Cyber espace, cyber attaques, cybercriminalité, cyber sécurité, cyber-offensive, cyber-terrorisme cyber-résilience autant de mots du champ lexical du monde du numérique qui désormais, est incontournable à plus d’un titre. C’est autour des enjeux et des défis de la digitalisation et surtout de la sécurité informatique que M. Ali Kahlane, expert en TIC, répond aux questions de «Crésus».
Propos recueillis par Lynda NAILI
Crésus : Quelle évaluation faites-vous de l’écosystème numérique national ?
Ali Kahlane : En ces temps de pandémie, l’utilisation des technologies du numérique a permis de grandement capitaliser de ses retombées. Cela s’est fait au gré des décisions gouvernementales qui obligent la population à se confiner, à recourir au télétravail, au télé-enseignement et surtout à l’usage soutenu de la visioconférence qui est devenu presque naturel. Cela a contribué à l’accélération de l’usage des outils numériques en général et du téléphone mobile en particulier qui souvent, a été le seul lien avec le monde extérieur et la vie sociale.
Les chiffres de 2020, communiqués par l’Autorité de Régulation de la Poste et des Communications Électroniques (ARPCE), montrent un débit de bande passante qui enregistre un premier pic de 1,71 Tbps soit une augmentation de 49%. La consommation est passée à 4,1 milliards de Go par rapport à la période pré-covid. Pour cette année et en l’espace de six mois, un pic de 1,96 Tbps a été atteint. Tout porte à croire que les 3Tbps seraient dépassés d’ici la fin de cette année.
Les choses se compliquent encore plus, lorsque cette méconnaissance du numérique expose aussi bien les organisations que les personnes à des risques majeurs liés au «côté obscur» de la connectivité tels que cybers attaques, escroqueries, les fake news ou les contenus préjudiciables.
C’est pour dire que la digitalisation des entreprises ou de toute organisation, quel qu’en soit la nature, est d’une nécessité absolue, elle ne doit souffrir d’aucune tergiversation quant à sa sécurité numérique. Il est à noter que le retard dans la numérisation des entreprises ou des institutions qui est enregistré ça et là, n’est bien sûr pas récent. Il remonte, pour certains secteurs, à plus de 15 ans, si ce n’est plus pour certains autres, et n’explique pas à lui seul ce décalage.
En effet, le citoyen attend toujours des services en ligne inclusifs. Les dirigeants quant à eux, aimeraient mieux gérer leur finance publique ainsi que leur foncier au moyen d’un outil numérique décentralisé et interconnecté. L’introduction et l’usage du courrier électronique comme outil de communication principal dans le secteur privé et public n’est désormais plus une option qui est renvoyée d’une année sur l’autre. La normalisation horizontale et la sécurisation de toute la communication numérique, y compris la présence sur Internet, au moyen de sites web ou des réseaux sociaux, doivent être largement prises en charge pour une meilleure visibilité numérique et un échange efficace et productif.
Les attaques de génération V se caractérisent généralement par leur capacité à provoquer de très grands dégâts comme la violation de données, tel un accès non autorisé ou le destruction de service (DeOS) qui bloque la présence en ligne d’une organisation. Le terme «génération» est utilisé pour montrer l’évolution de la sécurité de l’information caractérisée par la décennie, le vecteur d’attaque et la charge utile malveillante. La première génération de cyber attaques date de la fin des années 1980, elle consistait en des virus transportés sur des disquettes. Au cours de la deuxième génération, apparue au début des années 90, les attaques commençaient à être lancées via Internet et de moins en moins via des disquettes et des CD. Au cours de la troisième génération, qui a eu lieu au début des années 2000, les cyber-attaquants ont à nouveau évolué pour exploiter les vulnérabilités des applications logicielles qui reposaient sur l’accès à Internet et les flash-disques. Durant les années 2010, les cyber-attaquants ont poursuivi cette évolution en développant des logiciels malveillants polymorphes, c’est la 4e génération dont les attaques sont les poly formes. Tel un caméléon, elles prennent différentes formes selon les cibles.
Dans notre pays, la plupart des entreprises ou institutions ne sont qu’au niveau d’une sécurisation de Troisième, voire de Deuxième génération. Cela donne, au mieux une protection contre les virus, les attaques d’applications ou les téléchargements de logiciels malveillants. Ce type de protection est d’ailleurs généralement fourni avec le système d’exploitation. Cela peut parfois être doublé ou remplacé par une protection basique, assurée au moyen d’antivirus du commerce. Le sentiment de sécurité informatique dans ces structures est trompeur. Beaucoup d’utilisateurs ne parviennent plus à gérer le flux d’attaques de plus en plus virulent. Ces dernières peuvent causer de grands dommages, qui vont aller crescendo vue la dépendance réelle au numérique que nous avons, aussi bien dans la vie professionnelle que privée.
Selon une récente étude de Sonatype, une plateforme d’analyse de la composition des logiciels, les cybers attaques de «nouvelle génération» s’attaquent en particulier aux logiciels open source. Elles sont en train d’augmenter de manière exponentielle. Il est prévu qu’elles seraient de 800% en 2022.
Plusieurs Etats, en Europe, au Japon, aux Etats-Unis, en Russie et en Chine, pour ne citer que les plus importants, considèrent la cyber sécurité comme la priorité en matière de sécurité économique et nationale. Dans le monde civil, Internet est désormais considéré comme le «quatrième service public», après les télécommunications, l’électricité et l’eau. Dans le monde militaire, Internet constitue un atout tout aussi stratégique qu’il faut protéger, au même titre que la terre, la mer, l’air auquel il faut ajouter maintenant l’espace, qu’il soit réel ou virtuel.
C’est ainsi que le virtuel, le cyberespace, est le nouveau champ de confrontation. Il s’illustre par la guerre de Quatrième génération. Que cela soit dans le domaine civil ou militaire. Ces risques d’attaques sont de quatre types : la cybercriminalité, la déstabilisation qui peut être insidieuse ou offensive, l’espionnage ou le sabotage qui peut être économique ou militaire. Les événements qui avaient défrayés la chronique en juillet dernier, avec l’affaire Pegasus, ont montrés que nous sommes désormais à l’ère de la cyber-offensive et du cyber-terrorisme d’Etat.
La stratégie de défense globale à adopter, en profondeur, pour la meilleure des cyber-résilience, doit prendre en charge trois éléments fondamentaux. D’abord le facteur humain, tout doit être fait pour qu’il fasse partie de la solution pour sécuriser l’environnement et ne doit surtout pas faire partie du problème. Ensuite, il y a les processus pour lesquels il faut mettre en place les meilleures pratiques, l’hygiène d’utilisation systématique le tout doit être aisément reproductible et prévisible pour assurer, rassurer et renforcer continuellement la sécurité dans les organisations. Le troisième élément est l’utilisation de la technologie pour implanter des solutions de sécurité matérielle et logicielle. Ces dernières doivent en particulier, prendre en charge l’identification et l’accès au moyen des meilleures méthodes de détection et de prévention, elles doivent être compatibles entre elles pour optimiser une protection totale sans nuire à la productivité.
A ce propos, il est utile de rappeler que le décret présidentiel N° 20-05 du 20 janvier 2020, fait obligation, dans son article 41, à toute organisation publique ou privée de désigner son responsable chargé de la sécurité des systèmes d’information. Le Dispositif national de la sécurité des systèmes d’information (Cf. Le même décret qui comprend le Conseil national de la sécurité des systèmes d’information et l’Agence de la sécurité des systèmes d’informations, définit clairement leurs missions et objectifs. Ces structures doivent urgemment être opérationnelles au vu et au su de tout un chacun pour assurer et renforcer la cyber sécurité du pays.
Le smartphone et son utilisation est invasive. Il a démocratisé l’usage numérique pour toutes les générations. Les enfants, les moins de 15 ans, sont une partie prenante non négligeable de ces utilisateurs. Ils peuvent y avoir directement, car il leur appartient, ou indirectement. Qui n’a pas donné son téléphone mobile à son enfant pour une utilisation temporaire pour jouer ou l’aider pour un devoir? C’est pour cela, qu’il y a des leçons de base que les enfants doivent très tôt apprendre. Leur sécurité et celle de leur environnement doit être assurée au fur et à mesure qu’ils avancent dans la vie. Comme regarder des deux côtés avant de traverser la rue, porter la ceinture de sécurité, éviter de parler à des étrangers. Il est maintenant grand temps d’en ajouter une autre à la liste : se méfier des cybers pirates et des fake news.
La digitalisation des établissements financiers est incontournable. Estimez-vous qu’ils soient prêts à endosser ce processus qui, entre autres implique une sécurisation de données fiable ?
La sécurisation des données est à la base du fonctionnement d’une banque. C’est ainsi que l’Assemblée Générale des Nations Unies a, dès 1995, adopté la résolution A/RES/45/95, portant sur les principes directeurs de la réglementation des fichiers personnels informatisés. Plusieurs textes ont été promulgués par l’Algérie pour aller dans le sens de cette résolution. La plus récente et la plus complète des lois est la N° 18-07 du 10 juin 2018 relative à la protection des données à caractère personnel. Elle nous met en adéquation avec le reste du monde, notamment le RGDP européen (Règlement général de la protection des données).
Les banques et les établissements financiers, ne peuvent plus faire l’économie d’offrir plus de services et de produits à leur clientèle en plus de l’optimisation de leur gestion interne. La digitalisation de ces établissements est un processus qui leur permet de développer une stratégie omnicanale, mieux ciblée. Le client, «particulier» ou «corporate», peut dorénavant être atteint directement à travers une application mobile ou une interface web. Le minimum de cette digitalisation est la banque en ligne. C’est la porte d’entrée de toutes les opérations de commerce électronique. Les corollaires sont le e-paiement (Paiement effectué à travers Internet en utilisant un moyen de paiement dématérialisé, tel que les cartes CIB ou Eddahabia) et le m-paiement (Paiement électronique qui utilise le mobile pour effectuer des paiements ou faire des transferts d’argent, tel que Baridimob, qui en est une bonne approche). Leurs sécurisations se doivent d’être totales et robustes, du clic de l’internaute chez le web marchand, au débit bancaire en passant par la plateforme de la SATIM (Opérateur monétique interbancaire) qui effectue cette opération financière.
Les règles prudentielles que les banques et établissements financiers appliquent, sont en principe conçues pour éviter les déconvenues d’une insolvabilité clientèle. Elles doivent désormais inclure les cybers risques. Les cyber menaces auxquelles les banques sont confrontées aussi bien contre elles-mêmes que contre leur clientèle, sont réelles. Elles peuvent paraître incertaines mais elles sont potentiellement dévastatrices, car les adversaires cherchent constamment des vulnérabilités. Le cyber attaquant est en veille constante, sans jamais fermer l’œil car, pour la plupart du temps, ce sont des robots qui le font, pour lui. Ils essaient tout le temps, ils ne se fatiguent jamais et il suffit qu’ils réussissent à passer une fois pour gagner, alors que nous autres devons gagner tout le temps!
D’après les chiffres du dernier African Cyber Security Summit, tenu en 2020 à Alger, huit entreprises sur dix sont ciblées par des cyber-attaques tout type confondu. C’est la raison pour laquelle il est urgemment nécessaire de disposer des ressources humaines compétentes et spécialisées dans la cybersécurité.
L’embauche des professionnels dans ce domaine formés et expérimentés se fait si rapidement qu’il existe une réelle pénurie de ressources humaines cybernétiques. Savoir identifier, recruter, former et surtout conserver cette main-d’œuvre nécessite une approche nouvelle et globale.
La menace des cybers attaques nécessitent la planification et la mise en place d’une stratégie de cyber défense, des infrastructures technologiques qui permette une gestion de la ressource humaine en adéquation avec toute demande spécifique.
Les spécialisations que fournissent certaines universités et grandes écoles algériennes, généralement des lieux plutôt conservateurs où la théorie l’emporte sur la pratique, sont loin d’être suffisantes pour prendre en charge la demande du secteur économique aussi bien en qualité qu’en qualité. La cyber sécurité est déjà assez complexe au niveau d’une entreprise, imaginez ce qu’elle peut être au niveau de la protection d’un pays. Il est important de noter que l’apport de l’Armée dans la cyber défense serait inefficace si les infrastructures critiques civiles, sont incapables de résister aux attaques d’où qu’elles proviennent.
Les classements mondiaux du débit de connexion à Internet sont légion. Il en existe des dizaines en plus de celui auquel vous faites référence. D’après les 3 ou 4 autres classements mondiaux que je consulte régulièrement, il est indéniable que le débit moyen de l’Internet Algérie s’est substantiellement amélioré. La hausse a été de 30 à 40% par rapport à l’année dernière, selon les classements mondiaux. Il est vrai que cela ne veut pas dire que le classement relativement aux pays ait beaucoup bougé. Il se pourrait même qu’on ait perdu ou même gagné quelques places d’une année sur l’autre. Cela semble être le cas puisque l’Algérie est, malgré tout, en train de gagner des places comme l’a montré le dernier classement de Speedest de la compagnie Ookla qui nous fait gagner 30 places en l’espace d’une année.
Bio-express :
Ali Kahlane, Vice-président du Think Thank « CARE », Ex. conseiller du ministre des Transports.
