Le braquage du Conseil national de recherche du Canada

GangstersLe Conseil national de recherche du Canada (CNR) a récemment admis avoir été victime d’une attaque cybernétique d’envergure, suffisante pour paralyser ses activités pendant un certain temps. L’information personnelle du public n’est, dit-on, pas en danger, mais entre vous et moi, les coupables n’ont pas visé cet organisme pour les informations personnelles des Canadiens. Le gouvernement s’est empressé d’identifier les services chinois comme le coupable numéro un. Il est peu probable que cela entraîne de véritables répercussions entre les deux pays tant ce genre d’espionnage économique est monnaie courante depuis longtemps déjà.

Ce n’est évidemment pas la première fois que les médias relaient ce genre de nouvelle, mais on imagine souvent à tort qu’il s’agit d’un problème ne concernant que les Américains (et les Chinois). Dans la pratique, les organisations canadiennes sont des cibles tout aussi intéressantes pour les services secrets étrangers, et on ne peut donc pas se surprendre quand ce sont nos propres institutions qui sont les victimes.

Afin de faire un peu de lumière sur la situation, le réseau CTV a interviewé Anthony Seaboyer, expert en sécurité nationale au Collège militaire royal du Canada, et Maxime Lamothe-Brassard, professionnel de la sécurité de l’information et frère de votre humble serviteur. Comme c’est souvent le cas avec ce genre d’article, on ne fait que survoler des problématiques très complexes auxquelles il n’y a pas toujours de solutions évidentes. Par manque d’espace, il n’est pas possible aux journalistes de s’étendre un peu sur le sujet – chose que les blogueurs de mon espèce se permettent de faire.

Notez que je n’ai pas directement discuté du dossier avec mon frangin, mais comme il lira ce billet, je suis certain qu’il se fera un plaisir d’y répondre et de rectifier sa pensée s’il le juge nécessaire.

M. Seaboyer mentionne dans l’article que la législation canadienne (et celles de tous les autres pays – nous sommes loin d’être seuls avec ce problème) ne parvient pas à suivre l’évolution du risque en sécurité TI. Il a raison, mais je crois que le problème dépasse la simple législation. Les organisations ayant des besoins en sécurité de l’information commencent à s’habituer aux risques de base; les « menaces de marchandise » (commodity threats), et les contrôles et investissements nécessaires pour s’en prémunir. Or, les ressources nécessaires pour se protéger efficacement contre des menaces avancées (advanced threats) des états nations sont bien plus importantes. Ces états sont devenus dans les dernières années des acteurs incontournables dans la sécurité de l’information et leur rôle et influence ne saura qu’augmenter dans le futur. Les entreprises œuvrant dans industries ciblées – et les normes qu’ils doivent respecter – devront s’ajuster à cette nouvelle forme de menace pour leur sécurité.

Plusieurs entreprises ayant des responsabilités en sécurité informatique continuent aujourd’hui à se buter contre les commodity threats. Dans ces circonstances, même des législations plus strictes n’aideront pas à régler le problème. Gérer correctement la sécurité de l’information d’une organisation est une tâche complexe et coûteuse, et qui peut être rendue caduque par une seule erreur. C’est vrai dans le secteur privé – l’essentiel de mon expérience personnelle – et je suis certain que ce l’est également dans le secteur public. Il ne s’agit donc pas d’une question de loi, mais plutôt de maturité organisationnelle. Les entreprises ont de la difficulté à faire ce qu’on leur demande déjà de faire, pas nécessairement par ignorance ou manque de persévérance, mais à cause de la complexité de la tâche, souvent relié à un changement de culture.

Cette constatation en cache une autre plus subtile: celle de la profonde asymétrie entre l’attaque et la défense dans sécurité de l’information. Il est bien moins coûteux – en terme d’effort, de temps et de ressources – pour un hacker de s’infiltrer dans une organisation, que pour une organisation de se protéger efficacement contre l’ensemble des risques TI auxquelles elle fait face. Tant que cette asymétrie demeure (et ce n’est pas près de changer de sitôt), les infrastructures critiques demeureront des cibles de choix pour les espions étrangers.

Cette tendance lourde entraîne progressivement un changement de stratégie pour les organisations cherchant à se prémunir contre les attaques commandées par des gouvernements étrangers, et c’est l’origine de la remarque de Maxime Lamothe Brassard sur nécessité de détecter les attaques au lieu de chercher à complètement les éviter. Cela peut sembler une admission de défaite, mais c’est en fait une stratégie pragmatique compte tenu de la situation. C’est d’ailleurs ce qui semble s’être produit avec le CNR. Sans être idéale, une telle approche a beaucoup plus de chances de réussir à long terme à mitiger le risque envers les infrastructures critiques nationales.

Les représentants du CNR parlent maintenant de rebâtir l’infrastructure technologique de l’organisation pour éviter qu’un tel incident se reproduise de nouveau. Cela peut sembler exagéré, mais ce n’est pas particulièrement inusité. Dans la pratique, lorsqu’un réseau est infiltré électroniquement, il est souvent souhaitable d’effacer et de rebâtir un grand nombre de systèmes, même lorsque ceux-ci ne présentent pas nécessairement des symptômes montrant qu’ils ont été compromis. La nature des attaques informatiques est telle qu’il est parfois très difficile d’en déterminer précisément la source. C’est d’autant plus vrai lorsque ces attaques viennent d’une agence de renseignement étrangère.

Bientôt dans un cinéma près de chez vous

Non, je n’ai pas l’intention de me transformer en critique du grand écran, mais deux films en production attirent particulièrement mon attention. Vous allez vite comprendre pourquoi:

Ce n’était qu’une question de temps avant que l’histoire d’Edward Snowden, délateur extraordinaire, soit portée à nos écrans. C’est Oliver Stone qui assurera la direction. Quand je pense à lui, je pense à JFK, un film qui m’avait fortement impressionné dans ma jeunesse et que j’avais beaucoup aimé. Par contre, ce n’est pas un amour partagé par plusieurs historiens professionnels, qui lui reproche d’être plutôt libéral avec les faits. Je vois très bien Stone faire un JFK de Snowden, et je me méfie donc du ton qui sera choisi pour traiter de l’affaire. On verra bien. Le projet n’est qu’en pré-production et on devrait en entendre un peu plus parler dès l’année prochaine.

Deuxièmement, il y a The Imitation Game, un film biographique portant sur la vie et l’œuvre de Alan Turing. Turing est considéré à la fois comme un des pères de l’informatique et de la cryptographie, ayant créé l’un des premiers ordinateurs dans le cadre de ses recherches portant sur le déchiffrage des codes secrets allemands de la seconde guerre mondiale. Sa vie mouvementée pourrait servir de base à une très belle (bien que tragique) histoire, et j’espère que le résultat sera meilleur que les tentatives antérieures de qualité douteuse. Benedict Cumberbatch, le Sherlock de Sherlock, assurera le rôle principal. Sa sortie est prévue pour novembre 2014.

De l’utilisation du chiffrement par le vrai monde

cryptoLe chiffrement de données ayant pour but d’en protéger la confidentialité est utilisé depuis longtemps sur Internet dans toutes sortes de contextes, souvent sans que l’utilisateur n’en soit conscient. Par exemple, l’accès à des pages web contenant de l’information particulièrement sensible – disons votre site bancaire – est protégé automatiquement de la sorte. Avez-vous déjà remarqué un petit icône de cadenas sur la barre de navigation de votre fureteur? Sa présence signifie que la transmission avec ce site via SSL, un protocole de chiffrement largement utilisé.

Protéger ainsi l’information dans sa transmission est une application commune de la cryptographie (la science derrière les techniques de chiffrement), mais il y en a d’autres. Des technologies similaires peuvent être utilisées pour protéger la confidentialité de n’importe quel type de données. Les cybercriminels cherchant à cacher leurs agissements, les professionnels désirant protéger de l’information sensible de la vue de compétiteurs ou de pays étranger, ou les défenseurs des droits humains vivant dans la clandestinité ont tous pris conscience au cours des années de l’importance de comprendre et d’utiliser ces technologies pour leur propre sécurité. Suite aux révélations sur la NSA, c’est maintenant monsieur et madame tout le monde qui se sent concerné, pour toutes sortes de raisons.

Contre les menaces électroniques à la confidentialité de l’information, les technologies de chiffrement demeure le moyen technique le plus efficace et pour lequel nous avons un haut niveau de confiance. Du moins en théorie. Mais qu’en est-il de la pratique? Sont-elles réellement utilisées, particulièrement par les utilisateurs non professionnels? Le sont-elles efficacement?

Cet article du magazine Wired nous donne une partie de la réponse, du moins dans le contexte de l’écoute électronique de cybercriminels par les forces policières américaines. Les données sont intéressantes. En 2013, la police a procédé à 3500 opérations d’écoute électronique. Elle n’a observé l’utilisation du chiffrement que dans 41 cas sur ces 3500, ce qui est bien peu. Et dans 32 de ces 41 cas, elle a tout de même été en mesure de contourner la technologie en place et d’accéder à l’information, pour un total de seulement 9 utilisations fructueuses d’une technologie de chiffrement. L’article n’indique malheureusement pas la nature de ce contournement.

Il est indéniable que ces nombres sont appelés à augmenter dans les prochaines années alors que les questions de protection de l’information et de vie privée continuent à prendre de l’importance. On peut quand même se désoler non seulement de cette faible utilisation, mais de la fréquence avec laquelle les forces policières parviennent tout de même à la contourner. Ce n’est pas particulièrement surprenant dans le contexte où l’implantation pratique des technologies de chiffrement a toujours leurs talons d’Achille – de simples bogues qui ne sont pas présents dans les considérations théoriques peuvent venir bousiller l’implantation d’un protocole pourtant solide. Il n’y a pas meilleur exemple que Hearthbleed, un bogue dont nous avons discuté récemment ici, et qui affectait OpenSSL, une implantation du protocole SSL mentionné plus haut. Notez que l’article du Wired est avare de détails à ce niveau – il est tout aussi possible que les forces policières aient accès à d’autres indices pour faire avancer leur enquête, rendant inutile le déchiffrement du message codé.

Dans tous les cas, les technologies de chiffrement ont tendance à être trop difficiles à utiliser (et surtout à utiliser de façon sécuritaire) par le commun des mortels. Afin d’aider les utilisateurs communs à utiliser ces technologies, des outils spécialement adaptés pour eux voient le jour. Cet article en présente un. Je ne suis pas vraiment en mesure de le recommander – trop de détails peuvent rendre un produit intéressant complètement inutilisable dans la pratique. Mais si ce n’est pas lui, d’autres suivront. L’intérêt pour le chiffrement n’a jamais été aussi élevé, et beaucoup de gens veulent encourager leur utilisation par toutes sortes de moyens.

Les exercices de confinement dans les écoles du Québec

high_schoolJ’ai adoré l’article de Rima Elkouri dans La Presse cette semaine sur la mode des exercices de confinement dans les écoles. Ces exercices ont pour but de préparer les élèves à la présence d’un tireur dans l’école, un crime fortement médiatisé depuis plusieurs années. Je savais que ce genre d’initiative existait aux États-Unis depuis longtemps, mais j’ignorais qu’on faisait de même ici.

J’ai adoré parce que ce n’est pas un article populiste qui exploite la peur des gens, mais qui cherche plutôt à expliquer pourquoi mettre des jeunes dans une telle situation, même simulée, peut être une mauvaise idée à cause du caractère hautement émotionnel de ce genre d’évènements. Si on accuse les médias de prendre trop souvent le côté du sensationnalisme, on ne peut que les féliciter lorsqu’ils font le contraire. Sans trop de surprises, les nombreux commentaires qu’elle a reçus (disponible en fin d’article) semblent indiquer que plusieurs lecteurs demeurent sceptiques, même si les observations de Mme Elkouri et des gens qu’elle a rencontrés sont très légitimes. Personnellement, je ne crois pas que ce genre d’exercice de confinement soit particulièrement utile, et je pense qu’ils peuvent carrément être contreproductifs en marquant négativement un enfant en bas âge.

Peu importe la perception, hautement influencée par les médias de masse, que les cas de fusillades dans les écoles ou dans d’autres endroits publics sont significativement en hausse depuis plusieurs années, les chiffres sont loin d’être convaincants. Aux États-Unis, les décès annuels causés par ce genre d’incident fluctuent d’une année à l’autre, ce qui n’est pas vraiment surprenant lorsqu’on parle d’une incidence aussi faible (autour de 100 décès par année, et cela inclus tous les lieux publics). Ils sont tout simplement plus médiatisés, et des drames qui n’auraient profité auparavant que d’une couverture locale sont maintenant montrés par les chaînes nationales d’information continue.

Ces décès, extrêmement tragiques mais tout aussi rares, sont à comparer aux 81.5 millions inscrits aux études primaires, secondaires et post-secondaires, toujours aux États-Unis. Les chances de mourir dans un tel incident sont donc une fraction de pourcentage. Les chances de vivre un tel incident (être présent dans une école sans être directement impliqué) sont évidemment plus grandes, mais demeure tout de même minuscules.

De l’autre côté, on peut se demander l’impact psychologique sur un enfant d’un exercice de confinement spécifiant la présence d’un tueur leur voulant du mal. Il s’agit d’une menace personnelle qui peut être stressante, surtout pour un enfant de bas âge. Si seulement une petite fraction d’entre eux en vient à être affectée, on parle quand même de millions d’enfants, tout ça pour se prémunir d’un risque comparativement bien plus rare. Affecté doit évidemment être pris ici au sens large: de mauvais souvenirs jusqu’au développement d’anxiété face au risque de fusillade, une anxiété qui n’est pas rationnelle par rapport au risque réel qu’ont des enfants à fréquenter le milieu scolaire.

Qui plus est, ce genre d’exercice n’est véritablement efficace (en tant que mesure de sécurité) que s’il est pratiqué de façon répétée, tout comme les exercices d’évacuations à cause en cas d’incendie sont pratiqués annuellement. 4000 feux sont déclarés à chaque année dans des établissements scolaires américains, et même si la vaste majorité de ces feux ne causent pas de pertes de vie humaine, il s’agit d’un risque bien plus commun que les fusillades.

La palme des mesures les plus contre-productive revient par contre à certaines écoles américaines qui ont décidé de s’équiper d’arme à feu pour se défendre, dans le scénario hollywoodien qu’ils se sont créé, d’un éventuel forcené. Heureusement, je ne crois pas voir de telles initiatives au Québec de sitôt.

BMO se fait avoir par des enfants

ATM-keypadLa banque Montréalaise a eu une bien mauvaise surprise cette semaine lorsque deux gamins Manitobains encore à l’école secondaire ont exposé le fait que l’accès à au moins un de leur guichet était contrôlé avec le mot de passe par défaut du fabricant écrit dans le manuel d’utilisateur et disponible à qui le veut sur Internet.

Ça va sembler cynique, mais ce n’est pas particulièrement inusité. Je ne veux surtout pas excuser une entreprise (financière!) qui vient de se faire prendre les culottes baissées à ne pas configurer correctement la sécurité de ses appareils, mais c’est un problème tellement commun qu’on ne peut que hocher la tête et soupirer.

Si au moins la vulnérabilité avait été exploitée par des criminels, l’entreprise aurait pu jouer à la victime de méchants pirates, mais quand ce sont des garçons de 14 ans, cette tactique de relation publique n’est plus très efficace.

Je ne suis pas au courant de la réaction du personnel en sécurité de chez BMO, mais on peut spéculer qu’ils voudront au plus tôt auditer l’ensemble de leur parc de guichets, et changer leur mot de passe si on découvre que le problème est répandu. Remarquez que ce n’est pas nécessairement trivial comme démarche – pour diverses raisons, ça peut représenter un défi logistique ou technique pour le personnel concerné. L’accès aux guichets peut-il être reconfiguré à distance, ou est-il nécessaire de faire l’opération localement sur chaque guichet? Le mot de passe (différent pour chaque guichet) doit-il être communiqué à plusieurs départements au sein de l’entreprise? Comment gère-t-on le roulement du personnel ayant connaissance de ces mots de passe – doit-on le changer à chaque fois que quelqu’un démissionne ou prend sa retraite (ou pire, est remercié avec cause)? Cela peut sembler bête comme considérations, mais par expérience je vous dirais qu’elles font souvent toute la différence.

Sans connaître l’ensemble des contrôles de sécurité utilisés par BMO, rien ne nous permet non plus de savoir s’il existait un risque réel pour l’intégrité des guichets. Si les mots de passe par défaut ne sont pas changés (parce que les processus pour le faire coûteraient trop cher par exemple), peut-être que d’autres contrôles compensatoires sont en place pour mitiger ce manque, contrôles qui n’ont pas été dévoilés ici. Ça peut sembler tordu, mais je vous jure que cela arrive bien plus souvent qu’on le pense.

Finalement, un petit conseil général à ceux et celles qui voudraient s’inspirer des exploits de ces adolescents en testant le mot de passe de d’autres guichets de BMO, ou ceux d’autres banques: c’est une très mauvaise idée.

BMO a eu l’intelligence de ne pas entreprendre des démarches judiciaires contre des enfants – il y a une limite à avoir l’air fou sur la place publique – mais ce n’est pas du tout une réaction typique: beaucoup d’autres pirates en herbe se sont retrouvés du mauvais côté de la loi après avoir découvert et rapporté des vulnérabilités sur les systèmes corporatifs d’entreprises dont ils sont client. Même pour un professionnel, communiquer un tel problème sans avoir établi au préalable une entente avec le propriétaire d’un système est une opération délicate. La découverte et l’exploitation, même partielle, d’une vulnérabilité peuvent représenter un risque pour la disponibilité des systèmes concernés sans qu’on puisse s’en rendre compte de l’externe – BMO aurait-elle réagi différemment si les deux jeunes, par mégarde ou ignorance, avaient effectué une opération irréversible ou coûteuse sur un appareil de la banque? De plus, les entreprises peuvent douter des motivations réelles derrière le travail des amateurs – est-ce une tentative détournée de les faire chanter? – alors que les professionnels ont une réputation ou un code d’éthique pour les soutenir.

Prendre les zombies au sérieux

Zombie_Army_by_Vermyn_NÇa vous dit quelque chose. Vous en avez entendu parler, peut-être en lisant votre journal. Peut-être même plusieurs fois. Mais vous n’avez jamais compris ce qui se cachait derrière. Je parle d’une mode populaire depuis quelques années auprès de gens qui ont pourtant la réputation d’être toujours très sérieux: les zombies. Ou, plus précisément, l’utilisation du thème des zombies dans un contexte de scénario catastrophe.

Pièce à conviction: Cet article, datant du mois dernier, et qui détaille comment le Pentagone utilise ce thème pour entraîner son personnel en planification de mesures d’urgence à grande échelle. Ça aurait pu être une attaque terroriste ou une épidémie, mais non, c’est contre les zombies que les stratèges américains font leur classe. Ce n’est vraiment qu’un exemple – une recherche rapide sur internet vous montrera que le thème a été réutilisé à toutes les sauces dans des circonstances semblables, et ce depuis plusieurs années. Mais cette mode à l’apparence farfelue cache des objectifs bien pragmatiques.

Prenez une organisation quelconque. Cette organisation dépend de personnel, de systèmes et de processus d’affaires pour offrir ses services et est donc vulnérable à toute sorte d’incidents qui pourraient venir perturber ses opérations. Les organisations adoptent des plans de continuité des affaires visant à prévoir ce genre d’évènements et à préparer une réponse qui permettra à l’organisation de poursuivre ses activités. Ces plans de continuité seront ensuite révisés et testés annuellement dans l’organisation.

Dans la grande majorité des cas, « tester » veut dire ici réunir des acteurs clés autour d’une table, et réviser avec eux une à une les étapes du plan. À la base, c’est donc un exercice théorique qui n’a absolument rien d’excitant. Motiver le personnel à participer, alors qu’il considère souvent avoir d’autres chats à fouetter que se préparer contre quelque chose qui n’arrivera probablement jamais, devient donc important. Le thème des zombies permet d’introduire une nouveauté à un exercice ennuyant. Un groupe peu intéressé à réviser pour une énième fois les mesures à prendre en cas d’incendie deviendra soudainement attentif face à quelque chose de complètement différent.

Ce thème permet de revoir un grand nombre d’éléments qui sont tout aussi présents dans d’autres scénarios catastrophes plus réalistes. L’évacuation et le transport de masse, le rôle des premiers répondants, et un tas de questions logistiques auront des réponses semblables, peu importe le scénario retenu. Les efforts déployés peuvent être réutilisés dans ces autres contextes. En bout du compte, le choix du scénario exact n’est finalement pas si important que cela (dans les limites du raisonnable).

Finalement, il existe un dernier avantage aux zombies, plus subtil: personne ne pense qu’ils existent pour de vrai. En testant un plan de mesures d’urgence, il arrive parfois que certains membres d’une organisation soient spontanément sollicités à participer en périphérie. Par exemple, on peut demander à un département de TI une estimation du temps nécessaire à récupérer un système à partir d’une copie de sauvegarde. En situation de test, ce genre de demande doit être accompagné d’une mention précisant qu’il s’agit d’une simulation, question de ne pas faire paniquer des employés qui pourraient se demander si un incendie s’est vraiment déclaré dans la salle des serveurs. Le thème des zombies, lui, ne porte jamais à confusion, et le personnel impliqué saura instinctivement qu’il n’a pas affaire à quelque chose de réel.

Cela n’arrive pas souvent que les professionnels en sécurité ont l’occasion de s’amuser un peu. Et c’est pourquoi ils ont récupéré cette idée partout dans le monde… vraiment partout? Non! Une petite province d’irréductibles aux tendances réactionnaires résiste encore et toujours à l’envahisseur. Alors ça donne des choses comme celle-là, l’année dernière. Je laisse soin au lecteur de deviner ce que j’en pense.

Une astuce chinoise en matière d’évasion fiscale

ReceiptSwissJe suis tombé sur cet article qui m’a fait sourire; une stratégie chinoise pour combattre les transactions commerciales qui ne sont pas rapportées aux autorités.

Le principe est simple: le gouvernement chinois – comme celui de plusieurs autres pays – demande aux commerçants de conserver une trace des transactions effectuées avec leur clientèle. Cette trace existe sous la forme de reçus. Grâce à eux, le gouvernement est en mesure d’imposer des taxes sur le total des transactions effectuées par ces commerces.

Une entreprise qui désire rapporter des ventes plus faibles que la réalité à évidemment avantage à effectuer des transactions sans reçus, ce qui lui permet de les camoufler et donc de diminuer son fardeau fiscal.

Face à ce problème (particulièrement grave en Chine, à cause du haut taux de transactions utilisant la monnaie comparé à ce dont nous sommes habitués ici), le gouvernement chinois a imposé aux commerces sur son territoire l’utilisation d’un format standardisé de reçus. Mais comment encourager les commerces à participer si cela n’est pas à leur bénéfice?

Les Chinois ont eu une idée astucieuse en liant ces reçus avec une nouvelle loterie d’état. Soudainement, ce sont les consommateurs eux-mêmes qui ont tout intérêt à exiger l’utilisation de ces reçus, puisqu’ils obtiennent ainsi l’opportunité de gagner à cette loterie.
Cette stratégie d’encourager indirectement un comportement via un bénéfice marginal est utilisée à toutes les sauces en sécurité, dans toute sorte d’occasions.

Un scénario similaire est celui retrouvé dans certains restaurants qui ont pour politique annoncée d’offrir le repas gratuit à leur clientèle s’ils ne reçoivent pas de reçus suite à leur achat. Cette fois-ci par contre, ce n’est pas le gouvernement qui se protège, mais le propriétaire lui-même: il cherche ainsi à s’assurer que son personnel n’empoche pas tout simplement l’argent sans enregistrer officiellement la transaction, une forme commune de fraude dans ce type d’industrie. Le consommateur a tout intérêt à demander son repas gratuit en l’absence de reçu, et le personnel a tout intérêt à produire ce reçu sous peine de devoir expliquer pourquoi il permet ainsi à la clientèle de profiter de la situation.

Un autre exemple d’une stratégie semblable est dans la déclaration d’incidents de sécurité. Les entreprises (ou du moins, celles qui prennent leur sécurité au sérieux) vont typiquement demander à leur personnel de rapporter les incidents potentiels pouvant avoir un impact sur la sécurité de l’information à travers un processus formel de gestion des incidents. Mais ce personnel peut parfois être enclin à cacher les problèmes qu’il observe, par peur de représailles ou parce qu’il ne désire pas voir la situation se corriger. Une solution consiste à offrir un montant d’argent (ou tout autre bénéfice, comme des points pouvant être échangés contre des prix) pour chaque incident rapporté. Cela représente un coût direct pour l’entreprise, tout comme la création d’une nouvelle loterie nationale représente un coût pour la Chine, mais l’investissement peut être avantageux si cela encourage les employés à rapporter promptement les problèmes de sécurité.

Ces stratégies ne sont pas applicables dans toutes les circonstances, et peuvent également être exploitées par des acteurs malicieux. Un commerçant chinois pourrait se lier à un de ses clients pour produire artificiellement un très grand nombre de transactions, et ainsi augmenter les chances de gagner à la loterie. Ou encore, un employé astucieux pourrait déclarer un très grand nombre d’incidents de sécurité sans réelles conséquences dans le but de recevoir un maximum de récompenses du programme de gestion des incidents de son employeur. Même avec ces problèmes potentiels, ces solutions, appliquées avec un peu d’imagination, peuvent être plus efficace à influencer un comportement que les approches plus traditionnelles.

Suivre

Recevez les nouvelles publications par courriel.

Joignez-vous à 83 autres abonnés