par Les nouvelles menaces liées à la digitalisation tous azimuts au sein des entreprises publiques et privées en Afrique et les différentes façons de s’en prémunir et lutter contre ont été mises en avant lors de la 7ème édition du sommet africain sur la cybersécurité tenue en juin dernier à Alger
Le sommet, qui s’est toujours positionné comme l’evènement phare de la Sécurité IT en Algérie, se donne depuis l’année dernière, une dimension panafricaine. Ayant réuni, lors de cette 7ème édition, des experts et spécialistes de la question ainsi que des responsables IT d’entreprises publiques et privées et de représentants d’institutions venant d’une dizaine de pays africains, ainsi que du Canada et des Etats-Unis d’Amérique, cette rencontre a permis de débattre des «nouvelles formes de cyber-menaces et des méthodes aidant à y faire face, et ce, à travers plusieurs axes s’articulant autour de «la sécurité IT, une arme de souveraineté nationale», de l’économie numérique et du paiement en ligne, la protection de la vie privée et l’internet des objets connectés ou des menaces informatiques.
La cybercriminalité, la protection et la localisation des données, les infrastructures critiques, la conformité et les normes, le développement de la collaboration panafricaine sont autant de thématiques majeures qui ont été traitées lors cette 7ème édition, qui visait également à créer un espace de débat et d’échange entre les différents acteurs en vue de mieux comprendre les enjeux de la cybersécurité et identifier l’impact des cyber-menaces sur la sécurité des personnes et des biens.
Plusieurs panels et ateliers techniques, axés notamment sur les différents aspects relatifs à la mise en œuvre de la loi de juin 2018 sur la protection de la donnée à caractère personnel et sur les différents moyens de gérer les crises cybernétiques, à même de permettre aux participants d’avoir une «idée concrète» des dangers liées aux cyber-menaces» et de la meilleure manière de consolider les stratégies pour faire face aux cyber-menaces et rehausser substantiellement le niveau de sécurité et les moyens de protection et de défense des systèmes informatiques.
Nécessité d’identifier une cyber-attaque
Dans ce cadre, le président de ce sommet, Mehdi Zakaria, a relevé que les entreprises et administrations africaines «se développent en adoptant massivement le digital comme facteur concurrentiel, exposant de facto leurs systèmes d’information aux cyberattaques», tout en soulignant l’impératif, dans ces conditions, «de se prémunir contre les cyber-menaces, en apprenant à connaitre, détecter et identifier une attaque». Il a relevé, à ce propos, l’importance de comprendre les diverses techniques d’attaques ainsi que les mécanismes des contre-mesures pour mener cette lutte.
Pour Moncef Zid, responsable au sein de l’entreprise Arbor Networks France et Afrique du Nord, les équipes de sécurité ont besoin de solutions de cybersécurité de pointe capables de détecter et d’arrêter tous les types de menaces cybernétiques, qu’elles soient des menaces entrantes ou des communications malveillantes sortantes à partir de périphériques internes compromis.
Ces solutions doivent également pouvoir «s’intégrer dans le système de sécurité existant d’une organisation et/ou consolider des fonctionnalités afin de réduire les coûts, la complexité et les risques», a-t-il noté.
D’autres intervenants ont relevé que «les vulnérabilités sont omniprésentes sur le Net» et ciblent fréquemment des applications Web critiques, ajoutant que les attaquants tentent régulièrement d’utiliser les adresses électroniques (IP)pour atteindre les utilisateurs finaux, leurs systèmes et leurs informations privés.
Dans ce cadre, plusieurs solutions ont été présentées par des entreprises activant dans le domaine des technologies de l’information, de la communication et du numérique, dont celle de l’entreprise Fortinet Security Fabric, qui propose une architecture de plate-forme qui offre des fonctionnalités larges visant à protéger les applications Web et l’email des menaces avancées.
Une autre solution a été présentée par un des leaders dans le domaine de la sécurité analytique en l’occurrence Rapid7 Nexpose, qui explique que son système se distingue des autres éditeurs de sécurité de par «sa capacité à adopter la façon de penser des attaquants», notamment via son expertise dans le domaine de la gestion des vulnérabilités, analyse des applications web, tests d’intrusion, ainsi que la détection et l’investigation des incidents de sécurité.
Pour sa part, Ayham Ahmed Madi, Software engineer au sein de l’entreprise GEP Technologies, a estimé que les technologies émergentes telles que le Blockchain peuvent être utilisées pour introduire une identité numérique dans la sécurisation des données et pour rendre l’utilisation d’Internet plus fiable. Il a expliqué que tout système sécurisé doit pouvoir identifier tous ses aspects et la partie principale de tout système sont les utilisateurs. Internet est le système mondial le plus utilisé de la période actuelle. Cependant, en raison de l’absence de réglementation, l’identification des utilisateurs d’Internet reste un processus difficile, a-t-il estimé.
Il a relevé que la technologie Blockchain permet «la création de registres décentralisés d’actifs et d’informations numériques qui peuvent empêcher les activités frauduleuses via des mécanismes consensuels», indiquant que «ce référentiel est partagé dans la confiance sur Internet à travers une technologie qui utilise la puissance de la cryptographie garantissant ainsi l’intégrité et la transparence des transactions dans un réseau peer-to-peer». Selon ce modèle, a-t-il noté, ce réseau peut être construit sur la base d’un contrôle d’accès pour protéger la confidentialité des données ou il peut être public et partagé avec tout le monde sur le réseau et garantir la transparence. Les domaines d’utilisation sont multiples tels que la santé, le transport, l’énergie et la finance notamment.
Limiter l’accès aux données pour un niveau de sécurité optimal
D’autres intervenants ont planché, quant à eux, sur la donnée interne aux entreprises, qui est désormais vue comme un «actif stratégique» permettant à ces entreprises de rester compétitives et d’avoir une relation de confiance avec leurs clients. «La donnée est consommée de n’importe où et en temps réel, mais elle doit être totalement sécurisée dans son accès et dans son cycle de vie», est-il relevé lors d’un atelier technique sur le sujet, notant qu’au moment où «près de 80% des attaques et fuites de données sont liés à une menace ou négligence interne», il devient impératif d’assurer la sécurité des données et autres actifs stratégiques à la source.
Dans le même sens, l’entreprise BeyondTrust a présenté sa solution intitulée BeyondTrust Password Safe qui vise à «unifier la gestion des mots de passe et des sessions privilégiés, permettant la découverte, la gestion, l’audit et le contrôle de tous les identifiants privilégiés». Selon cette entreprise, Password Safe offre un «contrôle complet» des comptes privilégiés et des activités réalisées par un utilisateur.
Il a été expliqué l’importance de faire, d’abord, une découverte exhaustive, en s’assurant que tous les comptes privilégiés soient automatiquement identifiés, enrôlés et gérés, de procéder, ensuite, à une surveillance des sessions en les enregistrant pour une visibilité en temps réel du comportement des utilisateurs privilégiés en vue des audits et investigations et d’effectuer, enfin, une analyse des menaces pour gagner en visibilité sur l’état des Assets pour que les équipes IT puissent prendre les bonnes décisions en matière de privilèges.
De son côté, Asma Assia Benali, Software Engineer au sein de l’entreprise GEP Technologies Solution, a présenté une solution d’authentification biométrique qui permet l’authentification des individus en utilisant une source fiable en l’occurrence les documents biométriques (passeport, carte d’identité nationale, permis de conduire etc) émis par des organismes accrédités. Elle a expliqué que cette solution, conforme aux normes internationaux, est destinée à chaque établissement ayant besoin d’authentifier ses clients(banques, établissements publics, institutions, assurances ….).
Des intervenants ont mis l’accent, de leur côté, sur l’importance de se protéger contre les vecteurs d’attaques basées sur les navigateurs. «Il est temps de penser à gérer les navigateurs comme les terminaux pour sceller la sécurité de notre environnement», ont-ils affirmé, ajoutant que les entreprises doivent mettre en avant des moyens humains et matériels afin de prévenir toute intrusion via les navigateurs. Il a été expliqué qu’il devient de plus en plus possible aux employés de travailler n’importe où et n’importe quand, ainsi la mobilité et le Cloud Computing font désormais partie intégrante de toutes les organisations. Les navigateurs deviennent naturellement l’outil d’accès au travail, au même titre que les appareils mobiles. Avec un certain nombre de navigateurs sur le marché utilisant un certain nombre de modules complémentaires, il devient presque impossible d’assurer la sécurité contre les menaces et les attaques basées sur un navigateur, comme le ransomware par exemple. Les navigateurs aussi constituent un point d’entrée principal pour les cyberattaques.
Miser sur l’humain pour une cybersécurité efficace
Lors du panel intitulé «Miser sur l’humain ou comment mettre en place une stratégie de cybersécurité efficace et pérenne», il a été expliqué que l’humain, qu’il soit utilisateur, manageur, développeur, administrateur et expert, se trouve au cœur des dispositifs de sécurité mis en place en entreprises, et des bonnes pratiques à appliquer au quotidien. «Toutefois, l’humain, de par ses comportements et ses actions, peut aussi s’avérer un vecteur de menaces pour son entreprise», est-il noté lors de cette table ronde, dont les intervenants ont mis l’accent à la fois sur les risques inhérents au facteur humain, mais aussi l’importance de la sensibilisation et de l’acculturation à la cybersécurité et à la sécurité économique. L’impératif de mieux comprendre le comportement humain et de déterminer comment en faire un levier pour améliorer le niveau de sécurité globale en entreprise a été également mis en avant.
Dans ce sens, l’importance du métier du RSSI (responsable sécurité des systèmes d’information) a été soulignée. Selon Samir Allilouche, RSSI au sein de CNEP Banque, «la fonction RSSI a été créée il y a une dizaine d’années», mais à ce moment-là, les RSSI, a-t-il expliqué, «ne se doutaient pas qu’ils seraient un jour à la fois managers, techniciens, gestionnaires des risques organisationnels, réglementaires, stratégiques et opérationnels et souvent-même gestionnaires de projets, et ce, pour pouvoir garantir un niveau de sécurité optimal». Pour cela, a-t-il ajouté, «les compétences techniques d’un RSSI ainsi que ses qualités organisationnelles et managériales doivent être au rendez-vous pour pouvoir être l’interlocuteur des managers, des techniciens, des utilisateurs lambda, des partenaires et des tiers, mais aussi, pour prendre en charge les aspects juridiques, règlementaires et normatifs».
Préserver les données personnelles
Un autre panel, regroupant des blogueurs/influenceurs, ont débattu sur les problématiques de protection de la vie privée sur internet et les bonnes pratiques.
Dans ce sens, les participants ont mis en garde contre la divulgation des données personnelles, souvent sans le savoir, dans le cyber espace qui gagne toute la société (enfants, étudiants, parents ou salariés). «Il faut plus que jamais garder en tête que vous avez plus que jamais un droit de regard, garantie par la loi, sur les données que vous confiez. Lorsque vous confiez vos données personnelles (noms et prénoms, une adresse email, un numéro de carte bancaire,…) sur un site marchand par exemple, assurez-vous que vos données sont utilisées conformément avec votre accord explicite», ont expliqué les participants, qui mettent en garde contre une utilisation, à d’autres fins, des données confiées, initialement, à un but précis.
Intervenant dans ce sens, Rabah Hachichi, spécialiste cybersécurité et Data Protection, a rappelé la loi algérienne du 10 juin 2018 sur la protection des données à caractère personnel, expliquant que pour les entreprises, la protection des données personnelles devra désormais faire partie intégrante de leur stratégie (cartographies des données et des processus de traitement).
Il a noté que cette loi concerne les entreprises de toutes tailles, administrations et collectivités qui traitent des données à caractère personnel et qui repose sur plusieurs piliers dont celui de la sécurité en insistant sur le chiffrement des données, la lutte contre la fuite de données, la sauvegarde ou encore la protection contre l’accès illicite et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience.
Une autorité nationale pour la protection des données personnelles
M. Hachichi a expliqué, à cette occasion, les missions de l’autorité nationale de protection des données personnelles, prévue dans la loi de juin 2018 relative à la protection des données à caractère personnel et qui n’est pas encore installée, appelant les entreprises à se préparer, dès à présent, à s’adapter à cette nouvelle donne, où la protection des données personnelles devra désormais faire partie intégrante de leur stratégie.
L’entreprise et les institutions sont-elles prêtes à adapter leurs activités (en termes de charge de travail et d’investissements) pour se conformer aux nouvelles exigences?, ont-elles les personnes pour le faire, par où commencer et surtout quelles démarches adopter?, sont autant de questions posées lors du panel sur le sujet auquel ont pris part plusieurs experts et responsables IT.
L’Autorité nationale de protection des données personnelles a pour mission de protéger les données sensibles et personnelles fournies au quotidien par des citoyens auprès des instances publiques ou privées, est-il rappelé. Elle est chargée également de l’octroi d’autorisations pour le traitement de ce genre de données aux différentes instances.
Selon le ministère de la Justice, la création de cette autorité intervient pour mettre fin «à l’anarchie» sévissant en matière d’exploitation des données personnelles des personnes physiques, ajoutant qu’il est impératif de savoir «où vont les données personnelles fournies par l’individu qui renseigne différents formulaires auprès d’instances publiques et privées». Ce nouveau texte englobe, ainsi, un ensemble de garanties protégeant les données personnelles et la vie privée lors des opérations de collecte, d’enregistrement, de conservation, de changement, d’exploitation, d’envoi, de publication ou de destruction des données.
