Al Qaida dans votre entreprise. Que faites-vous ?
C'est une situation qui peut arriver à chacun d'entre nous, dirigeant ou simple manager d'entreprise. Je l'ai vécu il y a dix ans. Et la solution n'est pas simple car ce sont des interactions nouvelles qui apparaissent avec des acteurs auxquels on n'a pas affaire d'habitude : la police, la justice, des polices étrangères ... En plus de l'actionnaire qui a son avis et son agenda quant à la valeur de son entreprise. Mais aussi sa conscience sur ce qui est à faire, ne pas faire, ne pas dire ... avec des conséquences lourdes sur sa "carrière" ou au moins son avenir dans l'entreprise managée. Voici, tout d'abord, le récit des évènements.
Al Quaida chez Lastminute.com : récit des événements.
Nous sommes en mai 2004. En pleine préparation de l'été qui représente 40% des ventes annuelles. J'ai rejoint Lastminute il y a un an. Et le ciel bleu commence à voir poindre de nouveaux nuages plus ou moins menaçants. Le premier vient de tensions répétées avec le fondateur de Lastminute.com, Brent Hoberman, qui pratique le micro-management et dont l'orgueil n'a d'égal que son manque de vision, la pertinence du positionnement venant de son associée Martha Lane-Fox qui a quitté l'entreprise en octobre 2003. Les trop bons résultats de la filiale française jettent une lumière crue sur la faible réussite de l’Angleterre qui a fait des choix douteux comme de racheter des points de vente de voyage dans toutes les gares londoniennes. Comme si les voyageurs sur le point de prendre le train étaient dans une attitude favorable et une disposition d’esprit correcte pour planifier un autre voyage ou saisir une promotion. Du marketing pour certains, du simple bon sens pour d’autres. La phrase de Voltaire me revient : "le sens commun n'est pas le sens le plus commun". Là, personne n’a osé dire le n’importe quoi de l’achat et dans une entreprise ce genre de méprise empêche de garder sa focalisation sur les choses plus importantes et plus essentielles sur ce marché très concurrentiel. Et le "board", chose habituelle, n'a pas les compétences requises pour tout ce que l'on appelle alors le "click and mortar" ou maintenant le "web to store" pour définir cette compétence d'arriver à optimiser les présences on-line et off-line pour tout commerce.
En contraste, l’équipe française a décidé d’ouvrir un bureau sur les Champs Elysées pour profiter de la liberté laissée d’être ouvert le dimanche. Conférence de presse devant 70 journalistes. En trois mois, cette surface de 10 m2 monte en régime et va totaliser plus de 10% du chiffre d’affaires de la filiale française soit 30 millions d’euros. 3 millions/m2, record de France. C'est un quart de la croissance de 50% que les équipes vont réaliser cette année 2004. Le modèle internet-téléphone-retrait est la formule gagnante découverte à ce moment là.
Je reçois un appel un jeudi matin d’une des responsables d’Amadeus (un des 3 systèmes mondiaux de réservation et émission de billets d'avion notamment ou "GDS", Global Distribution System). Elle me signale quelque chose d’étrange : la société Continental Airlines a vu arriver la veille 4 personnes à l’aéroport d’Honolulu et leur billet pour Atlanta avait été annulé sans qu’ils l’aient demandé ni qu’ils aient été avertis. L’opération d’annulation ayant été faite sur la plate forme de réservation, les autorités américaines se sont tournées vers l’opérateur français qui vient d’être introduit en bourse à Madrid. Surprise de leur part en regardant en détail l’opération, celle-ci a été réalisée depuis un terminal localisé au sein de notre équipe de réservation, sur les Champs-Elysés, qui émet aussi les billets avant remise au guichet ou bien envoi par courrier. Mais encore plus grande surprise quand ils ont découverts qu’un mot avait été laissé dans l’espace commentaire réservé aux opérateurs de saisie : “Al Qaida Hacking Systems”. Je me tasse sur mon siège. Mon bureau est surnommé l’aquarium car il est fait de paroi de verre dans un grand open space de 400 m2 à Saint Denis. Instinctivement, je regarde à gauche et à droite autour de mon bureau pour voir si on me regarde.
“Mais c’est grave ce que vous me dites là ! Avez-vous un numéro pour connaitre le terminal précis depuis lequel la manip a été fait ?”
“Oui, c’est la machine tagué 21 chez vous.”
“Ok, je me renseigne et vous rappelle sur le numéro affiché”.
Et je raccroche aussi sec. Appel de mon directeur des opérations, qui me donne le nom de l’opérateur. Appelons-le Hicham. D’origine marocaine, embauché depuis 6 mois après un stage de 2 mois dans le cadre d’une formation du CNAM. Brillant, vif, rapide. Le bon élève. Je rappelle Amadeus après avoir donné toutes les consignes de discrétion totale. Amadeus connait Hicham car ils l’ont formé il y a 3 mois. Eux aussi l’ont trouvé brillant et avec une capacité étonnante à absorber toutes les informations de programmation et d’automatisation, en plus de la maitrise des règles de sécurité inhérentes à des systèmes mondiaux comme ceux là. Amadeus me remercie et me demande de ne rien faire. Soit. Je pose la question tout de même sur l’information des autorités quant à ce qui se passe. Ils prennent tout en charge. Soit bis.
Je suis au CNAM, aussi, pour devenir psychologue du travail en cours du soir (et du week-end …). J’en profite pour appeler l'administration de l'école et me renseigner tout de même sur Hicham et son parcours. Une sueur froide me coule dans le dos. Une panique du fond des âges me prend les tripes. Hicham est en train de finaliser une thèse d’informatique dans le cadre d’une maitrise. Mais pas une thèse classique. Une thèse sur les nouvelles techniques de hacking. Je raccroche un peu perdu avec cette nouvelle information. Je me calme. J’assiste plus que je ne participe à deux ou trois réunions, répond en position automatique à deux interviews téléphoniques à la volée. Nouvel appel d’Amadeus en fin d’après-midi qui m’informe que l’animal sévit depuis 6 mois et qu’ils ont dénombré 142 changements de billets, des annulations ou bien des remplacements de passagers … Je leur annonce la nécessité de porter plainte. De laisser l’accès à Hicham pour ne pas éveiller ses soupçons et permettre à la police de le serrer sur son lieu de travail ou chez lui. Mais ils ne veulent pas faire de bruit. Ils viennent de s’introduire en bourse et pourrait faire perdre une bonne partie de la valeur de 4 milliards d’euros qu’ils représentent à ce moment-là. Soit ter. Mail simple envoyé aux dirigeants du groupe pour les prévenir de ce qui se passe. Pas de réponse pendant cette journée alors que la réactivité habituelle est de 10'. Le sujet est "touchy", normal d'être seul ...
Mauvaise nuit. Très mauvaise même. Car la logique combinatoire et mon imagination m’amène à penser que l’application de sa thèse est évidente. S’il est arrivé à entrer aussi facilement dans le système sans se faire prendre depuis 6 mois, il lui a été possible de définir des routines qui sont autant d’automates de réplication de ce qu’il a fait à la main pour faire la démonstration de son savoir à d’autres. Autrement dit, il peut très bien demain lancer des automates qui vont annuler à la volée des milliers, des dizaines de milliers, des centaines de milliers de billets. Chaos mondial assuré. Une sorte de cyberterrorisme à un endroit où on ne l’attend pas. Pas de mort d’hommes mais morts économiques de compagnies certainement. Mais “Mort d’hommes” m’alerte sur une autre direction possible pour lui : faire monter à bord n’importe quelle personne dotées de faux papiers. Le dispositif de black list mis en place par les US pour filtrer l’entrée aux Etats-Unis suite aux attentats du 11 septembre peut être contourné par le savoir-faire d’Hicham. Et utilisé à fortiori pour faire monter des kamikazes dans des avions. La décision est prise.
A 9h ce vendredi matin, je suis à la BEFTI (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information), Porte d’Italie, pour déposer plainte et signaler toutes les infos. Ma conscience est maintenant claire. L’entreprise est couverte en cas de problème. J’ai transféré le problème que je vis comme le mien à des autorités dotées de moyens d’actions presque infinis. J’arrive soulagé au travail. Fureur de Amadeus quand je leur apprend cela car ils ont peur des fuites. Dans le même temps ils m’apprennent que le FBI est maintenant sur l’affaire et qu’ils ont des comptes à rendre. Une réunion avec mon directeur des opérations m'indique que Hicham ne s'est pas contenté d'une formation de niveau 1 de la part de Amadeus mais est allé au niveau 2 qui est réservé aux opérateurs internes de cette société car elle donne accès à des niveaux de sécurité largement plus étendus. Mais c’est au tour de la maison mère de réagir enfin et de m’appeler pour me demander de faire ce qu’Amadeus demande, à savoir ne parler à personne de l’affaire. Nouvelle fureur de la DRH et du fondateur quand ils apprennent que j’ai porté plainte le matin. Malgré toutes les bonnes raisons pour le faire comme la protection de nos clients, de la marque Lastminute en montrant notre réaction immédiate et, surtout, de millions de personnes exposées aux conséquences de cette faille béante ... Eux aussi ne voient que l’impact potentiel financier sur le cours boursier de Lastminute.com ... qui est bien bien loin de ma préoccupation d'éviter un second 11 septembre. Durs moments de solitude pour un dirigeant pendant ces périodes là. "Conscience professionnelle et surtout personnelle" contre "être le bon petit soldat obéissant qui va toucher son bonus en fin d'année".
Le commandant en second du SNLE Le Redoutable (sous-marin nucléaire lanceur d’engins) m’avait éduqué à vie sur ce sujet central des contradictions au cœur de tout être humain. A une de mes affirmations sur le libre arbitre de l’homme et la conduite morale de ses affaires, il me répondit :
“Mais mon pauvre Pierre, je pourrais te faire faire sur un champ de bataille des tas de choses dont la totalité seraient interdites par la convention de Genève”.
Le week-end passe. La gamberge sur les conséquences possibles, non. Une image me vient et me hante. Tous les avions en l'air qui ne peuvent se poser. Ou alors tous au sol sans pouvoir décoller faute de passagers clairement identifiés. Et les mois de chaos pour revenir à une situation normale.
Lundi matin, Hicham est toujours là, dans les locaux. Je lui dis bonjour comme à tous les collaborateurs. Cette impression de vivre dans un film ou une série immersive. Du Homeland pourrait-on dire aujourd'hui. Téléphone à mon interlocuteur à la BEFTI qui me répond, un peu énervé par cette relance, qu’ils s’en occupent. Pas de nouvelle pendant toute la journée. Je me renseigne le soir pour trouver le nom du procureur de la république en charge de l’antiterrorisme. J’appelle. Il s'étonne que j'aie son portable. Je lui réponds qu'aux grands maux les grands moyens. Il me demande mon nom et mon numéro pour me rappeler 15 minutes plus tard. Temps d'un check rapide, je pense. Je lui expose la situation en 3 minutes. Question très agressive :
“J'ai bien votre dépôt de plainte et la relance de la BEFTI. Qu’est-ce qui vous fait dire que les autorités ne font rien ?”
“C’est le fait qu’il y ait toujours en liberté dans mon entreprise quelqu’un qui a accès à un système informatique lui permettant d’annuler toutes les places d’avion des deux prochains mois et de faire monter les terroristes de son choix dans l’avion de son choix”.
“Ah, en effet ... oui ... vu comme cela. Je regarde ça. Merci”.
J’apprendrais le lendemain que Hicham n’est pas venu au travail mais j’apprendrai aussi l’après-midi que les policiers venus le serrer chez lui le matin même ont découvert que l’oiseau ne nichait pas à cet endroit là et que le traçage de son portable ne donnait plus rien.
Cette histoire a exacerbé les tensions avec la maison mère anglaise de Lastminute. A cela viennent se rajouter des demandes me sont faites de certifier les comptes alors qu’ils sont inexacts pour la partie hôtels, moins de 5% du chiffre d’affaires, que la maison mère anglaise a voulu prendre sous sa coupe. Le commissaire au compte se joint à moi pour signaler des irrégularités flagrantes de ventes faites sans vérification d’argent encaissé ("recollection"). Je signale d’autre part des irrégularités passées pour l’exercice des stocks options. Pas fait en respectant les délais impartis donc soumis à l’URSSAF. Et une RH du groupe qui veut étouffer tout cela depuis deux ans en plus de tout le reste et des promesses non tenues (Liane Hornsey, accessoirement RH monde de Google maintenant). Quelques temps plus tard, une énorme pression supplémentaire est apportée par la nouvelle d’un rachat en cours par une société américaine, Sabre, qui est un des trois GDS mondiaux avec Amadeus dont j’ai dévoilé certaines faiblesses un peu plus haut. Je signale que je ne peux pas cacher ces différents éléments, notamment ce hacking sur lequel le FBI, tout de même, a travaillé. On me demande à nouveau de me taire. Au revoir Lastminute.
Conclusion ?
Je témoigne aujourd'hui dans le cadre de LinkedIn, média social professionnel s'il en est, car je pense que cela peut arriver à chacun d'entre nous et que ce partage peut vous permettre d'être prêt et vous sentir moins seul le jour où cela vous arrivera. Car tous les évènements du début janvier 2015 ne concernent pas seulement les médias, les commerces, la police ...
1) Soyez prêt et attentif. L'extrémisme peut faire irruption dans votre entreprise sans que vous soyez prêt à réagir vite s'il n'est pas déjà trop tard. Regardez les scénarios de crise envisagés. "Cyberterrorisme" est-il identifié ? Sous quelle forme ? Defacing de site internet (changement de la home page) ? Un peu léger. Revoyez les risques réels. Par exemple, une étude a montré que le temps de détection d'un virus en entreprise est de 6 mois.
2) Posez vous cette question de ce que vous êtes prêt à faire ou ne pas faire. Il faudra probablement aller vite et vous n'aurez pas le temps de vous "couvrir" en ayant un ok de votre direction ou de votre actionnaire. Et même si vous avez un ok, vous ne serez peut-être pas d'accord en votre for intérieur sur les décisions prises ou actions choisies. "Carrière" contre "conscience" est cette balance qui définit l'éthique professionnelle. Et personnelle aussi.
3) Restez positif. Ces moments resteront parmi les plus importants de votre vie. C'est un état paroxystique (cf autre post sur Maslow) qui combine une combinaison unique d'intelligences. Du QI, du QE mais aussi de l'intuition, une perception systémique, un aller retour sur le futur impliqué par chacune des décisions très proche des la théorie des jeux. Mais là, on ne joue plus.
4) "On est en guerre". Phrase déclamée par les politiques. Mais qui trouve des prolongements pour toutes les sociétés françaises, en France et encore plus à l'international. Posez-vous la question en regardant vos équipes ou en participant à une réunion, sans devenir parano SVP :).
Je ne peux que finir par une citation du juge Giovani Falcone que certains d'entre nous partagent. Elle pose la question de ce combat journalier qu'est l'éthique personnelle et la capacité à se regarder dans la glace tous les matins calmement et avec sérénité :
"Le lâche meurt plusieurs fois par jour, l'homme courageux ne meurt qu'une fois".
Si ce post vous a plu, voici une liste de quelques autres et qui peuvent vous intéresser ou, surtout, vous être utiles :
- Lanceur d'alerte, 3 poids et trois mesures
- Comment aider quelqu'un dans la difficulté ?
- Ces 10 décisions qui seront le "résumé" de votre vie
- Quelques symptômes de créativité en vous et autour de vous
- Etes-vous le frein ou l'accélérateur de votre société ?
- Comment LinkedIn change les règles relationnelles de la vie professionnelle
- Quel est l'avenir des chasseurs de têtes ?
- Ce que sortir son téléphone en réunion dit de vous
Responsable RH // The Full RH Alchemist 🙏🏾
7 ansimpressionnant. ...
Software Engineer Team Lead at Ornikar 🚗 (ex-ManoMano)
7 ansMerci pour ce témoignage, qui pousse à la réflexion : est-ce que j'ai tout les leviers pour réagir vite et efficacement ?
Directeur Général | Performance commerciale | Développement et Transformation | Industrie et services techniques BtoB | ETI
7 ansBravo pour votre réaction et merci beaucoup pour ce témoignage