Il était 2 heures du matin un jour férié, et alors que j’essayais d’enrayer une crise liée aux dossiers clients qui coûtait 120 000 dollars de l’heure, le PDG m’a appelé pour m’annoncer que son fils me remplaçait. Je lui ai donc cédé les portes et j’ai retiré les outils que j’étais le seul à savoir utiliser.

À 2 heures du matin, un jour férié, le PDG m’a remplacé par son fils alors que je sauvais son entreprise.

Il était deux heures du matin, un jour férié, et la salle des serveurs bourdonnait autour de moi comme un battement de cœur mécanique.

Mes doigts se déplaçaient machinalement sur trois claviers. Du code défilait sur cinq écrans en un flux vert froid. Des alertes rouges clignotaient aux coins de mon champ de vision. Chaque seconde qui passait coûtait à l’entreprise environ 120 000 $, non pas en pertes imaginaires ou en projections alarmistes, mais en divulgation réelle d’informations clients.

La première alarme s’était déclenchée à huit heures du soir.

J’étais à un barbecue du 4 juillet dans le Queens, une assiette en carton avec un hamburger à moitié mangé à la main, espérant enfin passer une soirée tranquille loin du travail. Soudain, mon téléphone a hurlé : une alerte personnalisée, configurée spécialement pour ce genre d’incident qu’aucun responsable de la sécurité ne souhaite jamais entendre, s’est déclenchée.

J’ai laissé l’assiette sur une table de pique-nique, j’ai pris mes clés et j’ai couru.

Six heures plus tard, malgré l’air glacial de la salle des serveurs, la sueur me coulait dans le dos. J’avais les yeux qui piquaient, les doigts douloureux et les épaules crispées par une posture penchée.

Mais j’étais proche.

« Allez », ai-je murmuré en observant les lignes se dérouler. « Allez. »

Le troisième écran montrait le chemin d’intrusion. Quelqu’un avait exploité une faille zero-day dans le système de traitement des paiements. L’opération était propre, précise et bien trop coordonnée pour être le fruit du hasard. Il ne s’agissait pas d’un adolescent désœuvré jouant avec des outils téléchargés sur un forum, mais d’une opération professionnelle.

Le premier moniteur a suivi le taux d’exposition.

Quarante-sept millions de données clients étaient menacées : informations de paiement, données de compte, identifiants personnels, historiques de transactions. Tout ce que l’entreprise avait promis de protéger à ses clients.

Le deuxième écran affichait le déploiement de mes contre-mesures.

J’avais conçu un système de quarantaine précisément pour ce genre de situation. Des barrières numériques se déployaient, isolant les secteurs infectés et scellant les points d’accès vulnérables avant que l’incident ne se propage aux serveurs de sauvegarde.

« Protocole de quarantaine en cours d’application », ai-je dit dans le petit enregistreur à côté de mon clavier.

J’ai tout documenté pendant la gestion de crise. Non pas parce que quelqu’un m’en a remercié, mais parce qu’une fois la situation retombée, ces documents se sont avérés indispensables.

« Les secteurs A à F sont isolés. Le chiffrement des paquets exposés est mis en œuvre. Le trafic suspect est redirigé vers un environnement contrôlé. Le schéma de la source est recherché. »

Mes mains se déplaçaient sur les claviers comme si elles appartenaient à quelqu’un de plus calme que moi.

C’est pour ça que j’ai été conçu.

C’est là que j’habitais.

L’environnement de leurre contrôlé a ensuite été mis en service. Il ressemblait à un coffre au trésor pour quiconque tentait d’extraire des données du système : suffisamment précieux pour être dérobé, suffisamment ouvert pour les tenter, et truffé de code de suivi.

Ils ont mordu à l’hameçon.

« Je t’ai eu », ai-je murmuré.

Mes doigts se remettaient déjà à bouger, suivant la trace numérique à rebours à travers les couches de serveurs proxy et d’infrastructures louées.

C’est à ce moment-là que mon téléphone a vibré.

Je l’ai ignoré.

Il vibra de nouveau.

Et puis…

J’ai baissé les yeux.

Brandon Caldwell.

PDG.

Appel à deux heures du matin.

Tout mon instinct me disait de ne pas répondre. Brandon n’appelait pas à deux heures du matin à moins d’une situation d’urgence. Mais peut-être avait-il des informations du conseil d’administration. Peut-être qu’un partenaire extérieur avait transmis quelque chose d’utile. Peut-être avait-il enfin pris conscience de l’ampleur du problème et voulait-il aider.

J’ai glissé mon doigt sur l’écran pour répondre et j’ai coincé le téléphone entre mon épaule et mon oreille sans arrêter mes mains.

« Vivian », dit-il.

Sa voix était plate. Froide.

« Brandon, je suis en train de sauver toute l’infrastructure de l’entreprise. Est-ce que ça peut attendre ? »

« Non », dit-il. « Ce n’est pas possible. »

Il y avait quelque chose dans sa voix qui a fait que mes doigts se sont arrêtés pour la première fois en six heures.

« Vous êtes remplacé », a-t-il dit. « Mon fils Kyle prend la direction de la cybersécurité, avec effet immédiat. Il est en route pour le bâtiment. »

La salle des serveurs sembla soudain vingt degrés plus froide.

«Vous plaisantez.»

« Moi, non. Cette entreprise a besoin de sang neuf. De jeunes talents. Kyle vient d’obtenir son diplôme en informatique à Stanford. Il a des idées neuves. Des approches modernes. »

Sur le troisième écran, l’incident a tenté de se propager.

Ma quarantaine a tenu, mais de justesse.

Ma mâchoire s’est crispée.

« Brandon, je suis actuellement plongée jusqu’au cou dans une affaire de fuite de données clients qui touche quarante-sept millions de personnes. Ce n’est pas le moment d’une transition de direction. »

« Kyle peut s’en charger. »

«Non, il ne peut pas.»

« Informez-le dès son arrivée. Vous avez jusqu’à demain matin pour emballer vos affaires de bureau. »

La ligne a été coupée.

J’ai fixé le téléphone pendant exactement trois secondes.

Les écrans clignotaient devant moi. Les assaillants testaient la quarantaine, cherchant des failles, une brèche à exploiter. Je devais renforcer immédiatement les secteurs C et D.

Au lieu de cela, je me suis adossé à ma chaise.

Huit ans.

Huit ans à bâtir cette infrastructure à partir de rien. Huit ans à défendre Caldwell Industries contre des menaces que les dirigeants n’ont jamais perçues, car je les ai neutralisées avant même qu’elles ne se manifestent. Huit ans à sacrifier mon sommeil, mes week-ends, mes relations et bien plus de moi-même que je ne voulais l’admettre.

Et c’est ainsi que cela s’est terminé.

J’ai examiné les écrans. Les routines de chiffrement que j’avais écrites de A à Z. Les outils de réponse personnalisés que j’avais développés sur mon temps libre, l’entreprise refusant d’investir dans de meilleurs systèmes. L’enchevêtrement de mécanismes de protection et de procédures d’urgence que j’étais le seul à comprendre pleinement, car personne au-dessus de moi ne s’était jamais soucié de les apprendre.

La quarantaine tenait pour le moment.

Le système pourrait tenir six à huit heures avant de nécessiter une intervention manuelle. Il faudrait alors ajuster les paramètres, renforcer les points faibles et réagir aux changements de tactique des intrus.

Quelqu’un qui savait ce qu’il faisait.

J’ai pris une décision qui allait tout changer.

J’ai ouvert une fenêtre de terminal et j’ai tapé une seule commande.

Tous les outils personnalisés que j’avais créés ont commencé à se désinstaller. Tous les scripts propriétaires. Tous les accès d’urgence. Toutes les automatisations privées que j’avais développées pour maintenir Caldwell en fonctionnement lorsque les outils standard étaient trop lents.

Des fichiers ont disparu de l’écran cinq.

Des années de travail réduites à néant en quelques secondes.

Je me suis alors emparé du disque dur personnel connecté à mon poste de travail sécurisé. Il contenait mon code source, mes notes de développement, mes schémas d’architecture et la documentation de mes outils privés.

La politique de l’entreprise l’autorisait.

Je le savais parce que j’avais rédigé cette politique moi-même.

Tous les outils personnalisés développés par le personnel de sécurité restaient la propriété intellectuelle du développeur et n’étaient concédés sous licence à Caldwell Industries que dans le cadre d’un emploi actif.

Un emploi qui venait d’être résilié.

J’ai rangé mon ordinateur portable, pris mon manteau et me suis dirigé vers la porte.

Il s’est ouvert avant que je ne l’atteigne.

Un jeune homme se tenait sur le seuil. Vingt-deux, peut-être vingt-trois ans. Cheveux soignés, montre de marque, sourire assuré. Le genre de sourire qu’affichent ceux qui n’ont jamais connu la misère, car l’argent a toujours été là pour les rattraper.

Kyle Caldwell.

« Vous devez être Vivian », dit-il en lui tendant la main. « Papa m’a dit que vous me feriez un briefing avant de partir. »

J’ai regardé sa main.

Je ne l’ai pas pris.

« Les serveurs sont là-dedans », dis-je en désignant derrière moi. « Bonne chance. »

Je suis passé devant lui en direction de la sortie.

«Attendez», dit-il. «C’est tout ?»

Je me suis arrêté.

« Et l’incident ? » demanda-t-il. « Papa a dit qu’il y avait eu un problème. »

Je me suis retourné.

« Une fuite catastrophique de données clients affecte quarante-sept millions de personnes. Les protocoles de quarantaine tiennent bon, mais ils nécessiteront un ajustement manuel d’ici six à huit heures. Le trafic externe est sophistiqué et effectue des tests en continu pour détecter les failles de sécurité. Chaque seconde que vous passez à me parler au lieu de surveiller ces systèmes coûte 120 000 $ à l’entreprise. »

Son visage changea.

« Mais que dois-je faire ? »

« Débrouille-toi », ai-je dit. « Tu es désormais à la tête de la cybersécurité. Du sang neuf. Des approches modernes. »

« Tu ne peux pas simplement me le montrer ? »

« Je ne travaille plus ici. Votre père l’a dit très clairement. »

Je me suis retourné et je suis sorti, laissant Kyle Caldwell dans le couloir, fixant la salle des serveurs comme un homme qui venait d’hériter d’une tempête qu’il ne savait pas comment appréhender.

L’air nocturne m’a fouetté le visage en sortant du bâtiment.

Cool.

Faire le ménage.

Gratuit.

Mon téléphone sonnait déjà à nouveau.

Je l’ai éteint.

Kyle pourrait tout avoir.

Je m’appelle Vivian Chen. À trente-quatre ans, j’avais passé huit ans à la tête de la cybersécurité chez Caldwell Industries, une entreprise de technologie financière qui traitait des milliards de dollars de transactions chaque année.

Je ne suis pas né avec de l’argent.

Mes parents tenaient un petit restaurant dans le Queens. J’ai grandi en les voyant travailler seize heures par jour, traiter chaque client comme un membre de la famille, refusant de lésiner sur la qualité même lorsque le loyer était en retard et que la friteuse est tombée en panne un vendredi soir.

Ils m’ont appris que l’excellence n’était pas une question de prestige.

Il s’agissait d’intégrité.

Cette leçon a façonné tout ce que je suis devenu. C’est pourquoi je n’ai jamais pris de haut les développeurs juniors. Pourquoi je restais tard pour encadrer les stagiaires. Pourquoi je me souvenais du nom du personnel de nettoyage et prenais des nouvelles de leurs enfants.

Pour moi, l’empathie et la brillance technique n’ont jamais été opposées.

Mes parents me l’ont prouvé chaque jour dans leur cuisine, et je l’ai reproduit dans chaque salle serveur où je suis entré.

Quand j’ai commencé chez Caldwell Industries, la sécurité de l’entreprise était déplorable. Les mots de passe d’administrateur étaient affichés sur les écrans. Les comptes partagés étaient omniprésents. Les systèmes critiques reposaient sur la chance et le déni de sécurité.

Huit ans plus tard, nous disposions d’un chiffrement de niveau entreprise, d’une authentification multifacteurs, d’une détection des menaces en temps réel et d’une cote de sécurité qui mettait nos concurrents mal à l’aise.

Et maintenant, Brandon Caldwell l’avait remis à son fils comme un cadeau de fin d’études.

Je ne suis pas rentré chez moi ce soir-là.

Je suis allé dans un restaurant ouvert toute la nuit, à trois rues du bureau, et j’ai commandé un café que je ne bois jamais. Mon téléphone était posé face visible sur la table.

J’attendais.

Cela a pris quarante-sept minutes.

Le premier appel provenait d’Eric, l’un de mes analystes de sécurité principaux.

« Vivian, que se passe-t-il ? » demanda-t-il. « Kyle vient d’arriver et a dit qu’il était désormais aux commandes. Il réclame tous vos mots de passe d’administrateur. »

J’ai pris une gorgée de café froid.

« Donnez-les-lui. Brandon a fait son choix. »

« Mais l’incident… »

« C’est le problème de Kyle maintenant. Vous devez lui faire votre rapport. Suivez ses instructions. »

Il y eut un silence.

« Vivian nous a demandé de désactiver les protocoles de quarantaine car ils ralentissent les performances du réseau. »

J’ai eu un pincement au cœur.

« Quoi ? »

« Il affirme que le système réagit de manière excessive. Il soutient que l’exposition n’est pas aussi grave qu’on le pense. Il souhaite rétablir l’accès complet au réseau afin de maintenir les activités de l’entreprise. »

Ces protocoles de quarantaine étaient la seule chose qui empêchait la situation de se propager aux systèmes de secours. Ils étaient le barrage qui retenait le torrent.

« Eric, dis-je à voix basse, je ne travaille plus là-bas. Tu dois en parler à ton nouveau patron. »

« Vivian, s’il te plaît. »

« Que fait-il en ce moment ? »

« Il est dans la salle des serveurs avec un ordinateur portable. Il a apporté son propre matériel. Il dit que notre sécurité est obsolète et qu’il va rationaliser la procédure de réponse. »

J’ai fermé les yeux.

Son propre ordinateur portable.

Connecté au réseau sécurisé.

Lors d’un incident en cours.

« Eric, écoute très attentivement. Ne le laisse surtout pas désactiver ces protocoles de quarantaine. Dis-lui qu’ils sont automatisés et qu’on ne peut pas les désactiver. »

« J’ai essayé. Il dit avoir trouvé les commandes de remplacement dans la documentation. »

Bien sûr que oui.

Parce que j’ai tout documenté correctement.

Meilleures pratiques.

Je n’aurais jamais imaginé que ces documents seraient utilisés par le fils d’un cadre inexpérimenté pour démanteler la seule chose qui protégeait l’entreprise.

« Combien de temps avant qu’il n’exécute la commande de dérogation ? » ai-je demandé.

« C’est lui qui dirige le commandement maintenant. »

J’ai entendu des clics à travers le téléphone.

Puis Eric inspira brusquement.

« Oh non », murmura-t-il. « Vivian, la quarantaine vient d’être levée dans tous les secteurs. On constate une expansion vers les environnements de secours. Le taux d’exposition augmente. Deux cent quarante mille par heure. Deux cent cinquante. Ça continue d’augmenter. »

« Faites-le sortir de cette pièce. »

« Il refuse de m’écouter. Il prétend qu’il s’agit d’une exposition contrôlée afin d’identifier tous les systèmes affectés. »

Il n’existe pas de notion d’exposition contrôlée en pleine crise. C’est comme ouvrir les fenêtres pendant un ouragan pour mieux comprendre le vent.

« Passez-lui le téléphone », ai-je dit.

Des voix étouffées. Des bruits de pas. Puis la voix de Kyle se fit entendre, irritée.

« Madame Chen, j’apprécie votre inquiétude, mais je maîtrise la situation. »

«Non, vous ne le faites pas.»

« Mon approche est plus agressive que la vôtre. Il faut parfois prendre des risques. »

« Vous avez exposé les systèmes de sauvegarde pour cartographier le périmètre ? »

“C’est exact.”

« Il n’y a pas de solution temporaire lors d’un incident de sécurité actif. Chaque système exposé devient un risque. Chaque seconde d’indisponibilité du système de quarantaine coûte cher… »

« Je sais ce que je fais », intervint-il. « J’ai étudié ça à Stanford. Nos professeurs nous ont appris que la sécurité traditionnelle est trop réactive. Il faut être proactif. Adaptable. »

« Vos professeurs ont enseigné la théorie », ai-je dit. « Ceci est la réalité. Et en réalité, vous venez de transformer un problème à 120 000 $ l’heure en une catastrophe qui pourrait mener l’entreprise à sa perte. »

« Je pense que vous réagissez de manière excessive parce que la transition vous perturbe », a-t-il dit. « Je comprends que le changement soit difficile, mais… »

J’ai raccroché avant de dire quelque chose que je regretterais.

Douze minutes plus tard, mon téléphone a sonné à nouveau.

Jennifer Walsh, vice-présidente des opérations.

« Vivian, dit-elle, je ne sais pas ce qui se passe, mais Kyle vient d’envoyer un courriel à tous les chefs de service disant que la menace à la sécurité était exagérée et que nous fonctionnerons normalement demain. Est-ce exact ? »

« Je ne saurais dire », ai-je répondu. « J’ai été licencié il y a six heures. »

Silence.

«Vous étiez quoi ?»

« Alors que je m’efforçais de maîtriser l’incident, Brandon a décidé que son fils serait plus approprié. »

« Son fils Kyle ? Le stagiaire d’il y a deux étés qui n’arrivait pas à se servir de l’imprimante ? »

« Diplômé en informatique de Stanford », ai-je dit d’un ton sec. « Du sang neuf. Des approches modernes. »

La voix de Jennifer s’est abaissée.

« Vivian, à quel point est-ce grave ? »

J’ai jeté un coup d’œil autour du restaurant. Des néons bourdonnaient au plafond. Un routier, assis trois banquettes plus loin, dévorait une part de tarte. La serveuse remplissait le café d’un client comme si de rien n’était.

« Au rythme d’exposition précédent, on aurait dénombré environ quatorze millions de dollars de dégâts mesurables au matin. Cela supposait que la quarantaine soit respectée et que la situation ne se propage pas. »

« Ça n’a pas tenu », a déclaré Jennifer.

Ma main se crispa autour de la tasse.

“Quoi?”

« Kyle a envoyé ce courriel il y a vingt minutes. Il disait avoir rationalisé la réponse et que la quarantaine engendrait des temps d’arrêt inutiles. »

« À quel point la situation est-elle grave maintenant ? »

« D’après le dernier bulletin d’Eric, l’exposition au risque dépassait les quatre cent mille dollars par heure et continuait d’augmenter. »

J’ai fait le calcul instantanément.

À ce rythme, avec les systèmes de sauvegarde exposés, ils pourraient tout perdre dès le lendemain matin : les données clients, l’historique des transactions, les modèles internes, les algorithmes propriétaires. L’entreprise entière serait paralysée par sa propre défaillance.

« Jennifer, il faut convoquer une réunion d’urgence du conseil d’administration. Faites sortir Kyle de cette pièce. Faites appel à des experts extérieurs. »

« Brandon ne l’autorisera pas. Il dit que Kyle a besoin de temps pour trouver son rythme. »

« Quand Kyle aura trouvé son rythme, il ne restera plus personne dans l’entreprise. »

«Que pouvons-nous faire ?»

J’ai regardé mon reflet dans la vitrine du restaurant.

Épuisé.

En colère.

Gratuit.

« Rien », ai-je répondu. « Je n’y travaille plus. »

J’ai raccroché.

Les appels continuaient d’affluer.

J’ai arrêté de répondre après la sixième.

Je suis donc rentré chez moi, je me suis versé un bon verre de bourbon et je me suis assis près de la fenêtre à regarder les lumières de la ville. Mon ordinateur portable est resté fermé.

Quoi qu’il se soit passé ensuite, mes traces numériques montreraient que je n’avais plus touché aux systèmes de Caldwell après mon licenciement. J’avais fait mon choix en supprimant mes outils.

Maintenant, je devais vivre avec.

Le matin, j’ai constaté vingt-trois appels manqués et quarante-sept SMS.

Je les ai tous ignorés et je suis allé courir.

Six miles à travers Central Park.

Quand je suis rentré, la nouvelle s’était déjà répandue.

Caldwell Industries confirme une importante fuite de données clients.

Un géant de la finance confronté à une grave faille de sécurité.

L’action de Caldwell chute fortement après un incident survenu dans ses systèmes pendant la nuit.

Mon téléphone a sonné.

Brandon.

J’ai laissé le message aller sur la messagerie vocale.

Il a rappelé.

Messagerie vocale.

Puis un texte.

Appelez-moi immédiatement. C’est une urgence.

J’ai versé du café et ouvert mon ordinateur portable, non pas pour accéder aux systèmes de Caldwell, mais pour observer les répercussions publiques.

L’action de la société avait chuté de 34 % à l’ouverture du marché. Plusieurs plaintes avaient déjà été déposées. Les enquêteurs fédéraux avaient annoncé l’ouverture d’une enquête. Un jeune développeur paniqué, qui aurait dû se montrer plus prudent avant de publier quoi que ce soit, a suggéré en ligne que l’incident avait atteint les systèmes de sauvegarde après que Kyle eut désactivé la mise en quarantaine.

Tout ce que j’avais mis huit ans à construire s’effondrait en temps réel.

Et je regardais ça depuis mon salon, en tenue de course, en buvant un café à la française.

Un nouveau message vocal est apparu.

Je l’ai mis sur haut-parleur.

La voix de Brandon était tendue et désespérée.

« Vivian, j’ai fait une erreur. Une terrible erreur. On a besoin de toi. Dis-moi ce que tu veux. Ce que tu veux. S’il te plaît, rappelle-moi. »

Je l’ai supprimé.

Cinq minutes plus tard, un autre message vocal est arrivé.

Celle-ci venait de Kyle.

« Madame Chen, ici Kyle Caldwell. Je crois qu’il y a eu un malentendu concernant les protocoles de sécurité. Le système présente des défaillances en cascade dans tous les secteurs, et je ne peux pas… Les outils que vous avez créés ont disparu, et je ne… »

Sa voix s’est brisée.

« Pourriez-vous me rappeler, s’il vous plaît ? »

Il avait une voix jeune.

Effrayé.

C’est complètement au-dessus de ses compétences.

Parce qu’il l’était.

À trois heures de l’après-midi, on a sonné à ma porte.

J’ai vérifié la caméra de sécurité.

Brandon Caldwell se tenait dans mon couloir, l’air d’avoir pris dix ans d’un coup. Sa cravate était dénouée. Ses yeux étaient injectés de sang. Il était seul.

J’ai ouvert la porte mais je ne l’ai pas invité à entrer.

« Vivian », dit-il.

« Vous avez trente secondes avant que je ne ferme cette porte. »

« S’il vous plaît. L’entreprise est en train de mourir. Nous avons perdu le contrôle de la situation. L’exposition s’est étendue à des systèmes dont nous ignorions même la vulnérabilité. Des informations clients apparaissent là où elles ne devraient jamais se trouver. Le cours de l’action s’effondre. Nous avons des poursuites judiciaires. Des enquêtes réglementaires. Tout s’écroule. »

« Vingt secondes. »

« Je vous donnerai tout. Responsable de la sécurité des systèmes d’information. Siège au conseil d’administration. Actions. Autonomie totale. Aidez-nous simplement à régler ce problème. »

« Vous m’avez licencié alors que je m’efforçais de sauver votre entreprise pour pouvoir y installer votre fils incompétent. Et maintenant, vous voulez que je répare les dégâts. »

« Oui », dit-il.

Cela m’a surpris.

Non pas parce qu’il l’a admis.

Parce qu’il n’a pas essayé d’adoucir la chose.

« Je sais que je ne le mérite pas », a-t-il poursuivi. « Je sais que j’ai eu tort. Mais quarante-sept millions de personnes nous ont confié leurs informations, et elles risquent de payer pour mon arrogance. Je peux accepter de perdre mon entreprise. Je ne peux pas vivre avec la culpabilité de savoir que nos clients ont souffert à cause d’une décision égoïste de ma part. »

C’était la première chose qu’il disait qui ne parlait pas de lui-même.

Je me suis écarté.

“Montez.”

Il m’a suivi jusqu’au salon.

Je ne lui ai pas proposé de place.

Je n’ai pas proposé de café.

Je suis restée là, les bras croisés.

« Montrez-moi la situation actuelle. »

Brandon sortit son téléphone d’une main tremblante et ouvrit un tableau de bord. Je le lui pris et consultai les données.

C’était pire que ce que j’avais imaginé.

L’incident avait touché tous les systèmes principaux : dossiers clients, dossiers employés, modèles de transactions propriétaires, outils administratifs internes. Tout était compromis, exposé ou menacé.

« Où est Kyle maintenant ? »

« Dans la salle des serveurs. »

« Depuis combien de temps est-il là ? »

« Seize heures. »

« Avec quels outils ? »

« Je ne sais pas. Ce qu’il a apporté. Son ordinateur portable. »

« L’ordinateur portable personnel qu’il a connecté à votre réseau sécurisé pendant un incident de sécurité en cours ? »

Le visage de Brandon devint blanc.

«Vous ne pensez pas—»

« Je pense que votre fils a peut-être donné aux opérateurs extérieurs un accès direct à tout ce qu’il touchait. Cet ordinateur portable est probablement compromis. Chaque frappe au clavier pourrait être enregistrée. Chaque mot de passe capturé. »

« Oh mon Dieu. »

Je lui ai rendu le téléphone.

« Il faut tout arrêter. Coupure totale du réseau. Chaque serveur, chaque poste de travail, chaque appareil. Immédiatement. »

« Mais nos opérations… »

« Vos opérations sont déjà à l’arrêt. Vous ne l’avez simplement pas encore admis. Arrêtez tout avant que la situation ne s’aggrave. »

« À quel point cela peut-il empirer ? »

« Les opérateurs externes ont actuellement accès aux informations. Si Kyle continue à improviser, ils pourraient obtenir la possibilité de modifier les enregistrements. Cela signifie des erreurs de transaction, des problèmes de compte et des risques juridiques que vous ne pourrez pas justifier. Il ne s’agit plus d’un simple incident de sécurité, mais d’une véritable crise d’entreprise. »

Brandon a composé le numéro immédiatement.

« Ici Caldwell », dit-il. « Déclenchez le protocole d’urgence numéro sept. Arrêt complet du réseau. Tout sera hors service dans les dix minutes. »

Il écouta.

« Je me fiche des heures d’ouverture. Je me fiche des transactions en cours. Fermez tout immédiatement. »

Il a raccroché et m’a regardé.

“Quoi d’autre?”

« Faites sortir Kyle de la salle des serveurs. Prenez son ordinateur portable et son téléphone. Ne le laissez pas toucher au matériel de l’entreprise. Ensuite, préparez votre équipe juridique, car les enquêteurs fédéraux voudront tout examiner. »

« Reviendras-tu ? » demanda Brandon. « Nous aideras-tu à reconstruire ? »

Je me suis approché de la fenêtre et j’ai regardé la ville.

Huit années de ma vie.

Huit ans à construire quelque chose d’excellent, réduits à néant en seize heures parce que l’ego a primé sur l’expertise.

« Je vais me renseigner », ai-je dit.

Ses épaules s’affaissèrent de soulagement.

« Contrat de six mois », ai-je poursuivi. « Honoraires fixes. Autonomie totale. Mon équipe. Mes règles. »

“Oui.”

« Et Brandon ? »

Il leva les yeux.

« Si jamais vous passez outre mes décisions en matière de sécurité, si jamais vous remettez en question mes protocoles pendant un incident en cours, si jamais vous faites passer l’ego de qui que ce soit avant la sécurité de l’entreprise, je démissionne. Et je prends tout ce qui m’appartient. Compris ? »

“Compris.”

« Alors nous avons un accord. »

Mon premier jour de retour chez Caldwell Industries m’a donné l’impression de me retrouver au lendemain d’une tempête.

Je suis arrivé à six heures du matin avec quatre spécialistes avec lesquels j’avais collaboré au fil des ans. Les meilleurs que je connaissais. Ils avaient tout laissé tomber quand je les avais appelés, car ils me faisaient confiance et parce que le défi était suffisamment complexe pour être passionnant.

Nous avons pris le contrôle de la salle des serveurs.

C’était le chaos.

Des câbles jonchaient le sol. Des postes de travail exécutaient des scripts aléatoires. L’ordinateur portable de Kyle était toujours connecté, toujours ouvert, toujours là, tel un bug persistant.

« Personne ne touche à rien », ai-je dit. « C’est désormais une scène de crime. »

Ila, mon experte en criminalistique, a commencé à photographier la pièce.

« Patron », dit-elle, « je compte sept appareils non autorisés connectés au réseau. »

« C’est l’œuvre de Kyle », dis-je. « Mettez-les tous dans un sac. Les enquêteurs les voudront. »

Thomas, mon spécialiste en infrastructure, fixait l’écran du serveur principal.

« Vivian », dit-il, « nous avons des connexions sortantes actives. L’exposition est toujours en cours. »

J’ai été muté à son poste.

Il avait raison.

L’information continuait de circuler. Même avec le réseau hors service, une transmission se poursuivait.

«Trouvez la source.»

Les doigts de Thomas filaient sur le clavier.

« Compris. Processus caché sur le serveur d’authentification de secours. On dirait un point d’accès persistant. Ils l’ont installé après que Kyle a levé la quarantaine. »

« Peux-tu le tuer ? »

« Non sans risquer d’effacer toute trace de preuves. C’est sophistiqué. »

J’ai tiré une chaise à côté de lui.

Cela nécessitait une précision chirurgicale.

« Que tous les autres commencent l’audit de l’infrastructure. Je veux une cartographie complète de tous les systèmes concernés. Thomas et moi nous en occupons. »

Les six heures suivantes furent intenses.

Thomas et moi travaillions de concert, étudiant minutieusement le code malveillant, ses déclencheurs, ses mécanismes de sécurité et ses schémas de communication. Il changeait de signature toutes les quinze minutes. Cela signifiait qu’une mise en quarantaine standard pouvait l’alerter et l’amener à effacer toute trace de son passage avant que nous ayons pu récupérer les données nécessaires.

« Alors on ne le met pas en quarantaine », ai-je dit. « On le laisse mourir de faim. »

J’ai conçu un filtre de paquets si fin qu’il aurait pu passer à travers une aiguille. Il laissait passer le trafic interne normal sans le moindre problème, tout en capturant discrètement les données sortantes et en les redirigeant vers un environnement contrôlé.

Le secret était de rendre le filtre suffisamment subtil pour que le processus ne le remarque pas avant qu’il ne soit trop tard.

« Déploiement dans trois », ai-je dit. « Deux. Un. »

Nous avons observé la circulation.

Le processus caché continuait de fonctionner comme si de rien n’était, mais ses paquets sortants étaient interceptés et redirigés vers l’environnement leurre que j’avais créé.

« Il ne détecte pas le filtre », a déclaré Thomas.

«Laissez-lui le temps. Si nous avons bien fait les choses, il ne s’en apercevra pas avant au moins une heure.»

Quarante-trois minutes plus tard, le processus a tenté de communiquer avec les données capturées.

La connexion a échoué.

Il a réessayé.

Échoué.

Il a utilisé successivement les canaux de communication de secours.

Tout est bloqué.

« Il sent que quelque chose ne va pas », a déclaré Thomas.

« Laisse-le paniquer. Ila, tu enregistres ça ? »

« Chaque paquet ! » cria-t-elle depuis son poste.

Le processus a tenté une dernière fois d’effacer toute trace de lui-même. Mais à ce moment-là, nous l’avions isolé dans un conteneur virtuel. Il pouvait effacer tout ce qu’il voulait à l’intérieur de cet environnement. Il ne pouvait plus accéder aux systèmes réels.

« Compris », dis-je en me penchant en arrière. « Point d’accès neutralisé. Thomas, efface toute trace de l’environnement réel. »

« J’y travaille. »

Je suis restée debout, le dos douloureux après six heures passées penchée sur un clavier.

La pièce était désormais animée de mouvements contrôlés.

Ila a documenté les preuves. Thomas a éradiqué le système infecté. Rachel, ma spécialiste en cryptage, a élaboré de nouveaux protocoles. James, le benjamin de l’équipe et mon testeur d’intrusion le plus compétent, a recherché les failles restantes.

Jennifer Walsh est apparue à la porte de la salle des serveurs.

“Statut?”

« L’exposition active a cessé », ai-je dit. « Le saignement immédiat est maîtrisé. Maintenant, le plus dur commence. »

“Combien de temps?”

« Six semaines si tout se passe parfaitement. Trois mois en cas de complications. »

«Vous avez toutes les ressources dont vous avez besoin.»

« J’en aurai besoin. »

La veille de la mise en service du nouveau système, j’ai reçu une assignation à comparaître.

Un comité de réglementation public souhaitait recueillir des témoignages sur les normes de sécurité dans le secteur des technologies financières. Plus précisément, il voulait s’entretenir avec Caldwell Industries et les causes de ses dysfonctionnements.

J’étais assis dans une salle d’audience à Washington, D.C., face à un panel de fonctionnaires qui en savaient assez sur la technologie pour être inquiets, mais pas assez pour être rassurés.

« Madame Chen, » commença l’un d’eux, « pouvez-vous expliquer clairement ce qui s’est passé chez Caldwell Industries ? »

Je me suis penché vers le microphone.

« Un professionnel qualifié a été remplacé par une personne incompétente en pleine crise », ai-je déclaré. « Le résultat a été un échec catastrophique. Si vous remplaciez un chirurgien cardiaque en pleine opération par quelqu’un qui n’a fait que des études de médecine théoriques, vous vous attendriez à des résultats similaires. »

Quelques personnes dans la galerie ont réagi à voix basse.

Les questions ont continué.

« Et qui a décidé de ce remplacement ? »

« Le PDG Brandon Caldwell. »

« Il vous a licencié alors que l’incident était encore en cours ? »

“Oui.”

« Et il a installé son fils ? »

“Oui.”

« Quelles étaient les qualifications de Kyle Caldwell ? »

« Un baccalauréat en informatique et un stage d’été. Aucune expérience concrète en matière de gestion de systèmes de sécurité d’entreprise, de réponse aux incidents ou de gestion de crise. »

« Et vos qualifications ? »

« Douze ans d’expérience en cybersécurité. De nombreuses certifications professionnelles. Un master en ingénierie informatique. Huit ans d’expérience dans la conception et la maintenance de l’infrastructure de Caldwell. Et j’étais physiquement présent, en train de contenir activement l’incident lorsque j’ai été évacué. »

L’interrogatoire a duré deux heures.

D’autres témoins ont témoigné. Des experts en sécurité. D’anciens employés de Caldwell. Même Kyle lui-même, visiblement abattu, a admis avoir été dépassé par les événements et avoir pris des décisions qu’il ne comprenait pas pleinement.

Mais le moment qui a fait les gros titres est survenu lorsqu’un fonctionnaire m’a posé des questions sur mes outils.

« Madame Chen, vous avez supprimé vos outils de sécurité personnalisés après votre licenciement. Certains ont suggéré que cette action a engendré des préjudices supplémentaires. Quelle est votre réaction ? »

Le silence se fit dans la pièce.

J’ai regardé droit devant moi.

« Ces outils étaient ma propriété intellectuelle », ai-je déclaré. « Je les avais développés sur mon temps libre, avec mes propres ressources, et concédés sous licence à Caldwell Industries dans le cadre de mon contrat de travail. À la fin de ce contrat, la licence a également expiré. J’avais parfaitement le droit de supprimer le logiciel propriétaire qui m’appartenait. »

« Mais vous saviez que cela créerait des difficultés pour l’entreprise. »

« Je savais que cela compliquerait la tâche de mon remplaçant », ai-je dit. « Tout comme un chef qui efface ses recettes privées compliquerait la tâche de son successeur. Ce n’est pas une faute professionnelle. C’est la conséquence naturelle de la perte du savoir-faire institutionnel. »

« Certains diraient que vous aviez une obligation morale. »

« Certains diraient qu’un employeur a l’obligation morale de ne pas destituer son responsable de la sécurité en pleine crise pour y installer un membre de sa famille incompétent », ai-je répondu. « La morale est une chose complexe. »

La vidéo s’est propagée en moins d’une heure.

Six mois après cette nuit dans la salle des serveurs, je me suis retrouvé devant le conseil d’administration de Caldwell Industries.

« La nouvelle infrastructure de sécurité est terminée », leur ai-je annoncé. « Elle est opérationnelle, testée et bien plus robuste que la précédente. Mon équipe a formé votre personnel permanent. La documentation est complète. Vous êtes entre de bonnes mains. »

Amanda Walsh, qui avait depuis assumé un rôle de leadership plus important, sourit.

« Alors c’est un adieu ? »

« C’est un adieu. »

J’avais rempli mon contrat.

Les honoraires de consultant de 2,5 millions de dollars étaient sur mon compte.

L’entreprise était sécurisée.

Et j’avais fini.

Alors que je sortais du bâtiment pour la dernière fois, Eric m’a rattrapé près du hall d’entrée.

« Tu vas nous manquer », a-t-il dit.

« Tout va bien se passer. Tu connais maintenant ces systèmes sur le bout des doigts. »

« Ce n’est pas pareil. »

« Ça ne devrait pas être comme ça. Tu n’es pas moi. Tu es meilleur parce que tu as tiré des leçons de tout ça. »

Il m’a serré la main.

« Si jamais tu as besoin de quoi que ce soit, » ai-je dit, « appelle-moi. »

Je le pensais vraiment.

Trois mois plus tard, j’ai ouvert ma propre société de conseil en cybersécurité.

Solutions de sécurité Chen.

Mon premier client était une entreprise du secteur de la santé qui avait frôlé la catastrophe informatique. Le deuxième était une entreprise manufacturière dont la sécurité reposait principalement sur un tableur protégé par mot de passe. Le troisième était une start-up dont les fondateurs souhaitaient une sécurité optimale dès le départ.

La nouvelle s’est répandue rapidement.

La femme qui avait quitté Caldwell Industries.

La femme qui a témoigné à Washington.

La femme qui a reconstruit l’infrastructure d’une entreprise valant un milliard de dollars en six semaines.

Elle était disponible pour être embauchée.

Le travail était stimulant, gratifiant et entièrement à mon goût.

Fini les patrons qui privilégiaient les faveurs familiales à la compétence. Fini de mendier des ressources pour bien faire mon travail. Fini de me taire face aux problèmes qui se profilaient.

J’ai constitué une équipe de spécialistes qui partageaient mes valeurs. Nous avons accepté des clients qui souhaitaient réellement être en sécurité, et non pas seulement se conformer aux exigences réglementaires.

Chaque contrat comportait une clause.

Les décideurs exécutifs doivent s’en remettre aux experts en sécurité lors d’incidents actifs.

Sans exception.

Je l’ai appelée la clause Caldwell.

Certains clients ont opposé une résistance.

Ce n’étaient pas les clients que je souhaitais.

Ceux qui comprenaient, qui avaient vu ce qui se passait lorsque l’ego primait sur l’expertise, ont signé immédiatement.

Un an après cette nuit dans la salle des serveurs, j’ai reçu un courriel de Kyle Caldwell.

Objet : Des excuses.

Je l’ai longuement contemplé avant de l’ouvrir.

Mme Chen,

Je sais que ce courriel arrive bien tard. Je vous dois des excuses.

Ce qui s’est passé chez Caldwell Industries n’était pas de votre faute. C’était la mienne et celle de mon père. Il n’aurait jamais dû me mettre dans cette situation, et j’aurais dû être assez intelligent pour refuser.

J’étais arrogant. Je pensais qu’un diplôme me qualifiait. Je trouvais les systèmes que vous aviez conçus inutilement complexes. Je pensais pouvoir faire mieux.

Je me suis trompé sur toute la ligne.

J’ai passé l’année dernière à occuper des postes de débutant en cybersécurité et à apprendre les bases. Je recommence à zéro et j’essaie de bien faire les choses cette fois-ci.

Je n’attends ni pardon ni réponse. Je voulais simplement que vous sachiez que je comprends maintenant ce que j’ai coûté à vous, à l’entreprise et aux quarante-sept millions de personnes dont je n’ai pas su protéger les données.

Je suis désolé.

Kyle.

Je l’ai lu deux fois.

J’ai ensuite cliqué sur répondre.

Kyle,

Merci pour vos excuses. Il faut du courage pour admettre ses erreurs, surtout en public.

Si vous êtes vraiment motivé(e) et souhaitez faire les choses correctement, j’ai un poste à pourvoir pour un analyste de sécurité junior. La rémunération est celle d’un débutant. Le travail est exigeant. Vous apprendrez auprès de personnes compétentes et exigeantes.

Mais si vous voulez vraiment exceller dans ce domaine, l’offre tient toujours.

Vivian.

Il a commencé le lundi suivant.

Au début, il était exécrable.

Il a commis des erreurs de débutant. Il a posé des questions évidentes. Il a eu du mal avec des notions qu’il aurait dû maîtriser avant même d’entrer dans cette salle des serveurs. Mais il était présent tous les jours.

Il écouta.

Il a appris.

Lentement, il s’est rétabli.

Je ne l’ai jamais ménagé.

Mon équipe non plus.

Mais nous lui avons enseigné la même leçon que mes parents m’avaient enseignée dans leur restaurant du Queens : l’excellence découle de l’intégrité, et la compétence découle de l’humilité.

Au bout de six mois, Kyle a décelé une faille de sécurité qui aurait coûté des millions à un client.

« Bon travail », lui ai-je dit.

Il leva les yeux, surpris.

C’était le premier compliment que je lui adressais.

« Merci », dit-il. « Je crois que je comprends maintenant ce que vous faisiez ce soir-là. Pourquoi ces protocoles étaient importants. À quel point j’ignorais beaucoup de choses. »

« Tout le monde commence quelque part », ai-je dit. « La question est de savoir si vous êtes prêt à faire les efforts nécessaires pour vous améliorer. »

“Je suis.”

«Alors tout ira bien.»

Caldwell Industries ne s’en est jamais complètement remise.

L’incident leur a coûté des milliards en procès, amendes, pertes commerciales et rupture de confiance. La réputation de Brandon Caldwell ne s’en est jamais remise. L’entreprise a finalement été rachetée par un concurrent pour une fraction de sa valeur d’antan.

Mais l’infrastructure que j’ai reconstruite a continué de fonctionner.

Sécurisé.

Écurie.

Un monument à ce qui est possible lorsque la compétence prime sur la facilité.

Pour ma part, Chen Security Solutions est devenue l’une des entreprises les plus respectées du secteur. Nous avons refusé plus de clients que nous n’en avons acceptés. Nous avons bien rémunéré nos employés, les avons traités avec respect et n’avons jamais transigé sur nos normes.

Chaque nouvel employé entendait la même histoire le premier jour.

La nuit où j’ai quitté une situation de crise parce que je refusais de travailler pour des gens qui ne valorisaient pas l’expertise.

La différence entre être employé et être respecté.

L’importance de savoir ce qui vous appartient avant que quelqu’un ne décide que vous êtes jetable.

Certaines personnes m’ont traité de vindicatif pour avoir retiré mes outils.

D’autres m’ont qualifiée de courageuse pour avoir dénoncé le népotisme en entreprise.

Je ne me considérais ni l’un ni l’autre.

J’étais simplement quelqu’un qui comprenait que parfois, la chose la plus efficace que l’on puisse faire est de s’éloigner et de laisser les gens assumer les conséquences de leurs choix.

Brandon a choisi son fils plutôt que la compétence.

Kyle a choisi l’ego plutôt que l’humilité.

Ils ont tous les deux payé.

J’ai choisi l’intégrité plutôt qu’un salaire.

Et c’est pourquoi j’ai construit quelque chose de mieux.