Cybersécurité : une faille à la Deloitte est-elle au coin de la rue ?
Dans un cabinet de la place, ce sont deux recrutements dont on garde un souvenir modérément réjoui. Par deux fois, des consultants, issus de cabinets concurrents à Paris, ont fait acte de candidature et ont été recrutés… avant de repartir au bout de quelques mois dans leur cabinet d’origine.
- ProvenRun, l’entreprise de cybersécurité, pioche son PDG chez McKinsey
- Comment les données clients sont-elles protégées ?
- Confidentialité dans le conseil : enquête sur une coutume tenace
- Deloitte visé par une enquête américaine sur le piratage de ses mails
- Délits d'initiés McKinsey-Galleon : modèle économique terni aux Etats-Unis, "non-sujet" en France
A priori, rien à signaler, mais dans l’intervalle, les consultants en question ont eu accès aux process internes du cabinet et à des infos confidentielles sur ses clients. Les cas de stagiaires chinois pris en flagrant délit d’espionnage dans plusieurs entreprises françaises sont encore dans les esprits. Mais dans le conseil aussi, les mouvements suspects de personnels ne sont pas isolés.
Pour preuve, ces deux anciens managing directors d’AlixPartners (associés dans la grille AlixPartners) à Singapour et Shanghai poursuivis en 2014 aux États-Unis par leur ancien employeur après qu’ils sont passés à la concurrence, chez McKinsey.
En cause, une suspicion de violation de leur contrat de travail et de secrets commerciaux, dont une base de coordonnées de clients. Le contentieux sera réglé à l’amiable quelques mois plus tard, sans suite. Les risques sont énormes pour des sociétés dont le chiffre d’affaires repose essentiellement sur la confiance que leurs clients leur portent.
« Le risque de discrédit est énorme »
« Bien sûr que nous sommes amenés à manipuler des données non publiques, par exemple pour le compte de groupes cotés. Si nous sommes pris la main dans le pot de miel à ne pas savoir les gérer et en garantir la confidentialité, le risque de discrédit est colossal », commente Michel Zarka, le CEO de Theano Advisors.
Ainsi de Deloitte dont The Guardian révélait le 25 septembre qu’un hacker avait pu s’introduire dans les 5 millions de mails de ses 240 000 collaborateurs stockés sur des serveurs fournis par Microsoft, via un simple compte d’administrateur.
Quelques semaines plus tard, au tour d’Accenture de devoir reconnaître que des données confidentielles de ses clients étaient accessibles sur des serveurs fournis par Amazon, téléchargeables sans mot de passe pour tout détenteur de l’URL non protégée.
Des failles qui font tout drôle surtout lorsqu’elles émanent des consultants les plus en vue en matière de cybersécurité. Pareil scénario est-il envisageable dans des sociétés de conseil en stratégie ?
Mails, serveurs, authentification... ce que font les cabinets en matière de cybersécurité
A priori non, disent nos sources. Parce qu’il s’agit de marques moins exposées qu’Accenture et Deloitte, même si les données que les sociétés de conseil manipulent sont tout aussi confidentielles. Également, parce que les cabinets que nous avons interrogés disent tous prendre ce risque très au sérieux et avoir mis en place des mesures diverses et variées pour se prémunir contre des failles. « Cela passe par des règles de formulation de mails, des règles d’attachement de pièces jointes, qui doivent être cryptées ou non. Et cela va jusqu’à assurer la sécurité de nos serveurs qui sont logés en France », dit une source anonymement.
Le sujet des serveurs et leur localisation sont cruciaux. Chez Roland Berger, on assure que tout est logé en Allemagne sous surveillance très serrée. Ailleurs, on met en avant les limites apportées au partage des rapports en interne pour éviter que des données confidentielles de clients ne sortent de cercles les plus restreints possible.
Puis viennent des règles d’authentification pour accéder aux ordinateurs, la distribution de codes de conduite en interne, la signature d’accords de non-divulgation (no disclosure agreement) consultant par consultant parmi ceux associés à une mission particulièrement sensible, éventuellement à la demande du client.
« La majorité des accidents sont dus à des banalités ou des étourderies. Un mot de passe perdu, des logiciels qui ne sont pas à jour, un oubli de clé USB, etc. », raconte Moran Studer, associé chez Eleven, pour qui la sécurité commence avec de bonnes pratiques.
Existe enfin une dimension plus abstraite de la cybersécurité et de la confidentialité tout court : ce qui est dit oralement et à qui. « On ne commente ni sur les personnes, ni sur les entreprises au sein desquelles on travaille, c’est un principe de base dans le métier du conseil en stratégie. À partir du moment où l’on mentionne une problématique proche de celle d’un client, il y a un risque d’interprétation, même lorsque le principe de confidentialité est respecté. Cela peut déplaire et créer un irritant dans la relation. Il faut donc être très prudent. La culture du secret est l'une des valeurs de notre secteur car elle correspond à une attente forte de nos clients », commente Stéphane Alberhne, ancien directeur général France de Roland Berger et fondateur d’Archery Consulting.
« Le niveau “suffisant” de protection est laissé à l’appréciation de chaque entreprise »
Tout ceci est-il suffisant ? « Chaque société gère sa sécurité comme elle le peut et comme elle le veut. Le niveau “suffisant” de protection est laissé à l’appréciation de chaque entreprise. Globalement, la maturité des organisations sur ce sujet va en s’améliorant et le secteur du conseil fait figure de bon élève », dit un patron français de la cybersécurité d’un Big Four.
Évidemment, ces sociétés sont largement tributaires de leur environnement. C’est cet environnement technique, légal et organisationnel que l’International Telecommunication Union, une agence des Nations unies, évalue chaque année dans ses 134 pays membres.
Bonne nouvelle, la France compte parmi les dix pays les plus avancés dans ce classement. 3 235 événements de sécurité numérique ont tout de même été signalés en 2016 à l’Anssi, l’Agence nationale de la sécurité des systèmes d’information qui est rattachée aux services du Premier ministre.
Marge de progrès
Pour ne pas compter parmi les prochaines organisations visées, plusieurs options s’offrent au secteur du conseil en stratégie. Les plus assidus des cabinets pourraient faire auditer leurs mesures par l’un des prestataires agrémentés par l’Anssi, voire s’engager dans une démarche de certification telle que le certificat ISO 27 001 par exemple.
D’autres se montrent plus empiriques : chez Eleven, on entend prochainement faire intervenir un hacker auprès des consultants pour les sensibiliser aux mille différentes manières de mettre les données de clients en danger. En espérant se prémunir des mauvais réflexes.
Benjamin Polle pour Consultor.fr
Un tuyau intéressant à partager ?
Vous avez une information dont le monde devrait entendre parler ? Une rumeur de fusion en cours ? Nous voulons savoir !
commentaire (0)
Soyez le premier à réagir à cette information
France
- 18/11/24
L’un des ténors du BCG en France, Guillaume Charlin, 54 ans, patron du bureau de Paris entre 2018 et 2022, serait en passe de quitter le cabinet.
- 15/11/24
Toutes les entités de conseil en stratégie ne subissent pas d’incendies simultanés, comme McKinsey, mais chacune peut y être exposée. La communication de crise dispose-t-elle d’antidotes ? Éléments de réponse avec Gantzer Agency, Image 7, Nitidis, Publicis Consultants - et des experts souhaitant rester discrets.
- 15/11/24
Le partner Retail/Consumer Goods d’Oliver Wyman, Julien Hereng, 49 ans, a quitté tout récemment la firme pour créer son propre cabinet de conseil en stratégie et transformation, spécialisé dans les secteurs Consumer Goods, Luxe et Retail, comme il le confirme à Consultor.
- 13/11/24
À l’heure où les premiers engagements d’entreprises en termes d’ESG pointent leur bout du nez (en 2025), comment les missions de conseil en stratégie dédiées ont-elles évolué ? Toute mission n’est-elle pas devenue à connotation responsable et durable ? Y a-t-il encore des sujets zéro RSE ? Le point avec Luc Anfray de Simon-Kucher, Aymeline Staigre d’Avencore, Vladislava Iovkova et Tony Tanios de Strategy&, et David-Emmanuel Vivot de Kéa.
- 11/11/24
Si Arnaud Bassoulet, Florent Berthod, Sophie Gebel et Marion Graizon ont toutes et tous rejoint le BCG il y a plus de six ans… parfois plus de dix, Lionel Corre est un nouveau venu ou presque (bientôt trois ans), ancien fonctionnaire venu de la Direction du Trésor.
- 08/11/24
Trois des heureux élus sont en effet issus des effectifs hexagonaux de la Firme : Jean-Marie Becquaert sur les services financiers, Antonin Conrath pour le Consumer, et Stéphane Bouvet, pilote d’Orphoz. Quant à Cassandre Danoux, déjà partner Stratégie & Corporate Finance, elle arrive du bureau de Londres.
- 30/10/24
L’automne fait son œuvre au sein de la Firme, les feuilles tombent… et les partners aussi. Les nouveaux départs sont ceux de Flavie Nguyen et Thomas London.
- 29/10/24
Julia Amsellem, qui a rejoint l’entité de conseil en stratégie d’EY en 2017, et Étienne Costes, engagé depuis 2013, font partie des 17 membres du nouveau comex d’EY dans l’Hexagone.
- 23/10/24
C’est une étude coup de poing que le cabinet Oliver Wyman a réalisée à titre pro bono pour le collectif ALERTE (fort de 35 associations, dont Action contre la Faim, Médecins du Monde et ATD Quart Monde) dédié à la pauvreté et à l’exclusion. Elle est intitulée « Lutter contre la pauvreté : un investissement social payant. » L’une des conclusions plutôt contre-intuitive : combattre la pauvreté par des financements serait un investissement gagnant-gagnant, pour les personnes concernées comme pour l’économie nationale. Les analyses du président d’ALERTE, Noam Leandri, et de Jean-Patrick Yanitch, partner à la tête de la practice Service public et Politiques publiques en France.