J’ai hoché la tête, comme on le fait d’habitude. On hoche la tête quand on reçoit des compliments pour qu’on en vienne au moment d’expliquer pourquoi on ne vaut pas autant qu’on le pensait. « On vous offre aussi une prime de fidélisation. On est vraiment ravis. » Elle a marqué une pause, comme si elle s’attendait à ce que j’applaudisse. « 4 500 $. » Pendant une seconde, j’ai cru qu’elle s’était trompée, qu’elle avait peut-être oublié un zéro ou qu’elle avait lu le mauvais tableau.
J’attendais qu’elle se corrige. Comme on attend que quelqu’un réalise qu’il vient de dire une absurdité. Elle ne l’a pas fait. « 4 500 », a-t-elle répété, toujours avec ce grand sourire. « Et c’est assorti du même contrat de 12 mois que pour tout le monde. » Je la fixais à travers la webcam et une chaleur sourde m’a envahi la nuque.
Pas encore de colère, plutôt de la gêne de sa part. Comme si elle venait de me dire exactement ce qu’elle pensait de ma valeur et qu’elle s’attendait à ce que je la remercie d’avoir été aussi franche. « D’accord », ai-je répondu, car je ne savais pas parler autrement. Le sourire de Lisa s’est légèrement crispé. « Sache que cela est dû à des contraintes budgétaires, et non à tes performances. »
Tu es extrêmement précieux ici, David. C’est vrai. Tu vaux à peu près le prix d’une camionnette d’occasion. Une fois l’appel terminé, je suis resté assis dans mon bureau à la maison, lumières éteintes, écrans bleus allumés, à écouter ma fille se préparer à l’étage pour sa première année de médecine à l’université du Texas. Intelligente comme pas deux, elle travaille deux fois plus que moi.
Ses frais de scolarité à eux seuls allaient me coûter 15 000 $ ce semestre, et je comptais sur une prime comme celle-ci pour m’aider à les couvrir sans toucher à mes maigres économies pour la retraite. J’ai ouvert mon tableur personnel, celui où je note tout, des mensualités de mon prêt immobilier à mes courses, et j’ai entré 4 500 $ dans une cellule.
J’ai ensuite tapé 32 000 $ juste en dessous, non pas pour me torturer l’esprit, mais simplement pour le voir en chiffres. Une semaine auparavant, Jason avait manqué une alerte de sécurité critique car il s’était absenté de son bureau pour aller chercher un café. C’est moi qui l’ai repérée lors de la transmission des informations, qui l’ai transmise au niveau supérieur et qui ai ainsi empêché que les données clients de notre client ne soient exposées pendant les heures de pointe des marchés.
Lisa avait envoyé un courriel à toute l’équipe pour remercier chacun d’avoir maintenu nos standards élevés. Et maintenant, on me proposait de l’argent facile pour que je m’engage à passer une année de plus à voir d’autres personnes s’attribuer le mérite de mon travail. Le pire, c’est que Jason n’était même pas le vrai problème. Il n’était que le symptôme le plus flagrant d’un mal que j’avais ignoré bien trop longtemps.
Ce lundi soir-là, vers 23h30, notre système de surveillance a commencé à émettre des alertes. Au début, il s’agissait d’incidents mineurs, mais la situation a rapidement dégénéré. Un groupe basé en Europe de l’Est sondait les réseaux d’un de nos clients du secteur financier, testant des vulnérabilités dans son portail client. Habituellement, nous aurions appliqué nos procédures de blocage standard et transmis l’incident aux instances compétentes, mais nos protocoles de réponse étaient obsolètes.
La dernière fois que j’avais suggéré de les mettre à jour, Lisa m’avait dit de me concentrer sur l’exécution, pas sur l’amélioration des processus. Mon téléphone vibra. Jason, bien sûr. « Salut Dave, je vois de l’activité sur le tableau de bord client. Tu y jettes un œil ? » J’observai le schéma d’attaque qui se dessinait sur mes écrans. Je vis la file d’attente des alertes se remplir plus vite que je ne pouvais la vider.
J’ai alors ouvert le contrat de fidélisation que Lisa m’avait envoyé par courriel. Engagement minimum de 12 mois. Remboursement immédiat en cas de départ anticipé. Clause de confidentialité concernant les primes. Une autre clause relative à la possibilité de rupture du contrat à tout moment restait en vigueur. Ils voulaient me retenir, mais se réservaient la possibilité de me licencier quand bon leur semblait.
L’attaque s’intensifiait. Trois points d’entrée différents désormais. Coordonnés, mais discrets. Il ne s’agissait pas de simples attaques de robots. C’était du travail de professionnels, le genre d’attaque qui hante les nuits des dirigeants de banque et qui conduit les entreprises de cybersécurité à la faillite. J’avais déjà vu ce schéma. La veille de Noël il y a deux ans, et le week-end du Memorial Day l’année dernière.
Toujours pendant les vacances ou les week-ends, quand l’équipe de jour était partie et qu’il n’y avait que moi et peut-être un autre gars pour assurer la relève. Toujours quand ceux qui s’attribuaient le mérite n’étaient pas là pour en assumer les conséquences. Mon téléphone a sonné. Numéro inconnu, mais j’ai reconnu l’indicatif du pays. Roumanie. Je n’ai pas répondu. Ça ne marche pas comme ça.
Cet appel n’était qu’une diversion pour me faire croire qu’ils étaient des amateurs. Les vrais professionnels n’appellent pas pour se vanter. Ils travaillent en silence et disparaissent avant même qu’on ait eu le temps de comprendre ce qui se passait. Mais cela m’a appris quelque chose d’important : ils savaient qu’on les observait. Ils savaient qu’une personne compétente était à l’origine de leur attaque.
Et ils essayaient de me déstabiliser. À 1 h 15 du matin, j’avais un choix à faire. Je pouvais suivre le protocole, faire remonter l’information à Lisa, réveiller l’équipe d’intervention, passer les quatre heures suivantes à expliquer des détails techniques que tout le monde était censé maîtriser, ou je pouvais gérer la situation moi-même, comme je le faisais depuis 23 ans. La solution la plus judicieuse était de suivre le protocole, de me couvrir, de m’assurer que tout le monde savait que j’avais agi dans les règles de l’art et de laisser l’entreprise gérer les conséquences du manque de personnel et de formation la nuit.
J’ai donc commencé à tout documenter : captures d’écran des vecteurs d’attaque, journaux de trafic réseau, horodatages des alertes et de mes signalements. Non pas pour l’entreprise, mais pour moi. À 2 h 15 du matin, les attaquants ont changé de tactique. Au lieu de tenter de pénétrer le portail client, ils ont ciblé nos systèmes d’administration internes, ceux qui contrôlaient l’accès à tous les réseaux de nos clients, et non plus à un seul.
C’est là que j’ai compris que ce n’était pas un hasard. Ils nous observaient, ils étudiaient nos habitudes. Ils savaient que notre couverture nocturne était insuffisante. Ils savaient que la plupart de nos agents de sécurité travaillaient uniquement de jour. Ils savaient exactement quand frapper pour un impact maximal et une résistance minimale. Mon téléphone vibra de nouveau. Jason, Dave, ça devient vraiment grave.
Yo Make również polubił
« Le jour du mariage de ma sœur, mes parents ont exigé que je leur cède mon penthouse. Quand j’ai refusé, ma mère m’a giflé — c’est à cet instant que j’ai choisi la vengeance. »
« Monsieur, maman pleure dans la salle de bain… » La petite voix provenait de l’embrasure de la porte de la salle de conférence. Le PDG se figea, posa son stylo et sortit sans un mot de plus. Quelques minutes plus tard, il fit quelque chose que personne dans ce bâtiment n’aurait jamais imaginé de la part d’un homme occupant une telle fonction.
Lors de la signature de notre acte de divorce, mon ex-mari s’est moqué de ma robe achetée dans une friperie tandis que sa nouvelle fiancée, radieuse, riait à côté de lui — cinq minutes plus tard, j’ai hérité de bien plus qu’il ne pourrait jamais se permettre.
Je suis entrée dans le jardin de mon fils et j’ai entendu : « Pourquoi est-elle encore en vie ? » Je ne suis pas partie. Je suis allée