Déclaration CSEC : Cyber-attaque, quelles leçons à tirer ?

Déclaration des représentants CGT au Comité  Social d’Entreprise Central du 30 septembre portant sur la Direction Technologie Système d’Information

1/ Cyber-attaque, quelles leçons à tirer ?

En juillet, MMA, comme de nombreuses entreprises ces derniers mois, a subi une attaque informatique.

A cette occasion, certains collègues informaticiens ont œuvré pour rétablir le service au plus vite. Ces collègues n’ont pas compté leurs heures. Personne n’a eu besoin de leur demander de se retrousser les manches.

Il va sans dire que dans une telle période, la législation sur les périodes de repos ou durée de travail sans interruption a été mise à mal. Doit-on ajouter que, dans le feu de l’action, les mesures sanitaires n’étaient plus une priorité ?

Ces efforts exceptionnels ont payé. Au bout de dix jours, la plupart des fonctions informatiques étaient à nouveau opérationnelles. Quand certaines entreprises voient leur informatique paralysée plusieurs mois à la suite de telles attaques, on ne peut qu’apprécier le travail effectué.

Pourtant, alors que nous aurions pu nous attendre à ce que les efforts consentis soient salués, les encadrants de la DTSI n’ont pas jugé bon de se plier à l’exercice.  Non contents de décevoir leurs attentes légitimes, les salariés se sont entendus répondre :

  • pour du personnel au forfait jours, il n’est pas question d’heures supplémentaires en semaine,
  • si prime il doit y avoir, les fonds de la prochaine NAO seront mobilisés pour récompenser les plus méritants (leurs collègues seront heureux d’apprendre que leur future prime est déjà obérée). Pour justifier l’absence de prime, un manager argumente même qu’on ne peut récompenser des comportements fautifs.

Ainsi, « la faute » qui a rendu possible cette cyberattaque incomberait aux informaticiens qui n’auraient pas fait leur métier correctement. Ce n’est plus du mépris, c’est de la défiance…

Cette position est d’autant plus choquante que :

  • cela fait de nombreuses années qu’ils alertent leur encadrement au sujet des failles (qui touchent les 3 enseignes) que l’attaquant a exploitées et qu’ils demandent des moyens pour les corriger sans pour autant les obtenir;
  • depuis le mois de septembre, une chape de plomb semble s’être abattue sur tout ce qui touche à l’attaque. Alors que la bonne gestion d’une entreprise implique, à la suite d’un incident majeur, de procéder à une analyse post-mortem, avec tous les acteurs concernés, pour  tirer tous les enseignements et d’identifier les multiples causes et points à améliorer;
  • au lieu de cela, malgré la présence de professionnels avertis au sein de l’entreprise, une fois de plus, la confiance est accordée à des coûteux consultants extérieurs.

Encore une marque de mépris

2/ Qui sont les véritables coupables ?

La direction cherche des coupables. Autorisons-nous quelques suggestions.

Une entreprise vit dangereusement lorsqu’elle :

  • ne réalise pas les bons investissements,
  • ne valorise pas son patrimoine,
  • prend de mauvaises décisions stratégiques.

Si responsabilité il y a, elle est à rechercher dans la course en avant voulue par notre direction qui, sous prétexte de convergence, consiste à mener des projets de transformation coûteux qui grèvent les budgets de maintenance.

L’externalisation, à l’efficacité douteuse, qui ne dit pas son nom

Mis à part le dispendieux “lac de données” dont on tarde à voir les bénéfices, ils ont tous la même caractéristique, celle d’utiliser des services externalisés, dont les solutions sont peu souples et dont on peut affirmer que le service client n’est pas la priorité.

En fins psychologues, les cadres de la direction informatique annoncent en chœur à leurs ouailles que le métier va changer : informaticiens, votre expertise technique n’est plus vendeuse, on n’attend de vous la capacité à “configurer” du logiciel. Quand on sait qu’aujourd’hui ce paramétrage est généralement dévolu aux directions métier, on peut imaginer le sordide jeu de chaises musicales qui nous attend tous.

L’abandon du patrimoine

Une grande part du travail (et donc du budget) de l’informatique consiste à maintenir en équilibre les châteaux de cartes que constituent les différentes couches des systèmes informatiques.

Notre direction actuelle ne voit dans les couches historiques que coûts et tracas. Or, il s’agit d’un patrimoine et sa responsabilité est de le conserver fonctionnel, même si c’est moins gratifiant que de négocier des projets ambitieux avec des fournisseurs qui vous font les yeux doux tout en vous promettant la lune.

Cesser de financer les investissements passés est un risque technique et économique que vous faite courir à nos entreprises. La cyber-attaque dont nous avons été victimes est malheureusement là pour le rappeler.

La stratégie Datacenter

Vous n’avez pas manqué d’observer que durant l’attaque qui n’a touché que l’infrastructure MMA, tous les sites ont vécu un black-out quasi total. L’explication est à chercher dans les errements dans lesquels s’empêtre la direction informatique Covéa depuis sa naissance.

Comme toutes les directions Covéa, la DTSI vit les tensions liées à la volonté de la direction d’aplanir toute distinction entre les mutuelles.  Dans un passé récent, un projet de quatrième Datacenter fut étouffé dans l’œuf suite à la grogne sourdement exprimée. Échaudée, la direction tente désormais une manœuvre de diversion. Pour prévenir toute résistance (précaution probablement inutile tant les salariés sont résignés par la politique menée dans Covéa), on maquille une profonde réorganisation des métiers de l’informatique dans un projet appelé “stratégie Datacenter” qui cache une réorganisation qui ne veut pas dire son nom et dont les impacts à terme engendreront une véritable casse sociale.

En conclusion

L’unique responsable de l’attaque est la DTSI qui a organisé ses conditions :

  • en négligeant les alertes remontées par ses salaries et les représentants du personnel,
  • en ignorant les recommandations d’audits de sécurité,
  • en investissant une part inconsidérée de son budget dans des coûteux projets d’externalisation,
  • en sacrifiant la maintenance des infrastructures dont elle a la charge.

Tous ces éléments pointent vers la même source des difficultés de la DTSI, la gouvernance.

Pour toutes ces raisons, la CGT réclame :

  • la prise en compte des alertes remontées par les sachants internes (ex : mise en place d’une instance décorrélée de la ligne managériale)
  • un audit indépendant des conditions de choix de projets d’externalisation effectués par la DTSI,
  • l’abandon à effet immédiat de la “stratégie Datacenter”,
  • la mise en œuvre d’un plan ambitieux visant :
    • la pérennisation et l’autonomie des sites informatiques,
    • la sécurisation des infrastructures pour répondre aux exigences liées à RGPD et OSE.
Imprimer cet article Télécharger cet article

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.