Devrions-nous en informer Lisa ? J’ai longuement dévisagé ce message. Devrions-nous en informer Lisa ? La même Lisa qui vient de m’annoncer que je valais 4 500 $. La même Lisa qui m’a conseillé de me concentrer sur l’exécution plutôt que sur l’amélioration de nos défenses. La même Lisa qui dormait profondément dans sa maison de banlieue pendant que des pirates informatiques tentaient de voler les économies de toute une vie.
« C’est à vous de décider », ai-je répondu. « Vous êtes le chef d’équipe. » Trois points apparurent, puis disparurent. Réapparurent. Jason tapait quelque chose, l’effaçait, puis réessayait. Enfin. « Je pense que vous devriez l’appeler. Vous connaissez tout ça mieux que quiconque. » Voilà. La vérité que tout le monde savait, mais que personne n’osait dire à voix haute.
Quand la situation est devenue critique, quand une véritable expertise était nécessaire, ils sont venus me voir. Le type qui valait 4 500 $. À 2 h 45 du matin, Lisa a enfin répondu à mon appel d’urgence, la voix pâteuse de sommeil et d’irritation. « C’est urgent, David ? » J’ai vu l’attaque s’aggraver au point de menacer les opérations des clients, d’entraîner des violations des SLA, des appels furieux aux dirigeants, bref, le chaos total.
« Oui », ai-je répondu, d’un ton étonnamment calme. Quelle urgence ! J’ai jeté un coup d’œil à mes écrans, puis à l’accord de rétention toujours ouvert dans une autre fenêtre, et enfin au compte à rebours qui s’égrenait avant que ce problème ne devienne la responsabilité de quelqu’un d’autre, qui devrait s’expliquer à des clients furieux, accompagnés d’avocats hors de prix. Ils ont déjà accès aux systèmes administratifs.
S’ils obtiennent un accès non autorisé, ils auront accès à tout. Chaque client, chaque compte, chaque transaction. Silence de son côté. Pas le bon genre de silence où l’on réfléchit, mais le mauvais genre où l’on réalise qu’on est dépassé par les événements. « Que puis-je faire ? » demanda-t-elle. « Rien. Je voulais juste que vous sachiez où nous en sommes. »
Peux-tu les arrêter ? Moi, oui. J’avais déjà stoppé des attaques bien pires, avec moins de préavis et moins de moyens. Pendant vingt ans, j’avais passé mon temps à réparer les dégâts, pendant que les autres dormaient paisiblement. Du moins, je le pensais. Je lui ai dit : « Alors fais ce qu’il faut, David. Répare ça, c’est tout. » À 3 h 10 du matin, après vingt minutes à lui expliquer des détails techniques qu’elle aurait dû comprendre, mais qu’elle ne comprenait pas, elle l’a répété.
Fais ce qu’il faut pour arranger ça, David. À 3 h 15 du matin, je me suis levé de mon bureau, j’ai débranché mon casque et j’ai détaché mon badge d’accès comme si je retirais quelque chose qui ne m’avait jamais appartenu. Et je suis parti. Je n’ai pas paniqué ensuite. Je n’ai pas passé la nuit à fixer le plafond, à me demander si j’avais fait une erreur.
J’avais l’impression que mon cerveau s’était apaisé, comme si j’avais enfin cessé de chercher à justifier des choses qui n’avaient jamais eu de sens. Ce qui est paradoxal avec une cyberattaque, c’est qu’elle ne s’arrête pas simplement parce qu’on n’est plus là pour la combattre. Les hackers roumains n’ont pas plié bagage et ne sont pas rentrés chez eux parce que David Thompson en avait assez d’être sous-estimé.
Ils ont persisté, ont continué à sonder, à tenter de s’introduire dans des systèmes désormais protégés par des personnes qui n’en comprenaient pas le fonctionnement. J’ai appris bien plus tard qu’il leur avait fallu trois heures pour neutraliser ce que j’aurais pu stopper en trente minutes. Trois heures de données financières compromises. Trois heures de violations de SLA qui s’accumulaient.
Lisa et Paul Anderson, notre vice-président des opérations, ont passé trois heures à courir dans tous les sens, paniqués, pour tenter de comprendre pourquoi leur système de surveillance nocturne avait soudainement disparu. À 6 heures du matin, ils étaient parvenus à neutraliser la menace immédiate, mais le mal était fait. Non seulement pour les systèmes, mais aussi pour la réputation de l’entreprise. Dans le domaine de la cybersécurité, les nouvelles vont très vite.
D’autres entreprises entendent parler de ces incidents. Les clients commencent à poser des questions embarrassantes. Les compagnies d’assurance ajustent les primes. Le lendemain midi, mon téléphone vibrait sans arrêt. D’abord des messages Slack, puis des SMS, puis des appels manqués de Lisa, sans même laisser de message vocal. Quand les responsables sont sûrs d’eux, ils laissent des messages détaillés.
Quand ils ont peur, ils n’arrêtent pas d’appeler. J’ai jeté un coup d’œil à ma boîte mail professionnelle pour constater les dégâts. Les demandes d’intervention d’urgence s’accumulaient comme des feuilles mortes. Le client en Europe avait saisi son vice-président des opérations. Un autre client menaçait d’invoquer les clauses pénales de son contrat. Enfouie dans ma boîte de réception, une invitation à une réunion de calendrier intitulée « Discussion sur la couverture d’urgence » attendait.
Sans arrière-pensée, sans excuses. C’est alors que mon irritation s’est muée en quelque chose de plus net. Ce n’était pas soudain. Il ne s’agissait pas d’une mauvaise soirée ou d’un malentendu. C’était un schéma que je contournais depuis 23 ans, me persuadant que c’était temporaire. Que c’était simplement le fonctionnement normal des équipes de nuit dans les grandes entreprises américaines.
J’ai commencé à rassembler les documents, non pas avec colère, mais méthodiquement. Évaluations de performance, rapports d’incidents, certifications de sécurité que j’avais obtenues sur mon temps libre et à mes frais. Chaque menace majeure que j’avais neutralisée au cours de l’année écoulée portait un horodatage compris entre minuit et 6 h du matin. Ma signature figurait quelque part dans la chaîne de résolution.
Les petites lignes du programme de fidélisation en disaient long. L’argent provenait d’un budget discrétionnaire géré par Lisa. Les montants n’étaient liés ni aux performances ni à l’ancienneté. Ils étaient liés à la perception du leadership, c’est-à-dire à la capacité des cadres à se sentir en sécurité pendant les heures de travail. Jason y parvenait. Quant à moi, je faisais disparaître les problèmes dans l’ombre, là où personne n’avait à y penser.
Le hic, c’était une clause cachée à la page trois du contrat de fidélisation : les attentes en matière de performance pendant la période d’engagement. En clair, en signant ce contrat, vous vous engagiez à assurer la même charge de travail et les mêmes responsabilités pendant 12 mois, quelles que soient les variations de personnel, de périmètre ou de fréquence des incidents. Ils n’achetaient pas seulement votre loyauté, ils achetaient votre disponibilité.
Pour Jason, cela signifiait douze mois de travail de jour, des horaires réguliers et un niveau de stress gérable. Pour moi, cela signifiait douze mois à être le seul rempart entre des hackers chevronnés et l’argent d’autrui, chaque nuit, pour le prix d’une voiture d’occasion correcte. Mercredi après-midi, Paul Anderson, notre vice-président des opérations, m’a appelé directement.
Je n’avais parlé à Paul que trois fois en 23 ans, et chaque fois, la situation était déjà explosive. « David », dit-il, sans plus de politesses, « on constate des problèmes en cascade depuis lundi soir. Lisa dit que tu es la personne la mieux placée pour comprendre nos protocoles d’intervention. » « Le contexte. Pas l’autorité, pas la responsabilité. Le contexte. » « Oui », répondis-je.
Peux-tu faire un appel avec l’équipe ? Aide-nous à régler ce problème. J’ai repensé à ce contrat de fidélisation non signé qui traînait dans ma boîte mail. J’ai repensé à la clause de remboursement. J’ai repensé à la capture d’écran de Jason et à cette différence de 27 500 $. « Je peux », ai-je dit lentement. « Mais je ne le ferai pas. » Silence de son côté. Assez long pour me dire tout ce que j’avais besoin de savoir.
« Pourquoi pas ? » demanda Paul. « Parce que c’est à ça que sert la prime de fidélisation. Vous avez décidé qui garder. » Il expira bruyamment par le nez, irrité, mais s’efforçant de rester professionnel. « David, ce n’est pas le moment pour cette conversation. » « Justement, Paul. Vous vouliez me garder pour 4 500 dollars. »
Voilà à quoi ressemble le statu quo. « On réglera ça demain », a-t-il dit avant de raccrocher. C’est à ce moment-là que tout s’est accéléré. Jeudi matin, notre page de suivi client est passée du vert au jaune, puis à l’orange. Quelqu’un a commis l’erreur de publier une mise à jour mentionnant des contraintes de ressources internes. Or, ces contraintes signifient que les clients n’apprécient guère d’apprendre que les personnes chargées de gérer leurs fonds ne sont pas disponibles.
Vendredi, Jason m’a appelé directement, pas par SMS cette fois. Un vrai appel. « Dave », a-t-il dit, et j’entendais le cliquetis du clavier en arrière-plan. « Écoute, je sais que tu es contrarié par cette histoire de prime, mais on a vraiment besoin de ton aide. Lisa nous met la pression et, honnêtement, je suis complètement dépassé par tous ces trucs complexes. » Voilà.
Pas des excuses, pas une reconnaissance de l’injustice, juste un besoin. Tu as eu la prime, Jason. C’est fait pour ça. Il resta silencieux quelques secondes. Allez, mec. C’est pas juste. J’ai failli sourire. Tu as raison. C’est pas juste. C’est juste que ce n’est plus mon problème. Écoute, je sais que je ne connais pas les rouages du système comme toi.
« Toute cette documentation que vous avez rédigée, une partie est obsolète, et bon courage pour vous y retrouver », ai-je dit avant de raccrocher. Le lundi suivant, la page d’état de l’entreprise était rouge. C’est là que la direction a vraiment commencé à paniquer. Non pas à cause de l’argent, mais à cause de la visibilité. Une page d’état rouge inquiète les clients. Et des clients inquiets appellent les dirigeants.
Les cadres n’aiment pas être dérangés chez eux. Le comble, c’est que les systèmes n’étaient pas réellement défaillants. Ils étaient simplement vulnérables, comme une maison dont on aurait enlevé toutes les serrures, mais dont les portes seraient encore debout. Tout semblait normal jusqu’à ce que quelqu’un tente de les tester. Mardi matin, Lisa m’a envoyé un courriel directement. Sans copie, sans jargon d’entreprise. « David, il faut qu’on parle. »
Que faut-il faire ? J’ai lu le message deux fois, puis j’ai répondu en trois phrases. Je suis disposé à discuter d’une rémunération alignée sur les normes du secteur, d’un plan de carrière clair et d’une transition vers un horaire de jour. D’ici là, je ne suis pas disponible pour une assistance urgente. Il ne s’agit pas d’une sanction, mais d’une démarche professionnelle. Moins d’une heure plus tard, le service des ressources humaines a rejoint la conversation par courriel.
Yo Make również polubił
«¡Papá, por favor ayúdala!» — Padre veterano de los SEAL derrota a 3 hombres y el Almirante de la Marina llega al día siguiente
Après la mort de mon mari, son avocat m’a remis la clé d’une ferme. Je n’avais l’intention que de la vendre et de tourner la page, mais quarante-huit heures plus tard, je me cachais dans un manoir au Canada rempli de tableaux de chevaux, tandis que ses frères arrivaient avec la police et frappaient à la porte comme des fous.
« Tu n’es pas une épouse, tu es un fardeau ! Dégage d’ici demain ! » déclara son mari, sans savoir que le lendemain matin, une surprise l’attendait.
J’ai joué la pauvre et la naïve lors d’un dîner chez les riches parents de mon petit ami — la révélation a choqué tout le monde…