En mars dernier, la Chine avait elle aussi accusé l'agence américaine de renseignement, la NSA (National Security Agency), d'avoir infiltré les serveurs du siège de Huawei, le géant chinois des télécommunications et de l'Internet. Il y a quelques semaines, c'était au tour d'ebay, le géant américain des enchères en ligne de faire l'objet d'une cyber-attaque ayant conduit au vol des données de ses clients. A qui le tour ? Il n'existe que deux types d'entreprises, celles qui ont été piratées et celles qui le seront», disait Robert Mueller, l'ancien directeur du Federal Bureau of Investigation (FBI). En effet, anticiper la prochaine attaque malveillante n'est pas chose facile pour les entreprises étant donné que les techniques employées par les cybercriminels sont en constante évolution et circulent sans réelle contrainte sur la Toile ; 30 millions de logiciels malveillants sévissent dans le monde, dont 70 000 nouveaux tous les mois. Les technologies de l'information et de la communication sont donc une arme à double tranchant ; en plus d'avoir multiplié et facilité les échanges, sources de richesses socio-économiques et culturelles, leur développement a introduit une nouvelle forme de criminalité : «le cybercrime», dont les auteurs ne connaissent pas de frontières et peuvent depuis n'importe quel point du globe en attaquer un autre. Tous les pays du monde sont exposés, seule l'ampleur diffère en fonction du niveau d'interconnexion des réseaux et du volume des échanges informatisés. En dépit de la moindre diffusion et du retard des TIC dans l'économie algérienne, celle-ci n'est pas à l'abri de la cybercriminalité. «A partir du moment où une économie utilise les TIC, donc tout simplement connectée à l'Internet, elle est forcément une cible potentielle de cyberattaques. Facteur aggravant, ces cybercriminels opèrent dans un environnement qui leur est favorable. En effet, nous n'avons rencontré que peu d'entreprises ou d'organisations disposant d'un plan de sécurité structuré et suffisant au regard des menaces potentielles. Seule une minorité a mis en place un management de la sécurité des systèmes d'information. Dans certains cas, les mesures élémentaires de contrôle et d'authentification n'étaient même pas mises en œuvre. Pour ces organismes, il y a urgence car ces failles béantes ne resteront pas longtemps ignorées et inexploitées», explique Philippe Ausseur, président fondateur du cabinet de conseil opérationnel AbingtonAdvisory. Les cyber-attaques : ça coûte cher ! Quant aux risques liés à ces attaques, ils sont considérables, selon notre interlocuteur. Ils sont bien entendu d'ordre financier, mais pas seulement. On s'expose aussi à des menaces telles que l'usurpation d'identité, la désinformation ou le dénigrement, le blocage ou le dysfonctionnement de tout ou partie d'une organisation… sachant que dans une économie moderne de plus en plus connectée et digitalisée, l'atteinte à la réputation et la perte de confiance — avant même le risque financier direct — sont un risque considérable aux conséquences dévastatrices pour une entreprise, un organisme, voire un pan entier de l'économie. Pour sa part, le consultant IT Younes Grar affirme que les risques diffèrent de l'atteinte à l'image de marque de l'entreprise, au dysfonctionnement interne de certains services de production ou de commercialisation. Toute attaque malveillante peut occasionner des pertes différentes à l'entreprise, allant jusqu'à la disparition pure et simple de celle-ci. Si l'attaque touche une entreprise qui active dans un domaine stratégique (télécoms, énergie, transport, santé…), elle peut engendrer un drame national qui peut déstabiliser un pays. Si l'on en croit une étude menée par l'IDC et l'Université de Singapour (NUS), les entreprises à travers le monde devraient dépenser près de 500 milliards de dollars d'ici la fin de l'année 2014 pour faire face aux préjudices causés par les programmes malveillants présents dans les logiciels piratés. 127 milliards pour les problèmes de sécurité, et 364 milliards pour le piratage de données. Quant aux consommateurs, ils devraient dépenser plus de 25 milliards de dollars et consacrer 1,2 milliard d'heures cette année pour traiter les menaces de sécurité et dépanner leurs ordinateurs. L'Algérie, un des pays les plus vulnérables En Algérie, faute d'enquêtes d'envergure, nous manquons de données statistiques suffisantes pour quantifier le phénomène. «Le manque de chiffres et statistiques sur ce phénomène est dû au fait qu'il n'est pas très connu ou pas pris au sérieux et aussi par le fait que les victimes préfèrent ne pas en parler et ne déposent pas plainte. Selon des chiffres de 2012, le nombre de plaintes ne dépasse pas la centaine, et celles dont les enquêtes ont abouti avoisinent les 10%», regrette notre interlocuteur. Toutefois, certaines études réalisées par des organismes étrangers nous éclairent sur la situation en Algérie, et le moins que l'on puisse dire est que le constat qu'elles dressent est alarmant. C'est le cas du rapport Security Intelligence Report (SIR) publié par Microsoft et dans lequel sont consignées les analyses de données sur la sécurité de l'ensemble des utilisateurs des solutions Microsoft de par le monde. Le rapport révèle qu'en Algérie, 55,7% des ordinateurs (sondés) ont rencontré des logiciels malveillants, alors que la moyenne mondiale pour la même période a été de 21,6%… En outre, l'éditeur reconnu de solutions de sécurité informatique Kaspersky a classé l'Algérie parmi les pays les plus vulnérables aux cyber-attaques, et partant du principe que plus une économie s'interconnecte, plus elle se digitalise et plus les risques augmentent, les attaques vont certainement augmenter, les risques aussi. Et ce, au fur et à mesure que le nombre de services électroniques croît et que leur exploitation augmente. La 3G, avec l'engouement qu'elle a connu, va augmenter le nombre d'internautes et va inciter les administrations et entreprises à investir dans le domaine du contenu numérique et des services électroniques : administration électronique, commerce électronique… «Mais il est important de signaler que la cybercriminalité n'est pas une fatalité et ne devrait pas être exploitée comme prétexte pour bloquer le développement des services électroniques. Il suffit de prendre exemple des pays développés (USA, Corée du Sud, Chine, Europe, etc.) qui ont relevé le défi de la cybercriminalité et ont déployé les services électroniques à large échelle. Je donne à chaque fois l'exemple des accidents de la route qu'on vit quotidiennement et qui n'ont pas bloqué ou ralenti le développement de l'industrie automobile, la construction des autoroutes et la très large utilisation de ce moyen de transport. Les crashs d'avions n'ont jamais amené les agences aériennes ou les usagers à suspendre leurs vols. On fait avec les risques, on vit avec, en prenant en compte leur existence et en déployant des solutions pour y faire face», soutient Younes Grar. Par ailleurs, notre interlocuteur affirme qu'une bonne partie des cyber-attaques viennent du laisser-aller ou de la méconnaissance des employés. Ce sont donc eux qui peuvent nuire volontairement ou involontairement à l'entreprise par de mauvaises pratiques. Ainsi, pour faire face aux cyber-attaques, un travail au niveau technique (matériel et logiciel) est important mais pas suffisant. Un travail de formation des ressources humaines est indispensable soit au niveau des ingénieurs et administrateurs réseaux, mais aussi au niveau de tout le personnel. Un travail est attendu aussi pour enrichir l'arsenal juridique afin de mettre à la disposition des services concernés les outils nécessaires pour combattre la cybercriminalité. Pour l'instant, la prise en charge de ce phénomène par les autorités est limitée. Concernant le cadre juridique, certains textes ont été mis à jour ou élaborés. On citera : le code pénal (la loi n°04-15 du 10 novembre 2004, section 7 bis) ; la loi n° 09-04 du 05 août 2009 portant sur les règles particulières relatives à la prévention et à la lutte contre la criminalité liée aux technologies de l'information et de la communication ; le code de procédure pénale (loi n° 06-22 du 20 décembre 2006) et d'autres lois spécifiques. Certains juges et avocats — très peu sont spécialisés dans ce genre d'affaires — exploitent les textes existants pour faire aboutir leurs dossiers. Certaines affaires ont été menées à terme et ont vu les accusés emprisonnés ou sanctionnés. Certaines de ces affaires ont été rapportées par la presse. C'est un début ! Absence de politique nationale de sécurité informatique S'agissant des solutions de sécurité informatique, celles-ci ne sont pas bien développées d'après le consultant. «Il faut reconnaître qu'à l'image globale du développement des TIC, même si certaines entreprises ont enclenché des stratégies sérieuses de sécurité, il faut préciser que ce sont des initiatives individuelles liées à la conviction des gestionnaires et des DSI. Mais il n'y a pas une politique nationale de sécurité informatique» a-t-il déclaré, et d'ajouter : «Si les grandes entreprises, banques, administrations n'ont pas pris en charge cet aspect de sécurisation sérieusement, ce phénomène est plus flagrant au niveau des PME.» Une politique nationale de sécurité informatique pour créer un environnement de confiance dans les entreprises, administrations et chez les citoyens vis-à-vis des services électroniques et de la gouvernance numérique doit donc être élaborée.
