A en croire certains spécialistes en sécurité, le premier des dols à déplorer après une cyberattaque visant un établissement financier, c’est l’atteinte à sa réputation. Un argument chanté sur tous les tons tout au long d’une étude commanditée par Javelin, un spécialiste de la protection d’identité. « 55% of consumers experiencing a security breach expressed diminished confidence in the breached organization’s ». Mieux encore: « Data breach victims (56%) favor a solution that prevents fraud ». Etude que viendrait confirmer d’autres analyses, notamment du Ponemon Institute et d’ID Expert, dont Adam Dodge du Security Catalyst reprend les chiffres essentiels. Traduction synthétique :
55% (Javelin) ou 57% (Ponemon) des particuliers perdent toute confiance en l’organisation [qui aurait été victime d’une fraude] ; 30% (Javelin) à 31% (Ponemon) des personnes interrogées ont précisé qu’une faille de sécurité exploitée marquerait la fin de leurs relations avec l’entreprise concernée. En d’autres termes, un client sur 3 changerait de banque, d’assurance, de caisse de retraite complémentaire.
Inutile de préciser que, dans une telle perspective, il est difficile de trouver un banquier –particulièrement en France- qui accepterait de révéler l’existence de fraudes à quelque niveau que ce soit. On « vend de la confiance » en premier lieu, pas du carnet de chèque.
« Oui, mais non ! »rétorque le très décapant Alan Shimel sur son blog Still Secure. « Si cela était vraiment le cas, les entreprises touchées s’effondreraient comme un château de cartes dès le premier entrefilet publié dans la presse. Or, il n’en est rien ». De TJX à DSW Shoes en passant par Best Buy (le hit parade des vols d’identité et de comptes qui ont fait la hune des années 2007-2008), aucune de ces entreprises n’a essuyé le moindre coup de semonce provenant des marchés boursiers. L’action s’est maintenue contre vents et marées. Et pourtant, un actionnaire, c’est frileux en diable, si, sur ses actions, plane la moindre rumeur de baisse d’activité et de rapport d’abondement.
Cet avis de véritable expert est à rapprocher d’une vieille, très vielle étude, la première du genre, entamée peu de temps après l’affaire CardSystems. Ce brocker –intermédiaire de payement dans les transactions par carte de crédit-, fut l’un des premiers à faire les gros titres de la presse sécurité. Une faille SQL très connue avait permis à des truands de s’approprier identités et numéros de comptes de centaines de milliers d’acheteurs. Si CardSystems a bu le bouillon, suite au départ de ses principaux clients (American Express, Visa, MasterCard…), les utilisateurs de ces mêmes cartes n’ont pas bronché. Passé quelques semaines d’agitation boursière, le cours de l’action des principaux responsables –car une banque est directement responsable du choix et de la qualification des intermédiaires avec qui elle travaille-, le cours de l’action donc a retrouvé son niveau « normal ». Tous les détails dans cet étonnant document intitulé « How It’s Difficult to Ruin a Good Name: An Analysis of Reputational Risk ». Toute autre pseudo-étude commanditée par une entreprise à la fois juge et partie est donc à prendre avec des pincettes … Et ce, quoiqu’en disent d’autres experts qui, additionnant de la monnaie de singe et l’argent virtuel qui « aurait dû être dépensé », parviennent à chiffrer les « pertes » du hack de TJX par exemple. Combien, dans ces cas précis, coûte à l’entreprise non pas le piratage, non pas l’atteinte à la réputation, mais l’incompétence de la DSI en place ? Nul rapport sur ce point.
Mais alors, le « client final » est-il un imbécile achevé ? Une question que les experts du Ponemon feraient bien de se poser. Une question que ne se posent généralement pas les premiers concernés. Car qui n’a pas dû, une fois dans sa vie, changer de banque suite à un déménagement ? Entre les virements automatiques, les formulaires 39bis modifiés 45 en triple exemplaires, les « temps de latence » de transfert de carte de crédit, les absences du responsable d’agence, les courriers aux correspondants… un parcours du combattant qui montre à quel point l’usager est plus ou moins prisonnier du système.