je cherche un job », eh bien ils ont tort de venir à Paris Web pour ça, ils devraient plutôt traverser la rue.

[Applaudissements]

Le public visé, vous, ce sont les gens qui ont un site web qui collecte des données personnelles. En pratique, à Paris Web, ça fait vraiment beaucoup de monde, une grande partie du public. Il y a une chose qu’il faut rappeler, c’est évident depuis longtemps, je m’excuse pour ceux qui savent, mais les gens oublient souvent. « Personnelles » ce n’est pas uniquement quand il y a le nom de la personne dedans. Dans des réunions j’ai vu des tas de fois des gens écarter un problème de protection des données personnelles en disant « il n’y a pas les noms des personnes dans la base ». Ça n’est pas une bonne raison. Ce sont des données personnelles à partir du moment où on peut retrouver la personne avec, en général c’est bien plus simple que ça n’en a l’air.
En pratique, les gens qui sont concernés c’est quasiment tout le monde, sauf si vous faites un site web statique avec juste quelques pages HTML dessus, mais dès que vous récoltez des données, même dont vous avez l’impression qu’elles ne sont pas personnelles, elles peuvent l’être.
Les exemples de piratage avec fuites de données personnelles c’est tout le temps. Je n’en avais pas préparé avec de soumettre ma conférence à Paris Web parce que j’étais sûr qu’entre le moment où je répondais à l’appel à conférence et Paris Web j’aurais des tas d’exemples et je n’ai pas été déçu, il y en a eu plein. Par exemple British Airways le 13 septembre, il n’y a pas longtemps, voilà ce qu’ils affichaient sur leur site web [3]. Ils se sont fait piquer des centaines de milliers de données personnelles sur les gens, leur numéro de carte bancaire, des choses comme ça, c’est un peu embêtant mais c’est banal. J’ai pris British Airways parce que c’est récent, pas parce qu’ils étaient les pires ou parce qu’ils se sont le plus mal débrouillés. D’ailleurs ils ont fait la communication, c’était sympa.
Du point de vue technique il y a eu une analyse après. La raison technique pour laquelle ils se sont fait piquer leurs données c’est parce qu’ils chargeaient du JavaScript depuis un site tiers, le site tiers piraté, JavaScript piraté chargé. Je vous renvoie à l’excellente conférence d’April King [4] hier qui expliquait la Content Security Policy pour ne pas charger depuis des sites tiers ou, si on le fait, mettre un hash du code JavaScript dedans pour que, s’il a été changé ça ne soit pas exécuté, des choses comme ça. Les détails techniques ne sont pas importants. British Airways aurait pu faire mieux, ils auraient pu éviter de charger du JavaScript tiers n’importe comment mais tôt ou tard on aura une erreur. Il n’y a pas qu’eux qui ont une erreur.

Un autre exemple c’est Twitter. Le 10 septembre, quand on se connectait sur Twitter on avait un message disant qu’il y avait une bogue sur l’API ce qui permettait à des développeurs d’applications tierces de récupérer les messages privés, théoriquement privés, vendus comme étant privés sur Twitter.
Là encore je ne veux pas taper spécifiquement sur Twitter, le point ce n’est pas de se moquer d’une boîte ou de l’autre, c’est de rappeler que les problèmes sont des problèmes fréquents, ça arrive tout le temps.

L’ONU aussi. Eux, par contre, n’ont pas communiqué. Les deux précédents messages que vous voyez c’est la boîte qui a communiqué, prévenu les gens de la faille de sécurité, l’ONU ne l’a pas fait. En plus, ce qui est rigolo, c’est qu’il n’y a pas de piratage volontaire, c’est simplement qu’ils avaient laissé tout un tas de documents, y compris des choses avec les noms des gens, leur numéro de téléphone, leurs mots de passe, traîner sur des serveurs publics. Juste avant on a parlé de CouchDB, c’est étonnant le nombre de serveurs CouchDB, MongoDB, etc., qui sont grand ouverts sur l’Internet où il y a plein de données. Il y a les noms ici, ils en avaient mis certains sur Google Docs, des listes de mots de passe sur Google Docs ce n’est pas une idée géniale et leur Jira [5] était mal configuré. Qui est-ce qui utilise Jira dans la salle ? C’est très bien mais souvent, dans Jira, on met des informations un peu sensibles, c’est du travail en cours, donc attention à ne pas l’exposer à toute la planète.

Le message vraiment important c’est que vos données seront piratées un jour. Régulièrement, quand il y a une réunion ou une analyse des problèmes de sécurité avant la création d’un nouveau service, on voit quelqu’un qui assure d’un ton très ferme « non, non, il n’y a pas de problèmes, nous sommes sécurisés ». Il y a quelqu’un dans la salle qui dit « mais quand même, est-ce qu’on ne récolte pas un peu trop de données ? Si elles fuitent on aura l’air bête, on parlera de nous à Paris Web, c’est gênant » et là le chef répète « non, non, c’est sécurisé, il n’y a pas de problèmes ».
Rappelez-vous que les gens qui, dans les réunions, parlent avec assurance, certitude, des fois ils disent n’importe quoi. Il faut se le dire ! On est habitué à juger ce que disent les gens en fonction de leur degré de certitude dans la voix, ce n’est pas toujours une bonne façon de procéder. Des fois il y a des gens qui disent absolument n’importe quoi. Je me souviens d’une réunion où on parlait de données médicales, un médecin est venu avec une blouse blanche à la réunion. Il n’y a pas besoin de blouse blanche à une réunion, quand il travaille à l’hôpital je comprends, mais à une réunion quel est l’intérêt ?, à part pour impressionner et pour dire n’importe quoi en termes de sécurité. J’avais fini par lui dire « docteur on fait un pacte, je ne parle pas de pneumologie et vous ne parlez pas de sécurité informatique. »
Le point important c’est que les données seront piratées un jour et même si on vous dit non eh bien si, sauf, effectivement, si vous êtes très fort en sécurité informatique, si vous êtes super fort en sécurité informatique. Il y a des boîtes comme ça, il n’y a pas souvent de fuites de données personnelles chez Google, il y en a même très peu, ils prennent la sécurité très au sérieux et, globalement, c’est bien protégé. Ça ne veut pas dire qu’ils n’auront pas de problèmes, il y en a déjà eu un petit peu, ça veut dire qu’ils sont plutôt bons. Le problème c’est que tout le monde n’est pas aussi bon, plus exactement tout le monde n’a pas forcément les moyens, à la fois financiers et organisationnels, pour le faire. Quand les gens me disent « nous ne serons pas piratés », ouais, d’accord, si vous êtes effectivement exceptionnels. Dans ce cas-là, si vous êtes exceptionnels à ce point, vous n’allez pas suivre mes conférences, les gens qui font la sécurité à Google ne vont pas écouter mes conférences à Paris Web. Pour des gens un peu plus ordinaires, et ça peut inclure des grosses boîtes comme celles que j’ai données en exemple avant, oui, celles-là seront piratées un jour. Sony a été piratée, Equifax aussi, des grosses boîtes avec des moyens. Bristih Airways, Yahoo sont vraiment les plus nulles des nulles, mais il y en a dans le lot qui n’étaient pas mauvaises ou ridicules. Yahoo ça a toujours été n’importe quoi malgré toute la campagne de comm’ qu’il y avait eu avec la nouvelle PDG, elle n’a pas fait mieux que les autres, mais, dans le lot, il y avait des boîtes qui n’étaient pas ridicules en sécurité, qui faisaient des efforts raisonnables. Les efforts raisonnables ça ne suffit pas, donc un jour ou l’autre on est piraté.
Je n’ai pas cité le dernier, vendredi dernier Facebook aussi avec la fuite de données personnelles qui lui est arrivée. Avant la fuite des données personnelles, Facebook les vendait. Là ils se sont fait pirater, c’est plus embêtant.
Tout ceux-là ont été piratés, donc si vous dites je suis plus fort que Sony, Equifax, L’Express, British Airways et Yahoo, OK. Peut-être, mais ce n’est pas le cas de tout le monde.

Attention à ne pas confondre le message, ça ne veut pas dire qu’il faut renoncer à toute mesure de sécurité, qu’il faut laisser tomber, de toute façon on s’en fout, à Paris Web le type a dit qu’on serait piraté donc on ne fait plus attention. Non ! Évidemment non ! C’est un peu comme de dire un jour on meurt donc je ne vais pas prendre de précautions particulières en traversant la rue. Évidemment non. Vous cherchez à retarder le problème, à en minimiser les conséquences, donc bien sûr il faut prendre des mesures de sécurité, c’est évident. En plus c’est une obligation légale. De toute façon il faut le faire. Il y a eu déjà pas mal d’exposés là-dessus à Paris web ou ailleurs. Vous en avez déjà entendu parler ou, si vous êtes responsable d’une base de données avec des données personnelles, vous avez une idée des risques et des mesures de sécurité nécessaires. Par contre, j’ai vu très peu de gens parler du jour d’après, des ennuis, de ce qui se passe ensuite, donc de se préparer à ça en disant ça va arriver.
Là encore, pour reprendre un exemple sinistre mais utile et commun à tout le monde, on sait qu’on va mourir un jour, on prend de précautions, on prend une assurance-vie, des choses comme ça, et on fait quand même attention en traversant la rue.

Il faut être conscient du problème qui arrivera et il faut se préparer.

Que peut-on faire avant ? Avant le piratage des données personnelles ?
À chaque fois il y a deux méthodes : faire comme tout le monde ou faire correctement.
Faire comme tout le monde c’est répéter « on est sécurisé, on est sécurisé, il n’y a pas problème, on est super sécurisé ». Là vous pouvez balancer des mots. Par exemple quand quelqu’un dit à propos d’un fichier « les données sont anonymisées », ça doit tout de suite faire un signal d’alarme. Les gens disent ça en général n’importe comment. En général, quand ils disent « c’est anonymisé », ça veut dire « on a remplacé le nom d’utilisateur par un ID Informatique et ils appellent ça anonymisé. Non, ce n’est pas ça anonymiser. Anonymiser c’est faire en sorte qu’on ne puisse même pas tracer plusieurs actions du même utilisateur parce que si on peut en tracer plusieurs, tôt ou tard on pourra en déduire qui il est. Depuis dix ans il y a eu énormément d’articles scientifiques publiés sur la désanonymisation, c’est-à-dire comment, à partir d’un jeu de données où il n’y a pas le nom des gens, retrouver les noms, comment, à partir d’un jeu de données où les actions du même utilisateur n’étaient pas corrélées, comment retrouver que c’est le même utilisateur, c’est un sujet sur lequel on a fait énormément de progrès grâce à big data, machine learning et leurs copains. Donc en général, quand quelqu’un qui n’est pas un expert en sécurité dit que la base est anonymisée, c’est plutôt inquiétant, c’est plutôt mauvais signe.

Si vous voulez rassurer les gens, vous pouvez ajouter des termes techniques : cryptage, cryptement, vous citez des chiffres, personne ne sait ce que ça veut dire, mais vous dites « notre base de données est cryptée en 4096 bits », il y a peu de chances que dans la salle il y ait un expert en sécurité qui puisse dire « c’est n’importe quoi », et même s’il le sait il n’osera pas le dire.
En anglais c’est encore mieux, vous dites que vous êtes sécurisé military-grade, ça marche bien, ou bien vous citez des normes, vous dites « on est compatible avec… » et là vous citez une série de normes, ça n’a même pas besoin d’être des vraies, les gens ne les connaissent pas, et là aussi ça impressionne, ça donne l’impression que quelque chose va fonctionner.

Ces méthodes-là marchent. Vous pouvez aussi rajouter des protections physiques. Là on parle d’informatique mais la plupart des réflexes de sécurité qu’on a, nous êtres humains, viennent d’un monde où les dangers étaient physiques. On tend toujours à être plus rassuré quand on est dans une pièce fermée que quand on est dehors par exemple. En informatique ça ne devrait pas jouer, mais nos réflexes continuent à fonctionner comme ça. L’exemple le plus beau avait été pour la base Aadhaar qui était la base de données des citoyens indiens. Lors d’une réunion où les gens s’inquiétaient de la sécurité des données de Aadhaar, l’Attorney General avait dit « aucun problème, le datacenter est entouré par des murs de 13 pieds de haut ». Ça avait fait évidemment toute une série de plaisanteries et on voyait dans la presse indienne tout un tas de caricatures avec des murs, des variantes de murs.
À votre avis, après les déclarations de l’Attorney General il s’est écoulé combien de temps avant que la base soit piratée, que toutes les données fuient ? Un mois. Un mois après la base était piratée malgré les murs de 13 pieds de haut. C’est un bon exemple de ce que font la plupart des boîtes et qu’il ne faut pas faire.

En fait en vrai, les vrais conseils, sérieux, ce n’est pas de faire ça, c’est premièrement de minimiser les données. Minimiser les données ça commence par le truc le plus radical qui soit : est-ce qu’on a vraiment besoin de faire un fichier de données personnelles ? Hier, par exemple, le gouvernement a annoncé, dans le cadre du plan pour protéger les gens du porno, la création d’une base de données où les gens devraient s’enregistrer pour indiquer qu’ils ont plus de 18 ans et qu’ils veulent aller voir du porno. Ensuite les fournisseurs d’accès, ou quelqu’un d’autre sur le trajet, bloquerait si on n’a pas un token issu de cette base. On va donc faire une base de données, nationale, des gens qui disent « je veux voir du porno en ligne ». Quand j’ai lu ça j’ai vérifié l’URL, il n’y avait pas de gorafi.fr, je me suis dit ça doit être un concours des mauvaises idées, il doit y avoir entre ministres un concours des mauvaises idées et effectivement celui-là mérite un prix !
La première question à se poser quand on parle de minimisation des données, c’est est-ce que vraiment on a envie de faire un fichier de données personnelles ?, sachant que ce n’est pas un avantage pour la boîte, ça peut être, au contraire, une responsabilité, voire il peut y avoir un prix à payer.

Si on veut quand même faire une base de données, il faut au moins la réduire. Dire que le bonheur ne vient pas forcément de la collecte massive des données, au contraire, ça peut entraîner des tas d’ennuis. Comme le disait Laurie-Anne Bourdain [6] hier dans son exposé sur les données personnelles « si votre base de données avec des données personnelles fuit le vendredi soir vous allez passer un très mauvais week-end ».

N’écoutez pas forcément ce qu’on vous raconte, « les données sont le pétrole du 21e siècle ». C’est peut-être vrai quand vous êtes Facebook, vous avez les moyens de les exploiter et d’en tirer effectivement beaucoup de fric, mais la plupart des boîtes stockent des données sans trop savoir pourquoi juste en disant « on ne sait jamais, ça peut servir » ou « ils ont dit à la télé que ça serait le pétrole du 21e siècle », et c’est en général une mauvaise idée.
Pour chaque donnée il faut se demander si on en a vraiment besoin, si c’est vraiment nécessaire.

Un exemple que j’aime bien ce sont les dates de naissance. Pourquoi ? Les dates de naissance c’est assez sensible. Vous allez me dire que ce n’est pas un secret, ce n’est pas comme le fait qu’on regarde du porno ou des trucs comme ça. Si, parce que c’est un élément assez précis qui peut donc permettre la réidentification, par exemple croiser deux bases de données et découvrir que c’est le même utilisateur si on a la date de naissance.
Des fois on me dit que c’est pour vérifier que les gens sont majeurs ou bien c’est pour faire des statistiques sur l’âge. Dans ce cas-là vous n’avez pas besoin de la date ! Pourquoi demander la date de naissance complète ?, l’année suffirait et si c’est pour de statistiques probablement qu’une plage de dix ans suffirait même largement.
C’est ça la mentalité minimisation des données et c’est ce qu’il faut faire avant. J’en ai déjà parlé à Paris Web, je ne vais pas insister, mais c’est le point important, minimiser les données. Ne vous dites pas « plus en a mieux c’est » sinon, comme je dis, vous allez passer un mauvais week-end.

En plus, argument final et définitif, c’est une obligation légale. Déjà dans la loi informatique et libertés, c’est encore plus rappelé dans le RGPD [7], en encore plus gros. Là encore je vous renvoie à l’exposé de Laurie-Anne Bourdain [6], hier, c’est une obligation légale de réfléchir à est-ce que j’ai vraiment le minimum de données nécessaires, est-ce que je n’en récolte pas trop ? Quand les gens disent, à propos du RGPD, « c’est arrivé trop vite, on n’a pas eu le temps de se préparer », c’était déjà dans la loi informatique et libertés il y a 40 ans, beaucoup d’entre vous n’étaient même nés. Le coup de « je n’ai pas eu le temps de m’y préparer », ce n’est pas sérieux.

Pendant le problème, pendant la crise, comme dans ce que j’ai montré au début, il y a eu un article dans The Intercept [8] avec « Les données de tel endroit ont fuité, qu’est-ce qu’on va faire ? »
Là aussi deux méthodes, celle que font toutes les boîtes et la bonne.
La méthode classique c’est, quand on vous le signale, de l’ignorer. C’est-à-dire que sur les réseaux sociaux des gens parlent de fuite de données, des gens vous ont envoyé des mails, des gens ont signalé sur Twitter avec @lenomdelaboîte « Au fait c’est normal les données qu’on trouve à tel endroit ? ». Bonne solution dans la plupart des boîtes, on ignore tout ça, ce qu’on ne connaît pas ne peut pas nous faire de mal, donc on n’en tient aucun compte.
Au bout d’un moment quand même des gens finissent par vous poser des questions, par exemple des journalistes appellent. Là il y a deux méthodes, il y a ne pas les rappeler ou il y a tout nier, dire « non, non, il n’y a pas eu de problème, il n’y a pas eu de fuite de données, ce n’est pas vrai, d’ailleurs je vous fais un procès si vous insistez ». Si ça ne suffit pas, au bout d’un moment on finit par avouer « oui, il y a eu une fuite », mais on la minimise, on dit « oui, il y a eu une fuite mais ce n’était pas des données personnelles » ou « elle étaient anonymisées » ou « c’était juste des données de test ». Dans le cas de L’Express par exemple c’était « ce sont des vieilles données, c’était une base qu’on avait copiée à un moment, mais elle est vieille depuis plusieurs années ». Puis là un journaliste a pris un abonnement et a vu dans la base en question, qui était publique, que tout à coup l’abonnement qu’il venait de prendre apparaissait dans la base pour des données qui, soi-disant, dataient de plusieurs années et qui n’étaient pas des données de production.
C’est aussi une bonne méthode, ça marche très souvent, toutes les boîtes l’utilisent, il n’y a pas de raison, raconter n’importe quoi ça marche bien.

Les entreprises que j’ai citées là-haut ont fait ça à des degrés divers, c’est pour ça que je n’ai pas mis Facebook dans la liste précédente, je l’ai citée verbalement, je ne l’ai pas mise dans la liste, parce que Facebook, pour l’instant, a communiqué correctement. Ça ne veut pas dire que ce sont des petits anges, il y a des tas d’autres choses qu’on peut leur reprocher, mais sur cette fuite de données, la dernière, ils ont communiqué de manière à peu près correcte. Et c’est bien sûr la solution que je recommande en vrai.
Ce qu’il faudrait faire vraiment dans le cas d’une fuite de données c’est commencer par faire circuler l’information, même déjà en interne, par exemple, communiquer au community manager et aux équipes techniques.
Je vous renvoie à l’exposé de Agnès Haasser [9] hier qui parlait de boulettes. Que fait-on quand il y a une boulette ?, et c’est un cas particulier de boulette. Déjà, la première chose, c’est qu’en interne on communique, qu’on donne l’information correcte. Avant même de penser à la communication vers l’extérieur – la boulette, comment va-t-on avouer ça aux clients ? Comment va-t-on raconter ça dans les médias ? Qu’est-ce que les gens vont dire sur Twitter ? –, avant même ça il y a déjà la communication en interne. Est-ce qu’en interne tout le monde est vraiment au courant et a vraiment compris ?
La plupart des entreprises cloisonnent. Quelques personnes connaissent à peu près la vérité, les autres non seulement ne la connaissent pas mais sont même tenues à l’écart de l’information. Ça donne des résultats très rigolos pendant une crise où, par exemple sur Twitter, le malheureux community manager raconte n’importe quoi parce que lui-même n’est pas au courant. Des fois il raconte n’importe quoi parce que c’est un menteur ou on lui a donné l’ordre de mentir. C’était la question que posait Tristan Nitot hier après l’exposé de Agnès Haasser [9], sur les boulettes. Tristan lui a demandé : « Que fait-on si c’est le directeur qui nous demande de mentir publiquement ? ». C’est un problème intéressant, mais souvent le community manager ne ment pas, il n’est réellement pas au courant, il n’a aucune idée. C’est arrivé pour une fuite de données par exemple chez Orange où le community manager mentait effrontément, les gens se disaient ce n’est pas possible, il y a eu des tas de preuves données et il continue à dire qu’il n’y a pas eu de fuite de données. En fait c’est que lui-même n’était pas au courant, il a fini par l’apprendre sur Twitter, pas en interne par les relais internes de la boîte.
C’est la première chose que je dirais : en cas de crise il faut avoir une politique de communication en interne qui permet d’éviter que le service comm’, le community manager ou les gens comme ça ne racontent n’importe quoi publiquement.

Et puis il faut réagir vite. Il faut réagir vite parce que sur Internet les choses vont vite, sur les réseaux sociaux ça va vite. Les journaux ont leurs délais. Si un quotidien paraît le lendemain matin, que le journaliste vous appelle à 17 heures en disant « on va boucler, on va publier cette histoire, est-ce que vous avez quelque chose à raconter ? », eh bien oui, il faut réagir vite, ce qui peut rentrer en conflit avec certaines politiques internes. Par exemple il y a beaucoup de boîtes qui ont des process, ça fait partie des mots sacrés qu’on cite quand il y a des problèmes « on a des process, on va suivre les process » et ces process, qui étaient conçus à l’origine pour améliorer le travail en interne, sont souvent devenus des choses sacrées qu’on ne touche plus, qu’on ne remet plus en cause, c’est comme ça. En cas de crise c’est une mauvaise idée. C’est bien d’avoir des plans, c’est bien de réfléchir avant mais, comme l’a dit Clausewitz [10], aucun plan ne survit à la première rencontre avec l’ennemi parce que la crise ne suivra pas forcément quelque chose d’attendu. Évidemment, si elle était attendue il n’y aurait pas eu de crise, on aurait pris les précautions nécessaires, donc on a des surprises et à vouloir à tout prix suivre les process, on peut se retrouver dans l’incapacité de gérer la crise correctement,
À partir du moment où il y a une crise, il faut, quelque part, passer en mode crise, c’est-à-dire changer les règles, on ne peut plus procéder comme avant. C’est souvent difficile, par exemple pour les services communication. Les services communication ont l’habitude que ce soit eux qui dictent le tempo. On a décidé qu’on ferait une campagne de communication à telle date, on la fait à telle date. On a décidé qu’on ferait une conférence de presse à telle date, on la fait à telle date. Ils ont l’habitude de fonctionner comme ça alors qu’ici il faut passer plutôt en mode réaction. Les choses arrivent, on ne l’a pas voulu, on ne l’a pas fait exprès, mais les choses arrivent et il faut réagir donc passer dans un mode spécial où, au lieu de simplement tamponner les documents, on fait un double tamponné face à la crise. Je plaisante !

Et bien sûr, quand même, le truc classique des crises c’est qu’on fait des boulettes, Agnès a dit des sur-boulettes. On fait des sur-boulettes, c’est-à-dire qu’en cas de crise on panique et on en fait d’autres.

Les deux conseils que je donne là sont plutôt contradictoires. D’un côté je dis qu’il faut oublier les process et qu’il faut improviser et, de l’autre, je dis qu’il faut réfléchir sinon on va faire des bêtises. Les deux conseils sont effectivement assez contradictoires, mais les deux sont quand même justes. Une façon de les combiner c’est, par exemple, d’avoir des gens différents. Au moment de la crise il y a des gens qui sont en première ligne, qui résolvent des problèmes et d’autres qui sont dans une pièce à côté pour ne pas être influencés par l’atmosphère de crise, qui réfléchissent un peu plus, en gardant un peu plus de hauteur. Ils n’ont pas décision immédiate à prendre mais ils peuvent suivre le déroulement de la crise et avoir des idées intelligentes, par exemple dire « en fait ce n’est pas ce qu’on pense » ou « en fait il y a d’autres points ». Avoir deux équipes en cas de crise c’est souvent la bonne solution qui permet d’appliquer des conseils contradictoires.

Et puis prévenir les clients. C’est un bon exemple, c’était la crise de British Airways, c’était un tweet d’un consommateur mécontent. Le problème c’est que le client a été prévenu par, je ne sais pas, Twitter ou une autre source, alors qu’il est client et, pour les compagnies aériennes en plus, on est connu de la boîte. Il avait la carte qui brille, Gold, Platinum, Silver, les choses que les compagnies aériennes adorent distribuer avec une communication du genre « vous êtes quelqu’un d’important pour nous, vous n’êtes pas juste un numéro ». Mais quand il y a un problème on n’est pas prévenu et c’est quand même très embêtant, les gens râlent, ont une mauvaise impression et c’est cette mauvaise impression qui va rester. D’autant plus que le commuty manager de Bristh Airways sur Twitter, je ne l’ai pas montré parce que je ne suis pas méchant à ce point, a en plus envoyé un tweet pour dire « on n’a pas prévenu les gens parce que c’est compliqué d’envoyer un mail à tous les clients ». Alors que la même boîte envoyait tous les mois un spam aux membres Gold pour les informer qu’il y a telle nouvelle offre, tel nouveau truc. Et là tout à coup, en cas de crise, il dit « vous comprenez, on a des centaines de milliers de clients, envoyer un mail à tous c’est compliqué ». Ce genre de bêtise ne va pas aider la réputation de la boîte.

Donc prévenez les clients. En plus ça tombe bien c’est une obligation légale. Je parle pour le contexte européen, dans d’autres pays les choses peuvent être différentes, mais quand vous avez une fuite de données personnelles vous êtes censé prévenir la CNIL en France et aussi prévenir les clients eux-mêmes que leurs données personnelles sont dans la nature. C’est pour ça que je ne m’étais pas trop moqué de Facebook qui avait prévenu les gens, d’ailleurs Twitter aussi. Des fois les gens sont prévenus. Des fois c‘est rigolo. Le plus rigolo de notification que j’ai reçue c’était d’un hôtel à San Diego, en Californie. On m’envoie un message disant « notre base de données s’est fait pirater avec votre numéro de carte bancaire dedans ». Ce qui est rigolo c’est que je n’étais allé dans cet hôtel qu’une fois et c’était pour aller à une conférence de sécurité informatique ! Ils ont fait les choses bien, ils m’ont prévenu, j’ai eu un mail disant « c’est piraté ».

J’ai trouvé ça, on trouve d’innombrables textes soit en ligne soit hors-ligne sur la gestion de crise, sur que faire en cas de problème. J’ai trouvé le texte qui est entre guillemets ici sur un de ces documents, une boîte qui fait du conseil aux dirigeants et qui explique « en cas de crise, déterminez une stratégie de communication à destination des clients — ce que je disais — pour préserver l’image de l’entreprise ». C’est le « pour préserver l’image de l’entreprise » qui m’a fait tiquer. Non ! Non seulement c‘est une obligation légale, mais le vrai but c’est de résoudre le problème, que les gens soient prévenus. Par exemple dire « votre numéro de carte de crédit était dedans », c’est une façon de dire aux gens « surveillez un peu les prélèvements dans les jours et les semaines qui viennent, peut-être qu’il faut être plus vigilant que d’habitude ». Le but c’est d’aider les gens à s’en sortir, qu’ils puissent prendre des précautions et, à leur tour, déployer des stratégies. Le but ce n’est pas de préserver l’image de l’entreprise, ce qui est vite compris par pas mal de gens dans l’entreprise comme « on va faire de la propagande pour essayer de minimiser le problème ».
Prévenir les clients c’est important avec des choses évidentes, les prévenir c’est-à-dire leur dire la vérité, ne pas minimiser bêtement. Des fois on ne sait pas, au début d’un problème on n’est pas sûr de l’ampleur exacte de la fuite, donc le dire, dire « nous savons qu’il y a eu une brèche dans le système, des données personnelles ont fuité, nous ne connaissons pas encore tous les détails, mais nous vous tiendrons au courant parce que, cher client, nous vous aimons et votre vie privée est notre priorité ». Des trucs comme ça. Au moins ce n’est pas du mensonge, à part peut-être la dernière phrase. Au moins ce n’est pas du mensonge et quand on ne sait pas on dit franchement qu’on ne sait pas.

En conclusion.
Bien sûr, je le répète, il faut tout faire pour ne pas être piraté, donc bien sûr qu’il faut prendre des précautions, bien sûr que la base de données ne doit pas être un MySQL ouvert à tout l’Internet par défaut avec login « admin », mot de passe « admin ». Bien sûr qu’on ne met pas les données personnelles sur Google Docs, bien sûr, etc. Il y a tout un tas de précautions à prendre, mais, je le répète, il ne faut pas se faire d’illusions. Il faut aussi prévoir le problème, il faut aussi prévoir que le pire peut arriver. C’est déjà une préparation psychologique, arrêter d’être en mode de déni, « non, non, moi ça ne m’arrivera pas, moi je ne mourrai pas, moi ma base de données ne sera pas piratée ». Arrêter d’être en mode déni et réfléchir à ce qu’on peut faire.
On peut survivre au piratage, il y a des tas de boîtes qui ont survécu. Equifax n’a pas fermé, le PDG a dû démissionner, il a perdu son parachute doré, c’est quand même grave, mais il a eu le droit de garder les stock-options et, après une baisse du cours en bourse, c’est remonté, donc ça va, je ne suis pas trop inquiet pour lui. Il doit maintenant traverser la rue pour trouver un autre boulot mais, en dehors de ça, par rapport à l’ampleur de la fuite de données, par rapport à la négligence et la malhonnêteté de la boîte, je trouve qu’il s’en tire plutôt bien.
La perte de réputation peut être plus gênante comme disait ma grand-mère « la réputation se gagne à la pipette et on la perd au seau », c’est-à-dire que perdre arrive très vite et après, pendant des années, on reste la mauvaise boîte. Par exemple Yahoo a maintenant une réputation exécrable et bien méritée. Je ne sais pas si ça se traduit vraiment par une perte financière pour eux, en tout cas c’est mauvais pour la boîte.
Ne faites pas comme la plupart des piratés. Actuellement la plupart des boîtes qui ont vécu une fuite de données personnelles ont fait exactement ce qu’il ne fallait pas faire, tous les trucs qui étaient dans les slides, ce que font les autres boîtes, essayez de faire mieux.
Ça c’est ce que j’ai écrit, ce sont les bons conseils, c’est un peu la conclusion officielle. Il y a aussi une conclusion non officielle que je n’ai pas écrite c’est : est-ce que vraiment c’est un problème ? Est-ce qu’il y a vraiment des conséquences pour les boîtes qui font mal ? Ashley Madison est toujours en service, c’était le site de rencontres orienté adultère qui a été piraté ; Equifax est toujours en service, leur cours en bourse a baissé, mais il est remonté ; Yahoo a été rachetée par Verizon pour moins cher que ce qu’ils prévoyaient, donc il y a des fois des conséquences, mais les boîtes n’ont pas forcément perdu des clients. On a fait beaucoup d’histoires sur les gens qui quittaient Facebook mais c’est une goutte d’eau, deux types quittent Facebook et le mettent sur leur blog, ce n’est pas ça qui va empêcher Zuckerberg de dormir et ce n’est pas ça qui va faire que le conseil d’administration va décider de le virer.
Si on était cynique, mais à Paris Web on n’est pas cyniques, on est Bisounours, licornes, tout ça, tout va bien, on veut améliorer les choses, on veut que le Web soit meilleur, donc on donne des bons conseils, des conseils officiels. Si on était cynique on pourrait dire « ouais, mais en fait en pratique ce n’est pas grave, quand on se fait pirater les données personnelles des clients, business comme avant, on continue » et malheureusement, pour l’instant ça a été le cas. Je ne suis pas sûr que L’Express ait perdu beaucoup d’abonnés, je ne suis pas sûr que Equifax ait vu son cours en bourse baisser, je ne suis pas sûr que les gens arrêteront de prendre un avion avec British Airways, donc malheureusement, pour l’instant, il faut constater que souvent ce sont des salauds qui s’en tirent.

Voilà. J’espère ne pas avoir été trop long ou trop déprimant. Il y a maintenant de la place pour des questions, discussions remarques, critiques, compléments, expériences, tout ça.

[Applaudissements]