Et si nous apprenions la sécurité informatique avec Napoléon ?

Et si l’Histoire avait beaucoup à nous enseigner en termes de politique de sécurité d’entreprise ? Illustrations avec un plongeon dans l’Europe du 19ème siècle, au temps de l’Empereur Napoléon.

Le Grand chiffre, ancêtre de nos procédés de chiffrement des communications

Napoléon est un homme de conquête et en ce début de 19ème siècle, la France multiplie les campagnes. La sécurisation des communications n’en est qu’à ses débuts, mais les Etats-majors ont saisi depuis longtemps l’importance d’un système de communication à la fois rapide, fiable et qui ne risque pas de tomber entre des mains ennemies. Sur ce point, la France est à la hauteur de ses voisins, notamment grâce au travail de la famille Rossignol, cryptographes sur trois générations depuis le 17ème siècle.

Entre 1808 et 1813, les armées de Napoléon sont engagées dans la difficile campagne d’Espagne, contre les forces britanniques et la guérilla espagnole. Les mouvements incessants de troupes rendent difficiles les communications. Les messagers doivent transporter les instructions militaires écrites en clair, nécessitant de grandes escortes pour que les ordres arrivent à destination. Face à ces difficultés, l’état-major adopte le code du Grand Chiffre, un système permettant de faire correspondre des lettres, des syllabes ou des mots à un chiffre. La table elle-même comporte 1400 chiffres. Ce système permet l’échange de messages bien plus difficiles à décoder lors d’éventuelles interceptions. Ayant désormais confiance dans la confidentialité de leur système de communication, les français envoient davantage de messagers, afin d’assurer la bonne réception de leurs messages.

Revers de la médaille, le nombre de missives chiffrées interceptées par les anglais augmente considérablement. Et malgré la complexité causée par un grand nombre de combinaisons possibles, la quantité de messages interceptés permet à un expert anglais, Sir George Scovell de reconstruire la quasi-totalité de la table de déchiffrement. Cette faille permet aux anglais d’anticiper les manœuvres françaises et entraine rapidement la défaite française - notamment à Salamanque et Vitoria - et la fin de la campagne d’Espagne.  

Cette page d’histoire nous apprend que le chiffrement systématique des communications est une pratique indispensable, mais l’excès de confiance dans sa méthode peut rapidement le rendre désuet. Se tenir constamment à jour des vulnérabilités, et remettre ses protocoles en question est la meilleure des réponses à offrir.

L’héritier et la reprise d’activité

1810. Alors triomphant aux quatre coins de l’Europe, l’Empire français de Napoléon semble invincible et irrésistible. Toutefois, l’empereur n’a pas encore d’héritier légitime issu de son mariage avec l’impératrice Joséphine de Beauharnais. Toute succession est alors impossible, et le destin de son empire est très incertain si celui-ci venait à mourir.

D’ailleurs, les occasions ne manquent pas. Il est blessé au cours d’une chasse aux sangliers en 1803. Très exposé durant les batailles, il reçoit une balle au talon pendant le siège de Ratisbonne en 1809. Une autre balle lui frôle la jambe, la même année à Wagram. Il fait plusieurs chutes de cheval. Et manque de se noyer dans la vase pendant la bataille de Marengo.

Ce danger le pousse à réagir en divorçant de Joséphine pour se remarier à Marie-Louise d’Autriche. Mariage dont naîtra enfin un héritier en mars 1811.

Cela nous apporte un nouvel enseignement en matière de sécurité : si tout va bien à l’instant T, on ne peut certainement pas en déduire que ce sera pareil à T+1. La prévision et l’anticipation des menaces potentielles doivent être une priorité. S’il n’est bien évidemment pas possible de tout prévoir, il est important d’effectuer une analyse de risque et un classement de ses actifs. Le postulat est alors simple et se résume en quatre grandes questions : Qu’est ce qui a de la valeur pour mon entreprise ? Quelles sont ses plus grandes menaces ? Quels sont les impacts potentiels de ces menaces ? Comment s'en prémunir ou s’en relever ? La réponse à ses questions permet de construire sa résilience.

La menace interne est l’une des principales menaces de l’entreprise

18 juin 1815, Waterloo, morne plaine… Il est près de 19h. Napoléon est inquiet. Face à lui les forces anglaises exsangues du duc de Wellington résistent depuis la matinée à ses assauts répétés. Et sur ses flancs, l’armée prussienne de Blücher menace l’empereur. Décidant de forcer le destin, Napoléon rassemble l’élite de son armée : sa garde impériale. Son objectif est de frapper durement le centre affaibli de l’armée anglaise afin d’en finir avec elle au plus vite. C’est compter sans l’intervention du capitaine Charles du Barrail. Royaliste convaincu, celui-ci choisit ce moment bien opportun pour déserter et rejoindre les lignes anglaises. Il prévient dès lors les anglais de l’imminence de l’attaque. Le duc de Wellington a le temps de renforcer son centre, et la garde impériale Napoléonienne se brise littéralement sur la défense anglaise. Cet épisode sera le dernier de la bataille et sonnera le glas de l’Empire français.

Afin de restreindre le risque de divulgation d’informations sensibles, il existe le principe de « besoin d’en connaître » (Need-to-Know). Celui-ci consiste à ne confier aux employés que le minimum d’informations et de données dont ils ont besoin pour mener à bien leur mission. Tout excès inutile étant dangereux, car l’être humain demeure la plus grande faille de sécurité qui soit.

La fraude à l’empereur a laissé place à la fraude au président

23 octobre 1812. Napoléon entame sa désastreuse retraite de Russie. Au même moment, à Paris, un homme décide de profiter de l’absence de l’empereur pour fomenter l’un des coups d’état les plus audacieux : le Général Claude-François de Malet.

Il rédige un faux document du sénat, annonçant la mort de Napoléon. Le « décret » donne à Malet et ses co-conspirateurs la charge du gouvernement. Le fraudeur se présente aux postes clés de Paris afin de remettre le message - à des personnes toutes incrédules - et de prendre le contrôle en quelques heures de la Prison de la Force, du ministère de la Police, de l’hôtel de Ville, de la Place de Grève, ainsi que la 1ère division de la Garde Nationale. Le coup d’état est finalement avorté par le Colonel Doucet. A l’annonce de la mort de l’Empereur, celui-ci a eu vent d’une lettre de Napoléon fraîchement arrivée. Réfutant ainsi la thèse du décès de Napoléon. Malet est arrêté et le complot échoue.

La fraude au président est une pratique courante, et accompagnée d’un long travail d'ingénierie sociale. Le fraudeur accumule des informations sur le personnel d’une entreprise et sur son fonctionnement. Pour cela, il écoute les conversations, envoie de faux mails, et procède ainsi à un véritable travail d’espion. Dès lors, il est en mesure d’effectuer sa fraude pour voler de l’argent ou des informations sensibles. Afin de s’en prémunir, la meilleure solution est la sensibilisation des employés. Ceux-ci doivent immédiatement s'alarmer si une demande inhabituelle leur parvient. Puis se renseigner auprès de leur hiérarchie. Et ne pas oublier dans leur vie quotidienne que les murs ont des oreilles.

Entre un capitaine de l’armée qui révèlent les plans de batailles à l’ennemi, et un employé de Sony Picture qui vole des données confidentielles pour nuire à son entreprise, les intentions sont les mêmes. Et surtout, les actions à entreprendre pour l’éviter se révèlent également similaires. L’exemple de Napoléon, pourrait se retranscrire à n’importe quelle autre période, et les impacts de ces événements occupent une grande partie de nos livres d’Histoire. Et comme le disait si bien Churchill “Un peuple qui oublie son Histoire est condamné à la revivre”. Cette leçon vaut bien un empire...