Pas plus tard qu’en juin dernier, les cadres dirigeants et responsables du management de Avid Life Media (ALM), propriétaires du site de rencontres extraconjugales Ashley Madison piraté, ont répondu à un questionnaire interne leur demandant d’évaluer leurs points forts et leurs craintes. Les résultats de ce sondage, normalement confidentiel, a été publié cette semaine par Impact Team qui a revendiqué en juillet le piratage du site et le vol de 37 millions de contacts. Cette suite de questions/réponses donne un aperçu unique sur l‘état d’esprit des dirigeants d’ALM. Il y a un mois exactement, le groupe Impact Team avait demandé à ALM de cesser ses opérations sur les sites Ashley Madison et Established Men, à défaut de quoi il menaçait de rendre public plus de 30 Go de documents volés. Mardi, le groupe a mis sa menace à exécution.

Les questions reproduites ci-après font partie d'un document intitulé « Les facteurs déterminants de la réussite ». L'auteur du formulaire d'évaluation est inconnu, mais tous les cadres supérieurs de l’entreprise ont répondu au questionnaire. En résumé, ils pensent comme des dirigeants classiques d’une grande entreprise qui ont des opérations à gérer au jour le jour. Bien qu'importante, la question de la sécurité n’est pas leur préoccupation première, et arrive bien après les questions opérationnelles. Ce n’est pas en soi une grande révélation. Après tout, souvent, c’est à la suite d’un incident que la plupart des entreprises admettent que la sécurité est un élément majeur.

Pas assez d'information régulière sur la sécurité

Par ailleurs, ce document comporte une annexe anonyme titrée « Notes » dans laquelle on trouve un inventaire assez intéressant de problèmes auxquels est confrontée l’entreprise. Notamment, certaines notes sous-entendent que, à certains niveaux, le manque de sécurité est bien compris. Mais, selon le formulaire d'évaluation, il est lié à un problème de moyens. « Notes : absence sérieuse de sensibilité à la sécurité. Gestion des mots de passe. Peu d’avis sur les partenariats. Pas d’information régulière sur les mesures de sécurité ».

Les questions reproduites ci-après sont extraites d'un article publié par nos confrères de CSO. Elles sont tirées du formulaire d'auto-évaluation dévoilé. Seules une partie des réponses a été reprise, liées au thème de la sécurité informatique.

Citez le ou les domaines où, selon vous, il est important de réussir ?

Amit Jethani, directeur de la gestion produit, ALM : Fluidifier le processus d'activités. La confidentialité et la disponibilité des données sensibles.

Trevor Sykes, CTO, ALM : Savoir interpréter les objectifs stratégiques. Si nous suivions les directives à la lettre, nous aurions probablement beaucoup plus d'échecs. L'intuition technologique, qui s’insère dans la mise en oeuvre des activités, a été essentielle. Ces aspects, souvent invisibles, sont aussi des facteurs de succès (Exemples : UTF-8, réduction des attaques DDoS). Aucun responsable ne donne de directives sur ces initiatives technologiques. Il peut donc y avoir des conflits. Ce n’est pas exceptionnel, mais quand différentes options sont en concurrence (ou en cas de charge supplémentaire ad hoc), je suis potentiellement le seul point faible. En tant que CTO, je dois maintenir la trajectoire et garder un œil sur la croissance à long terme. Agilité et qualité d’exécution (voir au-delà de la demande).