- Pourquoi est-il important de sécuriser un site ou des informations sur internet ? Pour répondre à votre question, imaginons un grand magasin, une banque ou un service public ouverts à tous sans contrôle d'accès et où toutes les informations/données seraient accessibles et modifiables. Vous imaginez aisément les risques et les conséquences que cela entraînerait… Et vous comprenez aisément que les clients ou les usagers fuiraient au plus vite ces services. Eh bien, c'est exactement la même chose si vous ne vous protégez pas sur le web. De plus, internet a par nature un effet amplificateur considérable par rapport au monde réel. Accessible de partout, 24 heures sur 24 et instantanément, les risques sont multipliés. Si des personnes malintentionnées ont des visées malveillantes, elles pourraient le faire plus rapidement, massivement, voire anonymement que dans le monde réel. Nos entreprises et organisations sont de gigantesques magasins de données et d'informations sensibles. Et l'information est un actif qui, comme d'autres actifs commerciaux importants, a une valeur et doit par conséquent être protégé de manière appropriée. Si la transmission, l'intégrité et la disponibilité de l'information sont essentielles dans la conduite des affaires mondiales, sa protection est tout aussi importante.
- Quelles sont les motivations des auteurs de cyberattaques ?
Ces menaces ne sont pas un sujet nouveau, mais c'est toujours et surtout de plus en plus un sujet d'actualité et une priorité grandissante. Les nouvelles technologies et la nouvelle organisation du travail sont des tendances de fond qui génèrent des changements extrêmement rapides dans le paysage de la sécurité informatique. Ces changements induisent des menaces nouvelles qui sont diverses et graduelles en termes de niveaux de criminalité. Certains cyberpirates ne poursuivent qu'un objectif qu'on qualifiera de «narcissique» ou «idéaliste». Il s'agit de prouver au plus grand nombre leur talent de pirates, de relever un challenge ou s'attaquer à des cibles emblématiques (entreprises ou institutions). Mais de plus en plus, derrière les cyberattaques, se cachent de vrais criminels, parfois même des organisations criminelles, dont les objectifs sont clairement définis : l'enrichissement frauduleux, les détournements, le chantage ou les fraudes sous toutes les formes et à une échelle la plus grande possible.
- L'Algérie est-il un pays exposé aux attaques des cybercriminels ? Les sites des institutions et entreprises algériennes sont-elles, d'après vous, bien protégés ?
Pourquoi voudriez-vous que l'Algérie ne soit pas exposée ? A partir du moment où une économie utilise les technologies de l'information est connectée à internet, elle est forcément une cible potentielle de cyberattaques. Les cybercriminels ne connaissent pas de frontières et peuvent depuis n'importe quel point du globe en attaquer un autre. De plus, les informations et les techniques circulent sans réelle contrainte ou strict contrôle sur la Toile et il est aisé de se les approprier. Ainsi, rien n'interdit de penser que des cyberpirates locaux ont déjà émergé ou émergeront forts des enseignements acquis auprès de leurs «collègues» du monde entier. Sur la question de la protection, et faute d'enquêtes d'envergure, nous manquons de données statistiques suffisantes en Algérie pour exprimer un avis quantifié. On peut toutefois s'appuyer sur nos retours d'expérience et nos échanges avec les directeurs des systèmes d'information algériens. Il apparaît clairement que de nombreux progrès restent à réaliser. Le niveau d'ensemble n'est pas encore suffisant. En effet, le nombre d'organisations ou d'entreprises que nous avons rencontrées qui disposaient d'un plan de sécurité structuré et suffisant au regard des menaces potentielles s'est avéré très faible. Très peu de ces entreprises ou organisations ont mis en place un management de la sécurité des systèmes d'information et dans certains cas, les mesures élémentaires de contrôle, de test et d'identification n'étaient même pas mises en œuvre. Pour ces organismes, il y a urgence, car ces failles béantes ne resteront pas longtemps ignorées et inexploitées. - A quels risques s'expose-t-on lorsqu'on ne met pas – comme c'est le cas en Algérie – en place une véritable stratégie de sécurité informatique ?
Les risques peuvent être considérables. Ils sont, bien entendu, d'ordre financier, mais pas seulement. On s'expose aussi à des risques tels que l'usurpation d'identité, la désinformation ou le dénigrement, le blocage ou le dysfonctionnement de tout ou partie d'une organisation… Mais tous les pays sont touchés ! Notre 15e enquête mondiale réalisée en août 2012 auprès de 1836 entreprises dans 62 pays nous alerte sur quelques faits majeurs. Ainsi, seulement 16% de nos répondants déclarent que la fonction sécurité de l'information répond pleinement à leurs besoins. Dans le même temps, 31% voient augmenter les incidents liés à la sécurité de l'information. Enfin, ces mêmes entreprises ont mis en avant une augmentation des pertes de données, diffusées volontairement ou involontairement en dehors de l'entreprise. Dans une économie moderne, de plus en plus connectée et digitalisée, l'atteinte à la réputation et la perte de confiance – avant même le risque financier direct – sont un risque considérable aux conséquences dévastatrices pour une entreprise, un organisme, voire un pan entier de l'économie. - Peut-on parler de la sécurité de l'information, quand on sait que e-Algeria 2013, un programme de numérisation du pays lancé voilà cinq ans, a été un échec, que le dossier de la 3G traîne encore et que seulement 15% des nos entreprises sont connectées au réseau internet ?
Si vous permettez, votre question aborde deux sujets connexes, mais distincts. Le premier sujet est celui très direct et concret de la sécurité. Sur ce point, oui, on doit parler sécurité de l'information quand bien même on peut regretter la trop faible diffusion des technologies de l'information et de la communication dans l'économie algérienne. Cependant même exposée seulement à 15% de ses entreprises, une économie doit impérativement se préoccuper de la sécurité de l'information, ne serait-ce que pour rassurer et favoriser la diffusion de ces technologies. Nous en venons là au deuxième aspect de votre question qui a trait à la performance d'une économie en regard de son utilisation des TIC. Soyons clairs : les TIC sont déterminantes dans la performance d'une économie. Elles ont un impact direct sur la croissance. Il est démontré que l'utilisation efficace des TIC est un véritable accélérateur de compétitivité. De nombreux rapports (FIEEC, Syntec Informatique, Afdel…) convergent pour démontrer qu'une économie développée comme la France, bien irriguée par les TIC, peut générer 1% au moins de croissance supplémentaire du PIB et plus de 500 000 emplois créés ou sauvegardés. Pour une économie comme l'Algérie, on peut raisonnablement penser que ces chiffres peuvent être doublés. C'est donc un véritable investissement capable de générer des retours importants et rapides. - Le taux de piratage des logiciels informatiques en Algérie a atteint 84%, selon BSA. Quelles menaces cela peut-il entraîner ?
Votre question est totalement pertinente et au cœur du débat sur la sécurité de l'information. Penser que le piratage des logiciels est sans conséquence sur le niveau général du risque d'une entreprise est une grave erreur ! Ne pas être en conformité sur ce point, c'est inévitablement s'affaiblir et ouvrir grandes les portes à tous les pirates et fraudeurs. C'est la voie royale pour faciliter les malversations. En effet, par définition, ces logiciels piratés ne sont ni conformes ni à jour en termes de protection et sécurité. Leurs failles sont connues de tous, aisées à exploiter et les techniques d'attaque sont simplifiées. Enfin et peut-être surtout, comment promouvoir efficacement dans l'entreprise une politique de sécurité de l'information quand dans le même temps, on tolère l'utilisation de logiciels frauduleux !? C'est aussi un risque évident d'image et de réputation vis-à-vis des tiers, risque aggravé quand il s'agit d'entreprises ou organisations connectées avec des tiers externes, notamment internationaux. L'Algérie ne peut pas dans le même temps promouvoir les TIC et la sécurité de l'information tout en laissant «prospérer» ce piratage. Il en va de la crédibilité de l'économie algérienne.
