Pas plus tard qu’en juin dernier, les cadres dirigeants et responsables du management de Avid Life Media (ALM), propriétaires du site de rencontres extraconjugales Ashley Madison piraté, ont répondu à un questionnaire interne leur demandant d’évaluer leurs points forts et leurs craintes. Les résultats de ce sondage, normalement confidentiel, a été publié cette semaine par Impact Team qui a revendiqué en juillet le piratage du site et le vol de 37 millions de contacts. Cette suite de questions/réponses donne un aperçu unique sur l‘état d’esprit des dirigeants d’ALM. Il y a un mois exactement, le groupe Impact Team avait demandé à ALM de cesser ses opérations sur les sites Ashley Madison et Established Men, à défaut de quoi il menaçait de rendre public plus de 30 Go de documents volés. Mardi, le groupe a mis sa menace à exécution.

Les questions reproduites ci-après font partie d'un document intitulé « Les facteurs déterminants de la réussite ». L'auteur du formulaire d'évaluation est inconnu, mais tous les cadres supérieurs de l’entreprise ont répondu au questionnaire. En résumé, ils pensent comme des dirigeants classiques d’une grande entreprise qui ont des opérations à gérer au jour le jour. Bien qu'importante, la question de la sécurité n’est pas leur préoccupation première, et arrive bien après les questions opérationnelles. Ce n’est pas en soi une grande révélation. Après tout, souvent, c’est à la suite d’un incident que la plupart des entreprises admettent que la sécurité est un élément majeur.

Pas assez d'information régulière sur la sécurité

Par ailleurs, ce document comporte une annexe anonyme titrée « Notes » dans laquelle on trouve un inventaire assez intéressant de problèmes auxquels est confrontée l’entreprise. Notamment, certaines notes sous-entendent que, à certains niveaux, le manque de sécurité est bien compris. Mais, selon le formulaire d'évaluation, il est lié à un problème de moyens. « Notes : absence sérieuse de sensibilité à la sécurité. Gestion des mots de passe. Peu d’avis sur les partenariats. Pas d’information régulière sur les mesures de sécurité ».

Les questions reproduites ci-après sont extraites d'un article publié par nos confrères de CSO. Elles sont tirées du formulaire d'auto-évaluation dévoilé. Seules une partie des réponses a été reprise, liées au thème de la sécurité informatique.

Citez le ou les domaines où, selon vous, il est important de réussir ?

Amit Jethani, directeur de la gestion produit, ALM : Fluidifier le processus d'activités. La confidentialité et la disponibilité des données sensibles.

Trevor Sykes, CTO, ALM : Savoir interpréter les objectifs stratégiques. Si nous suivions les directives à la lettre, nous aurions probablement beaucoup plus d'échecs. L'intuition technologique, qui s’insère dans la mise en oeuvre des activités, a été essentielle. Ces aspects, souvent invisibles, sont aussi des facteurs de succès (Exemples : UTF-8, réduction des attaques DDoS). Aucun responsable ne donne de directives sur ces initiatives technologiques. Il peut donc y avoir des conflits. Ce n’est pas exceptionnel, mais quand différentes options sont en concurrence (ou en cas de charge supplémentaire ad hoc), je suis potentiellement le seul point faible. En tant que CTO, je dois maintenir la trajectoire et garder un œil sur la croissance à long terme. Agilité et qualité d’exécution (voir au-delà de la demande).

[[page]]

Quel est le domaine où l’échec serait pour vous insupportable ?

Trevor Sykes, CTO, ALM : Celui de la sécurité. Je n’aimerais pas que nos systèmes soient piratés et/ou que des renseignements personnels soient divulgués au public.

Noel Biderman, CEO, ALM : Le vol de données, la confidentialité des données. Une violation de données de l’intérieur serait très dommageable. Avons-nous bien fait notre travail de surveillance ? Sommes-nous vraiment au top ?

Kevin McCall, VP Operations, ALM : Ne pas réussir à maintenir notre environnement de production. Si c’est la conséquence des actions ou du manque d'actions d’un personnel opérationnel, elle met en évidence quelque chose dont nous aurions du être responsable. Sous-estimer les impacts techniques dans les changements de l'entreprise. Une sensibilisation insuffisante de l’entreprise à la question de la sécurité.

Quels sont vos objectifs les plus critiques ?

Kevin McCall, VP Operations, ALM : La sécurité est devenue pour moi la question la plus critique. Tout ce que nous faisons est reproductible, automatisé et contrôlé dans le but d’avoir de la visibilité. Évaluer ces objectifs reste subjectif.

Trevor Sykes, CTO, ALM : Exécuter les impacts les plus critiques. La sécurité (protéger tout ce que nous avons), prendre les bonnes décisions. Améliorer nos processus pour répondre aux besoins de l’entreprise, accroître la transparence et mieux comprendre ensemble comment faire avancer les choses.

Citez trois grands problèmes ou obstacles dans l’entreprise ?

Trevor Sykes, CTO, ALM : La flexibilité. Il est très difficile d’avoir une vue à 12 ou 24 mois quand l'entreprise a besoin/veut plus toujours plus de flexibilité. Une plus grande sensibilisation à ce qui peut nous faire changer d’attitude.

Chris Western, QA Manager, ALM : Le recrutement. Impossible de construire une bonne équipe qualité (QA) si ses interventions se limitent à des tests exploratoires manuels. L’absence d’engagement. Parfois, la seule raison d’être du directeur Qualité, c’est qu’il pense que ses compétences sont obsolètes et qu’il ne peut trouver un autre job ailleurs. Se battre avec les environnements. L’information en silo.