Philippe Ausseur est le président fondateur d'Abington Advisory, un cabinet de conseil et d'accompagnement des entreprises et des organisations. Il revient dans cet entretien sur les enjeux de la cybercriminalité pour les entreprises algériennes et les moyens de protection à mettre en œuvre. -Quelles sont les dispositions prises par les pouvoirs publics pour lutter contre la cybercriminalité ? Sont-elles efficaces ? Les pouvoirs publics en Algérie comme ailleurs mettent en place un arsenal juridique mieux adapté à cette nouvelle forme de criminalité et des moyens de contrôle et de surveillance. Il faut évidemment que les sanctions soient réelles et dissuasives. Que les Etats créent des organismes dédiés à la cybercriminalité, adaptent les lois et les sanctions est une nécessité et une très bonne chose. Est-ce suffisant ? Il y a sûrement des axes d'amélioration, mais il me semble que tout cela ne sera efficace qu'avec une réelle prise de conscience aussi bien de la part des autorités que des entreprises mais aussi des individus. Aucun cadre juridique, aussi pertinent et opérationnel soit-il, ne peut donner des résultats sans une volonté politique des Etats et des actions managériales concrètes dans les entreprises. -Les entreprises algériennes sont-elles armées pour lutter contre ces cyber-attaques ? La lutte contre la cybercriminalité ne peut être efficace que si elle s'appuie sur une réelle prise de conscience des entreprises et des individus. Malheureusement, on ne peut que regretter la trop faible sensibilité des entreprises algériennes à ces questions. La première illustration est fournie par l'absence de lutte efficace contre les copies illicites de logiciels que les entreprises tolèrent sur leurs infrastructures. Quand le BSA (Business Software Alliance) constate que le taux de piratage des logiciels informatiques en Algérie a atteint 84%, vous ne pouvez qu'être inquiets ! Car penser que le piratage des logiciels est sans conséquence sur le niveau général du risque d'une entreprise est une grave erreur ! Ne pas être en conformité sur ce point, c'est inévitablement s'affaiblir et ouvrir en grand les portes à tous les pirates et fraudeurs. C'est la voie royale pour faciliter les malversations. En effet, par définition, ces logiciels piratés ne sont ni conformes ni à jour en termes de protections et sécurités. Leurs failles sont connues de tous, aisées à exploiter et les techniques d'attaque sont simplifiées. Enfin, et peut-être surtout, comment promouvoir efficacement dans l'entreprise une politique de sécurité de l'information quand dans le même temps on tolère l'utilisation de logiciels frauduleux ? C'est aussi un risque évident d'image et de réputation vis-à-vis des tiers, risque aggravé quand il s'agit d'entreprises ou organisations connectées avec des tiers externes et notamment internationaux. L'Algérie ne peut pas dans le même temps promouvoir les TIC et la sécurité de l'information tout en laissant «prospérer» ce piratage. Il en va de la crédibilité de l'économie algérienne. -Qu'en est-il des PME ? Il faut évidemment éviter toute généralisation et les situations sont très différentes d'un secteur à un autre et même d'une PME à l'autre. Toutefois, les PME que nous rencontrons pensent trop souvent être trop petites pour être la cible de cyber-attaques. Elles tombent dans le syndrome du «on s'attaquera d'abord aux symboles et aux grandes entreprises». Ce n'est malheureusement pas le cas. Certes, certains cyber pirates ne poursuivent qu'un objectif qu'on qualifiera de «narcissique» ou d'«idéaliste». Il s'agit de prouver au plus grand nombre son talent de pirate, de relever un challenge ou s'attaquer à des cibles emblématiques (grandes entreprises ou institutions). Mais de plus en plus derrière les cyber-attaques se cachent de vrais criminels, parfois même des organisations criminelles dont les objectifs sont clairement l'enrichissement frauduleux, les détournements, le chantage ou les fraudes sous toutes les formes et à une échelle la plus grande possible. Si la cible est une PME, ils n'auront aucun scrupule ! -Quel rôle doivent jouer les assureurs, sachant qu'à ce jour aucun d'entre eux ne prend en charge les risques financiers liés à la perte du patrimoine immatériel des entreprises, alors que seul le patrimoine matériel est assuré ? Les assureurs doivent jouer un rôle important en prenant mieux en compte ces risques et en élargissant leur couverture à l'immatériel. Car, comme le suggère votre question, l'immatériel est au moins aussi important et sensible que le matériel. Le savoir-faire, les données et bases de connaissances de l'entreprise sont un patrimoine crucial dans l'économie actuelle. Or, les systèmes d'information, les ordinateurs des entreprises sont de gigantesques entrepôts de données et d'informations sensibles. Et l'information est un actif qui, comme d'autres actifs commerciaux importants, a une valeur et doit par conséquent être protégée de manière appropriée. Les assureurs doivent en tenir compte et assurer cela. Qu'en contrepartie ils demandent la mise en œuvre de plans et d'outils de sécurité, lancent des audits sécurité, cela ne peut qu'aller dans le bon sens. Ils peuvent également être des moteurs dans la sensibilisation des chefs d'entreprise sur les dangers réels de la cybercriminalité. -Quelles solutions préconisez-vous pour lutter contre la cybercriminalité en Algérie ? Une réelle action conjuguée des pouvoirs publics et du management des entreprises doit être engagée. Les préjugés sont encore un obstacle important dans la lutte contre la cybercriminalité. Il faut cesser de croire que l'Algérie serait épargnée, qu'il s'agit de quelques cas isolés et sans conséquences. Le niveau de sécurité d'une entreprise est caractérisé par son maillon le moins protégé. Or, nous observons que les utilisateurs finaux ne sont pas encore suffisamment sensibilisés aux impacts que peuvent engendrer leurs comportements sur le système d'information de leur entreprise. Pour ce faire, je préconise la mise en œuvre d'un programme continu de sensibilisation des décideurs économiques et des utilisateurs sur les enjeux de la cybercriminalité et des moyens de protection à mettre en œuvre.
