par Sofiane Chafai est un professionnel de la sécurité de l’information, cumulant plus de 20 années d’expérience dans la gestion des TIC, les programmes de transformation, implémentation de processus et de systèmes, conseil et la gestion de la continuité des affaires pour des entreprises de premier ordre au Moyen-Orient et en Afrique du Nord dans les secteurs de la finance, des télécommunications, les services gouvernementaux ainsi que les industries pétrolières et gazières.
Sofiane Chafai contribue à la promotion de la sécurité de l’information auprès de la communauté des professionnels de la sécurité en tant que membre du conseil consultatif EMEA de (ISC)2, membre actif de l’ISACA et membre fondateur de l’Association Algérienne de la Sécurité des Systèmes d’Information. Le périmètre des travaux couverts comprend la gouvernance, la gestion des risques, de la conformité, audit et résilience de l’entreprise.
Sofiane Chafai a participé et dirigé de nombreux audits informatiques pour de grandes banques internationales, des opérateurs télécommunications. Il a participé dans des missions de développement de Framework de sécurité et de conformité pour des entités gouvernementales, l’assistance à la mise en œuvre d’outils et de processus de GRC, la gestion et l’audit de plan de continuité d’activité.
Nous l’avons rencontré au SICA 2018 où il a donné un talk sur «la résilience». Nous avons voulu en savoir un peu plus. Ecoutons-le.
IT Mag:Intervalle Technologies est une entreprise spécialisée dans la sécurité informatique. Quelles sont les particularités de votre entreprise ?
Sofiane Chafai:Intervalle Technologies est une société de service informatique fournissant des prestations de conseil, audit, et formation dans les domaines du Management de la sécurité de l’information et de la cybersécurité. Intervalle Technologies est un regroupement d’experts nationaux travaillant en Algérie ou à l’international qui de par leur expérience diverse et qualification apportent la qualité et la plus-value attendue par les clients. Je profite de l’occasion pour vous annoncer l’accréditation donnée par le consortium américain (ISC)2 à notre centre de formation pour dispenser la formation CISSP. C’est la première certification mise en place dans le milieu de la sécurité de l’information et elle est reconnue par ANSI (American National Standards Institute) ainsi que par ISO (International Standards Organization) au standard 17024.
Qu’apporte l’accréditation de centre de formation comme le vôtre pour les sociétés ou particuliers qui s’inscrivent dans ce type de cursus de formation certifiante ?
L’accréditation de notre centre de formation est une garantie de sérieux, de professionnalisme et de qualité des cours qui sont dispensés par le centre. Les instructeurs certifiés sont accrédités par l’organisme (ISC)2. Les contenus des formations sans cesse mis à jour sont conformes à ceux dispensés dans n’importe quel centre de formation dans le monde. Les formateurs sont évalués et un cursus de formation spécifique qui sont autant de gages de succès aux participants préparant l’examen de passage pour la certification. De plus les formations dispensées par le centre sont reconnues et qualifiées par des éditeurs tiers, les participants qui prennent part aux formations officielles délivrées par les centres accrédités, reçoivent à la suite de ces dernières des points CPE requis pour le maintien de leurs certifications acquises chez d’autres éditeurs.
Vous avez parlé d’audit, conseil, réponse aux incidents, mais aussi formation. Comme vous le savez, en Algérie, il n’existe pas de certification pour des entreprises comme la vôtre. D’après vous comment ferait un client pour reconnaitre une bonne d’une moins bonne entreprise ?
Ce point est particulièrement important qui malheureusement nous fait cruellement défaut en Algérie où il n’existe malheureusement pas de processus d’accréditation de sociétés de services comme la nôtre. En effet il est important de disposer d’un mécanisme pouvant attester d’un savoir-faire, d’une expertise pour les entreprises fournissant des services de conseil, audit ou intégrant des technologies. Il est également important, dans le secteur de la sécurité, de disposer d’un mécanisme d’habilitations pour réaliser des missions dans des secteurs, institutions sensibles où la confidentialité et la criticité de l’information restent primordiales.
Le maintien d’un savoir-faire ou d’une expertise au sein d’une entreprise requiert de la ressource humaine et matérielle qui a un coût élevé à l’entreprise. S’inscrire dans ce processus vertueux de maintien de certification et d’accréditation auprès des organismes internationaux suppose de la formation continue, des souscriptions annuelles à payer, la participation à des congrès et séminaires internationaux, le passage de certification, contracter des assurances, investir de l’argent, du temps. Le client ne voit souvent pas cet aspect des choses. Pouvoir afficher dans ses supports de communication des logos d’éditeurs de solutions technologiques ou méthodologies sur l’état de l’art suppose des investissements que devraient consentir tout professionnel soucieux de fournir un service de qualité.
Vous parlez de sécurité des systèmes d’information. Est-ce que vous êtes lié à un centre certifié d’alertes et de réponses aux incidents informatiques de type CERT, -en anglais Computer Emergency Response Team- qui n’existe pas en Algérie ou bien disposez vous d’un CERT au sein de votre entreprise ?
Vu notre activité professionnelle, nous sommes tenus de maintenir un niveau élevé de veille par rapport aux alertes et aux menaces cyber. Nous sommes, en interne, abonnés à des sites d’alerte de nos partenaires et d’organismes internationaux avec qui nous sommes accrédités. Nous ne manquons d’ailleurs pas de répercuter ces alertes à nos clients.
Nous avons un projet de mise en place d’un CERT pour proposer des services de veille et d’alertes à nos clients.
Pouvez-vous nous parler de votre participation au Séminaire International sur la Cybersécurité 2018 organisé par le commandement de la gendarmerie nationale.
Effectivement, je précise que nous participons pour la seconde fois à cette seconde édition du séminaire international sur la cybersécurité. Nous avons cette année participé à travers des interventions Talk sur la résilience de SI dans le contexte de cyber attaques en mettant en relief notre retour d’expérience concernant l’efficience du plan de continuité et de reprise face à des scénarios d’attaques telles que vécues par des organisations, multinationales victimes de ransomwares, attaques d’infrastructure vitales et pour lesquelles les plans de reprise n’ont pas réellement fonctionné comme prévu.
Pourquoi d’après vous ?
Un des constats relevés est le fait que ces scénarios d’attaques sont peu ou pas inclus dans les scénarios de menaces des organisations dans le cadre des plans de continuité et de reprise. Concrètement les centres opérationnels de sécurité (SOC) devraient être intégrés de manière effective dans les processus de continuité et de reprise, en prévoyant les uses cases adéquats pour ce type de menaces et surtout en entrainant les équipes opérationnelles de sécurité à travers des tests ou exercices de réponse et de maitrise de ce type de menaces à l’image de ce que les organisations ont l’habitude de faire pour des scénarios de risque classique : incendie, perte d’infrastructure et autres.
La résilience doit intégrer la cyber sécurité à travers les technologies, les processus sans oublier la RH qui doit être formée et entrainée
Vous parlez d’entrainer les équipes à travers des exercices, pouvez vous préciser votre point?
La préparation, les tests de continuité doivent aujourd’hui intégrer les scénarios de cyber attaques, c’est pourquoi il est important de préparer les équipes des SOC en charge de la surveillance des réseaux et systèmes informatiques à détecter et à répondre au mieux à ces attaques à travers des exercices sur des plateformes d’entrainement.
Quelles sont d’après vous les principales menaces auxquelles vont être confrontés les opérateurs économiques nationaux pour les prochaines années ?
Il faut s’attendre à un accroissement des menaces liées à l’utilisation des mobiles et smartphones dont l’utilisation de la data est appelé à se généraliser à travers des plateformes de paiement en ligne qui sont déjà déployés ou en cours de déploiement.
Ce qui me conduit à parler de la sécurité des paiements par carte ou par Internet qui doivent être encadrés et maitrisés par les
différents acteurs, banques, webmarchand, opérateur Telecom pour s’assurer de la sécurité des plateformes et leur résilience par rapport à ces attaques.
Les infrastructures critiques sont aujourd’hui la cible d’attaques et le seront de plus en plus à l’avenir, les entreprises concernées doivent prendre la mesure de ce problème et investir dans la protection des systèmes SCADA, PLCs et intégrer ces environnements dans le périmètre des politiques de sécurité SI. Il est clairement admis aujourd’hui que même si la certification n’est pas la panacée, elle demeure néanmoins le près requis pour s’assurer de la confiance des opérateurs, fournisseurs de solutions ou assureur. Par exemple la conformité PCI DSS -Payment Card Industry Data Security Standard- est exigée par l’ensemble des réseaux internationaux. La norme de Sécurité de l’industrie des cartes de paiement PCI DSS est un standard de sécurité initié par les cinq réseaux de cartes bancaires internationaux (Amex, Discover, JCB, Visa et Mastercard).
De plus, l’IATA exige depuis le 01 mars 2018, après avoir décalé la date, initialement fixée au 1er juin 2017, la certification PCI DSS à tous ses membres, compagnies aériennes, agents de voyage, sous peine de retrait de l’accréditation IATA des voyagistes non certifiées PCI DSS, leur interdisant ainsi l’utilisation du code commerçant de la compagnie aérienne.
C’est-à-dire ?
Pour être conforme, il faudra suivre les 12 chapitres du standard et appliquer des mesures telles que : installer des anti-virus et pare-feu, protéger les données bancaires stockées de vos clients, crypter les données, utiliser des techniques de chiffrement, etc…
À compter de cette date, les agences qui n’auront pas transmis leur certificat recevront une demande écrite de la part de IATA. Ensuite, elles recevront une notification de non conformité. Les sanctions ne seront prises qu’à compter de 2019. Les agences non certifiées se verront privées de l’utilisation du code commerçant de la compagnie aérienne, ce qui entraînera une augmentation du tarif des transactions et une dépréciation d’image auprès des compagnies aériennes.
