Aucune réflexion ni débat sur la fiabilité des systèmes d’information nationaux n’ont été engagés à un niveau élevé afin de mesurer nos capacités à réagir vite et efficacement en cas de menace réelle et plus grave
De façons sporadiques, ponctuées par des relents puisés dans des symboles divers, les attaques informatiques se multiplient, relançant chaque fois la question lancinante de la fiabilité des systèmes d’information. Deux semaines auparavant, c’était l’Algérie et le Maroc qui se sont donné le change sur le Net. Les sites Web d’institutions algériennes avaient été mis hors service, les rendant inaccessibles. Certes, ce fait divers « cybernétique » n’a pas constitué pour autant une catastrophe ; pas de vol de données sensibles ni aucun dommage sur l’intégrité de documents ou de gros systèmes vitaux. Pour le moment ! Depuis lors, aucune réflexion ni débat sur la fiabilité des systèmes d’information nationaux n’ont été engagés à un niveau élevé afin de mesurer nos capacités à réagir vite, bien et efficacement en cas de menace réelle et plus grave. Qu’y a-t-il donc lieu de retenir ? De un, que le conformisme dans le choix de solutions logicielles de sécurité ne s’avère pas être ce qu’il y a de plus judicieux à faire dans la mesure où la même vulnérabilité risque d’être propagée dans un environnement informatique construit à partir de systèmes semblables. De deux; jusqu’à présent, il n’existe en Algérie aucune institution, aucun organisme, public ou privé, qui puisse jouer le rôle de « pompier du Net » ; capable de prévenir, de diagnostiquer et d’éprouver la fiabilité de nos systèmes d’information et d’en rendre compte à travers bulletins et alertes à qui de droit. A peine un DZ-CERT (www.wikayanet.dz) dont on a à peine entendu parler et un observatoire des TIC qui est loin d’avoir les attributions d’un réel organisme dont la vocation première est la sécurité de l’espace numérique national. Bref, aucune organisation officielle chargée de prévenir les risques d’intrusion ou de traiter, selon une politique bien définie et approuvée au plus haut niveau, les incidents quand ils ont lieu. Pur hasard, la problématique de la vulnérabilité de l’Algérie face à tout risque lié, de près ou de loin, au Net avait déjà été abordée et résumée dans un entretien (IT Mag numéro 227) avec un spécialiste de la question, en la personne d’Ahmed Zerrouki, expert consultant chez Devoteam, qui l’avait considérée comme « totale ». « Absolument, nous sommes vulnérables. Totalement vulnérables. Ne serait-ce que dans le domaine financier », répondait-il à ce moment. Cela s’est d’autant plus vérifié depuis les dernières attaques de sites Internet. « Il n’existe pas de risque zéro, et toutes les défenses mises en place sont là pour réduire le risque. » A défaut d’éliminer le danger; ce qui s’apparente à une utopie, il faut le réduire. Toutefois, poursuit-il, « malgré les politiques de sécurité qui puissent être mises en place, cela n’empêche pas la définition d’une politique de tests récurrents. Pour l’Algérie, aucune politique dans ce domaine n’a été mise en place ». A vrai dire, le premier rempart contre les risques se construit bien plus à travers une politique et une organisation fiables de l’élément humain plutôt que sur le choix trop facile d’une solution de sécurité clés-en-main au cachet dispendieux, qui de toutes les façons, ne tiendra jamais longtemps face à l’évolution et à la sophistication des attaques. Abondant dans le sens d’Ahmed Zerrouki, M. Loup Gronier, directeur des offres et de l’innovation de la division Solutions de Devoteam, met le doigt sur ce qu’il appelle « une virulence des attaques qui ne devraient pas décroître ». Pour lui, « il est toujours plus difficile de réaliser une défense efficace qu’une attaque efficace. La grosse évolution en 2011 est l’augmentation des attaquants potentiels. Les moyens d’attaques sont, eux, toujours aussi présents et aussi facilement utilisables. Dès qu’une faille de sécurité est identifiée, un ‘‘ exploit ’’ permettant de l’utiliser est mis à disposition de la communauté. Assez rapidement, il est ensuite intégré dans des frameworks d’attaque comme Metasploit. Un ver ou des virus l’exploitant sont souvent détectés. Aucune organisation n’est capable de corriger efficacement les failles aussi vite que les outils d’attaque sont développés. Ceci étant, la plupart des attaques réalisées dernièrement par des activistes auraient pu être évitées ». Qu’est-ce qu’une « bonne sécurité » en fin de compte ? « Ce qui caractérisera une organisation bien sécurisée, c’est sa capacité à adapter son niveau de sécurité à ses enjeux et à l’évolution des attaques. Une organisation qui ne contrôlerait pas ses serveurs Web pour s’assurer que ses développeurs, qu’ils soient internes ou externes, n’ont pas omis des mesures de sécurité serait, en cette période, mal sécurisée. Ceci étant dit, une bonne sécurité des systèmes d’information doit couvrir un ensemble de thématiques et pas seulement la sécurité des développements : la sécurité physique aux sites, la gestion des accès et des habilitations logiques, la sécurisation des configurations des différents équipements, le cloisonnement des réseaux, la protection antivirale, l’intégration de la sécurité dans les applications, les sauvegardes, la continuité d’activité [?] autant de thématiques qui doivent être adressées », répond M. Loup Gronier. Cependant, les éléments précédemment cités existent à un niveau interne et sont le fruit d’une politique de sécurité IT décidée par le DSI dans le cadre de ses attributions. Et c’est le cas dans toute institution ou organisation néanmoins dans ses propres limites d’intervention. Ce qui fait défaut, en revanche, c’est « cette même politique » mais à une échelle nationale. Quid de l’évolution de la sécurité informatique ? « La sécurité des systèmes d’information devra s’adapter à de nombreuses évolutions en cours de déploiement et à venir; qu’elles soient technologiques [cloud computing, mobilité, etc.], comportementales [télétravail, collaboration, etc.] ou stratégiques [fusion/acquisition, externalisation, etc.]. La gestion de la sécurité va de plus en plus se professionnaliser. Elle se doit d’évoluer des contrôles périodiques, partiels et réactifs à la mise en place d’une surveillance permanente capable de détecter et de réagir aux aléas et aux attaques. Elle devra également respecter de plus en plus de réglementations et de lois ». Et des attaques ? « Les attaques, elles, devraient évoluer selon plusieurs axes : une rapidité accrue pour prendre de vitesse les déploiements des mesures de protection ; une utilisation des failles de masse ; une recherche de voies d’accès atypiques ou mal protégées [sites de pré-production ou de test, société sous-traitante mal protégée?] ; l’utilisation de moyens détournés pour pénétrer au-delà des barrières [cas de clés USB d’attaque laissées dans le parking?] ; la mise en place de machines de rebond laissées inactives jusqu’à l’attaque réelle -l’équivalent des espions dormants ; avec quelques grandes tendances : beaucoup d’outillage ; une période toujours plus courte entre l’identification d’une faille et la publication des moyens de s’en servir ; une professionnalisation et une augmentation des attaques mafieuses d’un côté et un ‘’hactivisme’’ de l’autre », prévient-il. Dire qu’il ne s’agit là que d’une partie de la sécurité, dans son aspect le plus lié aux organisations, aux entreprises et aux institutions. Pourtant, chaque jour, quand nous allumons notre ordinateur, le danger guette.