La maîtrise de la cybersécurité est un des enjeux majeurs pour les utilisateurs d’objets connectés, pour les entreprises comme pour les Etats. Source d’enjeux économiques, politiques et géopolitiques, elle ne cesse de se développer dans un monde numérique de plus en plus étendu. En 2020, le président de la République a signé un décret portant sur la mise en place d’une stratégie de cybersécurité, avec la création d’un conseil et d’une agence de cybersécurité. Mais jusqu’à présent, peu d’actions concrètes ont été mises en place.
- La cybersécurité est plus que jamais d’actualité. Le World Trade Center Algiers a organisé récemment une rencontre ayant pour thème «La cybersécurité : du vol des données mobiles à la manipulation de l’information». Quelles sont les grandes thématiques abordées lors de cette conférence ?
La cyberrésilience et les cyberattaques de nouvelle génération sont deux thèmes majeurs. Les cybermenaces ou attaques de «nouvelle génération», qu’on dit aussi de 5e génération lorsque celles-ci sont à grande échelle, sont multi-vecteurs (tel un missile à plusieurs têtes) et sont conçues pour infecter plusieurs composants d’une infrastructure informatique, le tout en quasi-simultané. Il en est ainsi de l’infection des réseaux, des machines virtuelles, des instances Cloud et des terminaux. Les célèbres virus «NotPetya» et «WannaCry» sont les premiers exemples de ce type.
Les attaques de génération V se caractérisent généralement par leur capacité à provoquer de très grands dégâts, comme la violation de données, tel un accès non autorisé ou la destruction de service (DeOS) qui bloque la présence en ligne.
Le terme «génération» est utilisé pour montrer l’évolution de la sécurité de l’information caractérisée par la décennie, le vecteur d’attaque et la charge utile malveillante.
La première génération de cyberattaques date de la fin des années 1980, elle consistait en des virus transportés sur des disquettes. Au cours de la deuxième génération, apparue au début des années 1990, les attaques commençaient à être lancées via internet et de moins en moins via des disquettes et des CD.
Au cours de la troisième génération, qui a eu lieu au début des années 2000, les cyberattaquants ont à nouveau évolué pour exploiter les vulnérabilités des applications logicielles qui reposaient sur l’accès à internet et les flash disques.
Durant les années 2010, les cyberattaquants ont poursuivi cette évolution en développant des logiciels malveillants polymorphes, c’est la 4e génération dont les attaques sont les polyformes, elles prennent différentes formes selon les cibles, tel un caméléon.
Dans notre pays, la plupart des entreprises ou institutions ne sont qu’au niveau d’une sécurisation de troisième, voire de deuxième génération.
Cela donne, au mieux une protection contre les virus, les attaques d’applications ou les téléchargements de logiciels malveillants, ce type de protection est d’ailleurs généralement fourni avec le système d’exploitation. Cela peut parfois être doublé ou remplacé par une protection basique, assurée au moyen d’antivirus du commerce.
Le sentiment de sécurité informatique dans ces structures est trompeur, beaucoup ne parviennent plus à gérer le flux d’attaques de plus en plus virulent qui peut causer de grands dommages, vue la dépendance réelle au numérique que nous avons et qui va crescendo.
Selon une récente étude de Sonatype, une plateforme d’analyse de la composition des logiciels, les cyberattaques «nouvelle génération», qui s’attaquent en particulier aux logiciels open source, augmentent de manière exponentielle.
Il est prévu qu’elle serait de 800% pour 2022, par rapport à l’année précédente. Les cybercriminels sont toujours en avance d’une ou plusieurs technologies, ils innovent et excellent dans les variantes que permet la cinquième génération et se préparent activement à la sixième en utilisant des techniques de l’intelligence artificielle.
- Dans ce contexte très sensible, l’Algérie a-t-elle suffisamment sécurisé ses données ?
Plusieurs Etats, en Europe, au Japon, aux Etats-Unis, en Russie et en Chine, pour ne citer que les plus importants, considèrent la cybersécurité comme la priorité en matière de sécurité économique et nationale.
Dans le monde civil, internet est désormais considéré comme le «quatrième service public», après les télécommunications, l’électricité et l’eau. Dans le monde militaire, internet constitue un atout tout aussi stratégique qu’il faut protéger, au même titre que la terre, la mer, l’air, auxquels il faut ajouter maintenant l’espace, qu’il soit réel ou virtuel.
C’est ainsi que le virtuel, le cyberespace, est le nouveau champ de confrontation ; il s’illustre par la guerre de quatrième génération. Que cela soit dans le civil ou le militaire, les risques d’attaques sont de quatre types : la cybercriminalité, la déstabilisation, qui peut être insidieuse ou offensive, l’espionnage et le sabotage, qui peut être économique ou militaire.
Les événements qui avaient défrayé la chronique en juillet dernier, avec l’affaire Pegasus, ont montré que nous sommes désormais à l’ère du cyberoffensif. La stratégie de défense globale à adopter, en profondeur, pour la meilleure des cyberrésilience, doit prendre en charge trois éléments fondamentaux.
D’abord les personnes, elles doivent faire partie de la solution pour sécuriser l’environnement avant qu’elles ne fassent partie du problème. Ensuite, il y a les processus pour lesquels il faut mettre en place les meilleures pratiques, une hygiène d’utilisation systématique qui soient aisément reproductibles et prévisibles pour assurer et renforcer en continu la sécurité dans les organisations.
Le troisième élément est l’utilisation de la technologie pour implanter des solutions de sécurité matérielle et logicielle. Ces dernières doivent en particulier prendre en charge l’identification et l’accès au moyen des meilleures méthodes de détection et de prévention, elles doivent être compatibles entre elles pour optimiser une protection totale sans nuire à la productivité.
Il est utile de rappeler que le décret présidentiel n° 20-05 du 20 janvier 2020 fait obligation, dans son article 41, à toute organisation publique ou privée de désigner son responsable chargé de la sécurité des systèmes d’information.
Le dispositif national de la sécurité des systèmes d’information (Cf. le même décret), qui comprend le Conseil national de la sécurité des systèmes d’information et l’Agence de la sécurité des systèmes d’informations, définit clairement leurs missions et objectifs. Ces structures doivent urgemment être opérationnelles au vu et au su de tout un chacun pour assurer et renforcer la cybersécurité du pays.
Le smartphone, dont l’utilisation est invasive, a certes démocratisé l’usage numérique d’une manière telle que les enfants en sont une partie prenante non négligeable soit directement soit indirectement, qui n’a pas donné son téléphone mobile à son enfant pour l’occuper ?
C’est pour cela qu’il y a des leçons de base que les enfants doivent apprendre tôt dans la vie pour assurer leur sécurité et celle de leur environnement au fur et à mesure qu’ils avancent dans la vie.
- Des experts recommandent la création d’une école de cybersécurité. Qu’en pensez-vous ?
D’après les chiffres du dernier African Cyber Security Summit, tenu en 2020 à Alger, une entreprise sur deux est ciblée par des cyberattaques tout type confondu. La nécessité de disposer des ressources humaines compétentes et spécialisées dans la cybersécurité n’a jamais été aussi urgente et indispensable que maintenant.
L’embauche des professionnels dans ce domaine, formés et expérimentés, se fait si rapidement qu’il y a en fait une véritable pénurie. Les spécialisations que fournissent certaines universités et grandes écoles algériennes sont loin d’être suffisantes pour prendre en charge la demande tant en qualité qu’en quantité.
L’université est généralement un lieu plutôt conservateur. Les menaces de cyberattaque nécessitent la planification et la mise en place d’une stratégie de cyberdéfense, des infrastructures technologiques aptes à permettre une gestion de la ressource humaine qui soit adéquate avec la demande spécifique.
Du strict point de vue de la cyberdéfense active, la force de travail cybernétique ne devrait pas se limiter à l’acquisition de compétences et capacités défensives, mais elle devrait aussi avoir des aptitudes offensives, telles que la détection, la poursuite et le suivi, mais aussi la prise en charge des contre-attaques pour aller jusqu’à la neutralisation de l’ennemi quelles que soient sa nature ou sa forme.
Il est important de noter que l’apport de l’armée dans la cyberdéfense serait inefficace si les infrastructures critiques civiles sont incapables de résister aux cyberattaques d’où qu’elles proviennent, car livrées à elles-mêmes. Une carence dans l’interopérabilité cybersécuritaire public-privé pourrait faire beaucoup de mal au cyberespace algérien.
- Vous avez relevé que des entreprises continuent à penser que les attaques n’arrivent qu’aux autres et qu’elles n’ont rien à cacher. Comment pouvons-nous les sensibiliser davantage sur ce sujet ?
Ce sentiment de «cela n’arrive qu’aux autres» est une caractéristique de ceux qui, par paresse, déraison, fatalisme primaire et méconnaissance du monde connecté, pensent que la politique de l’autruche pourrait marcher dans le cyberespace. Les solutions, les moyens et les procédures existent pour que cet état d’esprit puisse changer.
Il va falloir d’abord, a minima, commencer par faire appliquer l’article 41 du décret présidentiel n° 20-05 du 20 janvier 2020, qui fait obligation à toute organisation publique ou privée de se munir d’un «responsable en charge de la sécurité des systèmes d’information» et le déclarer à l’Agence nationale de sécurité des systèmes d’information.
Cette personne ou structure devra mettre en place les conditions nécessaires à une hygiène d’utilisation adéquate pour prévenir les cybermenaces, endiguer et traiter les cyberattaques. Cela passe par une sensibilisation soutenue et la formation de tous ceux qui utilisent un terminal connecté ou pas, et pour lesquels le principe du moindre privilège doit être appliqué sans exclusive.