14
Commentaires

L'expert en cyber-sécurité : d'où vient-il ? Comment infiltre-t-il les télés ?

Vous ne connaissez pas leur nom mais vous n'avez pas pu passer à côté de leurs visages : hier, les experts en sécurité informatique étaient sur tous les plateaux pour commenter

Derniers commentaires

à JMM: sans casquette, c'est bien aussi!
Gagnant ma vie en tant qu'expert (une question à se poser serai d'ailleurs celle de la définition d'un expert) et enseignant en sécurité informatique, j'aimerai faire quelques remarques:

* sur le courriel presse@monemployeur.fr nous recevons généralement 3 ou 4 sollicitations de journalistes(surtout papier), les semaines sans événement spécifique.

* quand survient un événement médiatisé, ce sont en général une dizaine de journalistes dans la journée, avec ceux des médias audiovisuel qui utilisent plutôt le téléphone.

* ce qui est demandé est "réaction, regard, déchiffrage", en fait du contenu alors que l'"expert" pas plus que le quidam ou même (probablement) une bonne part des acteurs (y compris les enquêteurs de l'ANSSI) n'aura d'information fiable avant plusieurs jours (parfois jamais).

* la plupart des problèmes complexes nécessitent une réflexion amont, une contextualisation, une structuration pour être présenté. Ce n'est pas une fenêtre de 30secondes qui va le permettre.

Chaque intervention télévisée résulte le lendemain en des appels de clients potentiels en recherche de service. C'est systématique. Une intervention TV est donc commercialement évidemment rentable (même après écrémage des délirants).

Le résultat est que nous et nos concurrents répondons positivement à ces demandes à chaque fois que possible. Un certain nombre d'entreprises vont plus loin en missionnant un service RP (souvent sous-traité) pour positionner préemptivement un expert dès qu'une opportunité est présente en particulier pour éviter qu'un concurrent ne se retrouve à l'image et ne pique de nouveaux prospects.

Comme le disait un commentateur, ce sont souvent des managers ou des commerciaux. Mais de toute façon ce qui peut être dit est généralement restreint à des banalités et de l'emballage pour dire qu'on ne sait rien à ce stade (quand le savoir arrive, l'actualité est froide et tout le monde s'en fiche). Donc la compétence technique de l'intervenant est moins importante que sa capacité à s'exprimer clairement.
Les journalistes apparemment le savent et on tendance à rappeler les "bons clients": ceux qui savent dire quelque-chose sur n'importe quoi avec assurance.

En revanche, il n'est pas besoin de vendre de l'anxiété.
Si les vendeurs d'antivirus ont utilisée cette stratégie dans le passé, les acteurs sérieux sont aujourd'hui plutôt dans des stratégies de com orientés solutions (avec le même excès: personne ou aucun produit ne résout magiquement les problèmes de sécu).
La raison en est qu'en matière de sécu informatique la situation générale est très mauvaise: la plupart des organisations sont trivialement piratables et les attaquants de plus en plus compétents.

"Le professeur Rollin à toujours quelque chose à dire"
Pour vendre de la sécurité, il faut commencer par vendre ... de la peur.

Et ça tombe bien. Car la peur ça permet, aussi, de scotcher le téléspectateur à son écran.
Je confirme le contenu de cet article. Il reflète ce que je constate dans ma pratique de journaliste spécialisé. Les prestataires en cyber-sécurité telles Lexso, Arkoon et autres survendent leurs produits et services et leurs sociétés de relations presse (RP) exercent une veille permanente sur l'actualité. Elles font pression sur les médias. Le but est de décrire Internet comme une source de dangers pour les particuliers, entreprises et institutions afin de rendre leur conseils et services incontournables. Exemple parmi d'autres, le risque pour une entreprise qu'un pirate introduise un logiciel de cryptage des fichiers sur un ordinateur, maquillé en pièce attachée d'un e-mail. En cliquant sur cette pièce, tous les fichiers de l'ordinateur sont cryptés, donc inaccessibles. Le pirate demande alors une rançon de plusieurs milliers d'euros pour founir la clé de décryptage qu'il ne fournit jamais. Un scénario qui a de quoi effrayer les entreprises. Or, la plupart des logiciels antivirus gratuits détectent ce type de menace. Un simple antivirus peu couteux et une information correcte des utilisateurs suffirait à éviter ce risque ou à le limiter grandement. Il ne s'agit pas de dire que les risques n'existent pas et qu'il ne faut pas s'en prémunir mais de pointer, comme le billet d'@si le fait, le travail de mise en scéne et de dramatisation des dangers par les RP.
En matière de sécurité informatique, le fait qu'il n'existe pas d'observatoire fiable sur le nombre précis et la nature d'attaques ou que les prestataires et les victimes se retranchent derrière l'obligation de confidentialité, complique sérieusement une enquête journalistique approfondie. Un flou dont profitent les communiquants. Une émission du 14h42 serait bienvenue à ce sujet.
Si EDF ou SNCF sont victimes de piratage, ça fait 2 experts discrédités d'un coup, parce que ces organisations sont clientes de Lexsi ET de Solucom d'après les infos dans l'article.
On va en tout cas tout droit vers l'univers d'anticipation cyber punk.
Une des côtés amusants, c'est que ce sont tous des managers, et que leurs fonctions n'ont pas forcément de rapport direct avec les menaces qu'ils prétendent analyser.
C'est quelque part normal, leur profil les prédisposent à l'exercice de la prise de parole en public et pour leurs employeurs c'est l'assurance qu'ils envoie quelqu'un qui saura mettre en valeur le nom et l'activité de l'entreprise.
Pour les médias, ça les rend collaborateurs d'un discours dont ils ne sont pas capable de situer la valeur, et qui sera probablement coloré d'objectifs mercantiles. Être le directeur marketing d'un boîte de "sécurité informatique", ne rend pas automatiquement expert du sujet. Il peut certes par ailleurs connaître parfaitement bien le sujet et même dans le cas contraire porter un discours construit collectivement par ses collaborateurs spécialisés. Mais sa fonction ne crée pas automatiquement une garantie d'expertise attachée à sa personne. Au final, le media interroge un acteur économique pas un individu sélectionné pour son expertise propre.
Oui, oui, c'est du marketing réactif. Le dessinateur de presse réactif c'est celui qui peut proposer ses services à un journal comme Charlie le 7 janvier pour remplacer des collaborateurs inopinément absents. Ou le fournisseur de denrées casher qui, à la même date, prospecte du côté de la Porte de Vincennes, en raison de l'indisponibilité de certains magasins. Le problème n'est pas l'absence de pudeur des experts en tout genre qui prospèrent dans les médias car, après tout, ils font leur boulot. C'est la servilité avec laquelle les médias leur servent la soupe, au lieu de limiter les interventions extérieures aux experts indépendants, comme Jean-Marc Manach ou d'autres qui existent pourtant.

Quant aux agences de presse, elles font un métier qui, parfois, présente quelques similitudes avec celui de proxénète. Sauf que c'est parfaitement légal, et que le racolage y est autorisé.
Abonnez-vous

En vous abonnant, vous contribuez à une information sur les médias indépendante et sans pub.