Ché­rif Ftou­hi, Ma­na­ger in­fra­struc­ture So­lu­tions à Adac­tim L’ur­gence d’une struc­ture de sanc­tions

Le Manager - - Sommaire - PRO­POS RE­CUEILLIS PAR SA­HAR MECHRI KHARRAT

« Les en­tre­prises doivent être plus proac­tives, consi­dé­rer la sé­cu­ri­té de l’in­for­ma­tion comme une op­por­tu­ni­té et non pas comme une charge ad­di­tion­nelle ou une simple ré­gle­men­ta­tion à res­pec­ter. »

Dans son rap­port « Ten­dances tech­no­lo­giques en 2017 », le ca­bi­net De­loitte a pré­ve­nu que l’un des dé­fis ma­jeurs que vont ren­con­trer les en­tre­prises est la sé­cu­ri­té de l’in­for­ma­tion. Pour com­prendre les te­nants et les abou­tis­sants de cette ques­tion, nous sommes al­lés à la ren­contre de Ka­rim Koun­di, as­so­cié chez De­loitte Afrique, pour le sec­teur des tech­no­lo­gies, mé­dias et té­lé­coms en Afrique fran­co­phone et an­cien di­rec­teur cen­tral des sys­tèmes d’in­for­ma­tion chez Tu­ni­sie Té­lé­com. En­tre­tien.

Que faut-il en­tendre par sé­cu­ri­té de l’in­for­ma­tion ?

On a ten­dance à res­treindre la sé­cu­ri­té à l’as­pect in­for­ma­tique, or elle est beau­coup plus large. C’est un su­jet trans­verse qui ne concerne pas que L’IT. D’ailleurs, gé­né­ra­le­ment, dans les en­tre­prises le res­pon­sable de la sé­cu­ri­té des sys­tèmes d’in­for­ma­tion (RSSI) fait par­tie de la di­rec­tion in­for­ma­tique alors qu’il de­vrait être rat­ta­ché à la di­rec­tion gé­né­rale. Les in­ci­dents de sé­cu­ri­té ne sont pas que tech­niques ou liés à L’IT. Ils peuvent être d’ordre phy­sique, oc­ca­sion­nés par un sys­tème d’ac­cès dé­faillant, à des failles dans la ges­tion des en­trées et des sor­ties dans les bâ­ti­ments, à des em­ployés qui ont cer­tains ac­cès alors qu’il n’y a pas de rai­son à ce­la, etc.

Quelle ap­proche conseille­riez- vous aux en­tre­prises ?

En pre­mier lieu, il est pri­mor­dial d’abor­der la sé­cu­ri­té au ni­veau de la stra­té­gie. C’est du res­sort de la di­rec­tion gé­né­rale de mettre en place une po­li­tique de sé­cu­ri­té de l’in­for­ma­tion dont elle dé­fi­ni­ra le cadre et per­met­tant de fixer les règles gé­né­rales. Viennent en­suite, la mise en place des règles qui se­ront tra­duites en pro­ces­sus et pro­cé­dures de sé­cu­ri­té opé­ra­tion­nelle. Celles-ci se dé­clinent dans cha­cun des dé­par­te­ments, no­tam­ment la di­rec­tion in­for­ma­tique, où on s’as­sure que les ac­cès aux sys­tèmes sont sé­cu­ri­sés. J’ajou­te­rais que le dé­par­te­ment RH est au coeur de ces pro­cé­dures car il se­ra le pre­mier à ap­pli­quer les règles vu que la pre­mière cause des in­ci­dents de sé­cu­ri­té pro­vient de l’élé­ment hu­main que ce soit vo­lon­tai­re­ment ou non. En se­cond lieu, les en­tre­prises doivent être plus proac­tives, consi­dé­rer la sé­cu­ri­té de l’in­for­ma­tion comme une op­por­tu­ni­té et non pas comme une charge ad­di­tion­nelle ou une simple ré­gle­men­ta­tion à res­pec­ter. Ce n’est sou­vent pas le cas au­jourd’hui, les en­tre­prises sont plu­tôt dans une dé­marche ré­ac­tive. En gé­né­ral, elles s’y in­ves­tissent soit par obli­ga­tion ré­gle­men­taire ou parce qu’elles ont dû faire face à des in­ci­dents de sé­cu­ri­té ma­jeurs. Par exemple, les banques s’y mettent de plus en plus vu que la Banque cen­trale leur im­pose d’avoir un plan de conti­nui­té d’ac­ti­vi­té en place et opé­ra­tion­nel. Pour les autres,

les au­dits se font par obli­ga­tion ré­gle­men­taire. Les in­ves­tis­se­ments dans la sé­cu­ri­té, si in­ves­tis­se­ment il y a, ne sont pas mo­ti­vés par la convic­tion que cet in­ves­tis­se­ment leur per­met de pré­ser­ver et même de créer da­van­tage de la va­leur. Vé­ri­ta­ble­ment, il n’y a pas le même ni­veau de ma­tu­ri­té d’un sec­teur à un autre. Les en­tre­prises les plus avan­cées sont les banques et les opé­ra­teurs Té­lé­com. Cer­tains ont ac­quis cette ma­tu­ri­té pour en faire un élé­ment de no­to­rié­té, c’est une ques­tion de brand et de dif­fé­ren­cia­tion.

Cette va­leur au­rait–elle pour ori­gine l’amé­lio­ra­tion de la qua­li­té et de la confiance ?

Tout à fait, la sé­cu­ri­té de l’in­for­ma­tion est in­dé­nia­ble­ment liée à la qua­li­té et à la confiance. D’ailleurs, dans cer­taines en­tre­prises, le dé­par­te­ment de sé­cu­ri­té est sous la cha­pelle de la di­rec­tion de la sé­cu­ri­té, de la qua­li­té et des risques qui sont trois com­po­santes in­dis­so­ciables. Les sy­ner­gies sont ma­ni­festes. Une amé­lio­ra­tion de la qua­li­té via un per­fec­tion­ne­ment et une do­cu­men­ta­tion des pro­cess per­met l’iden­ti­fi­ca­tion des tâches et des at­tri­bu­tions de cha­cun, ce qui mi­ni­mise au­to­ma­ti­que­ment les risques et ali­mente la confiance. A l’in­verse, un pro­blème de sé­cu­ri­té peut avoir des in­ci­dences sur la qua­li­té des ser­vices et dra­ma­ti­que­ment sur la confiance. La confiance de­ve­nant le tout pre­mier élé­ment de ré­ten­tion des clients et des mar­chés de nos jours.

Quels sont les en­jeux liés à la sé­cu­ri­té de l’in­for­ma­tion ?

Au­jourd’hui, le su­jet est très im­por­tant au ni­veau des en­tre­prises et à ce­lui na­tio­nal. Nous consta­tons une aug­men­ta­tion de la fré­quence mais sur­tout de la taille des at­taques cy­ber. En 2016, la taille moyenne d’une at­taque était de 500 Mb. En 2017, il y a au moins une at­taque par mois en moyenne dont le vo­lume dé­passe le Té­ra. Le monde est de plus en plus connec­té et les bandes pas­santes gagnent de l’im­por­tance, ce qui im­plique de plus en plus d’in­for­ma­tions cri­tiques na­vi­guant dans l’es­pace nu­mé­rique. De même, les lo­giques de cen­tra­li­sa­tion des don­nées via les clouds ou centres de don­nées aug­mentent l’im­pact en cas d’at­taque cy­ber­né­tique. Le Li­bé­ria en 2016 a su­bi une cy­ber-at­taque géante qui a ci­blé pen­dant 3 jours l’unique câble in­ter­net du pays et qui a pa­ra­ly­sé une bonne par­tie de l’éco­no­mie. Une étude De­loitte a ré­vé­lé que les cy­be­rat­taques dans le monde coûtent en moyenne 0,3% du PIB, et nous nous at­ten­dons à dé­pas­ser le 1% l’an­née pro­chaine. C’est donc un su­jet qui de­vient d’in­té­rêt na­tio­nal. Pour ce qui est des en­tre­prises, l’ab­sence de sé­cu­ri­té a un im­pact de l’ordre de 13% en moyenne sur le chiffre d’af­faires avec un écart de seule­ment 2 % entre les pe­tites et grandes en­tre­prises. Dans notre ré­gion, les choses vont plus vite, le taux de connexion aug­men­tant ra­pi­de­ment et nos don­nées sont de plus en plus di­gi­tales et donc vul­né­rables. Com­ment pro­cé­dez-vous chez De­loitte en cas d’at­taque ? Il existe deux vo­lets d’in­ter­ven­tion et de mise en place des mécanismes. D’abord en amont, à tra­vers la mise en place de la po­li­tique de sé­cu­ri­té de l’in­for­ma­tion et les pro­cé­dures as­so­ciées, en sup­port à l’ac­ti­vi­té opé­ra­tion­nelle en met­tant en place les mécanismes de su­per­vi­sion et de pro­tec­tion et en­suite en aval en dé­rou­lant les pro­cé­dures adé­quates pour ré­ta­blir le ser­vice en cas d’in­ci­dent dans les dé­lais vou­lus et en ré­dui­sant au maxi­mum l’im­pact de l’in­ci­dent en ques­tion. A ce der­nier ni­veau, il faut iden­ti­fier l’in­fra­struc­ture qui fait fonc­tion­ner chaque ser­vice et hié­rar­chi­ser les ser­vices se­lon leur type al­lant du très cri­tique au moins cri­tique. C’est ce qu’on ap­pelle un plan de conti­nui­té d’ac­ti­vi­té (PCA). Les pre­miers doivent être ré­ta­blis en ur­gence, sou­vent en moins d’une heure avec un coût as­so­cié pour l’en­tre­prise. Une bonne pla­ni­fi­ca­tion per­met jus­te­ment de ré­duire les coûts de ré­ta­blis­se­ment et as­su­rer une conti­nui­té de ser­vice ac­cep­table. Pour les in­ci­dents moins cri­tiques, le ré­ta­blis­se­ment peut être adap­té au ni­veau de l’im­pact de l’in­ci­dent pou­vant prendre même plu­sieurs jours pour les moins cri­tiques. Au­jourd’hui, on fait ap­pel de plus en plus à la sous-trai­tance au­près de ce qu’on ap­pelle des SOC « Se­cu­ri­ty Ope­ra­tion System » qui font de la veille et as­surent une su­per­vi­sion conti­nue et dont leur mé­tier est d’in­ter­ve­nir en cas d’at­taque pour aler­ter et sé­cu­ri­ser le ser­vice. De­loitte offre ce type de ser­vice aus­si via son « Se­cu­ri­ty Lab» de la ré­gion EMEA qui concentre les tech­no­lo­gies et les pro­cé­dures les plus avan­cées de ges­tion de la sé­cu­ri­té de l’in­for­ma­tion et qui offre ces ser­vices à nos clients 7jours/7 et 24h/24.

Que re­com­man­de­riez-vous au ni­veau na­tio­nal pour plus d’ef­fi­cience ?

Au­jourd’hui, il y a be­soin d’avoir des or­ga­nismes de gou­ver­nance de la sé­cu­ri­té de l’in­for­ma­tion ayant un ni­veau d’au­to­ri­té et de sanc­tion suf­fi­sants pour pou­voir abor­der ef­fi­ca­ce­ment cette pro­blé­ma­tique. L’ANSI, étant la pre­mière agence de ce type dans la ré­gion, fixe les règles mais a peu de pou­voir de sanc­tion. Il en est de même pour l’agence de pro­tec­tion des don­nées per­son­nelles (INPDP). Si on veut avoir de l’in­ter­net par­tout et des ac­cès libres, il est im­pé­ra­tif de mettre en place des mécanismes de gou­ver­nance de la sé­cu­ri­té de l’in­for­ma­tion et de de pro­tec­tion des don­nées à ca­rac­tère per­son­nel ayant le ni­veau adé­quat d’au­to­ri­té trans­ver­sale et de sanc­tion. Il faut donc ren­for­cer le pou­voir de sanc­tion de ces agences. Il faut qu’on ait à la fois une au­to­ri­té de ré­gle­men­ta­tion et de sanc­tion au ni­veau sec­to­riel, telle que la Banque cen­trale pour le sec­teur ban­caire par exemple et des mécanismes de gou­ver­nance au ni­veau na­tio­nal.

Le mot de la fin ?

Le pro­jet de loi ré­gis­sant le cadre de la cy­ber cri­mi­na­li­té est en cours. C’est bon signe ! Il y a une prise de conscience pro­gres­sive, la men­ta­li­té de ges­tion des risques est en train d’évo­luer dans le bon sens. Il faut réel­le­ment ap­pré­hen­der la sé­cu­ri­té comme une op­por­tu­ni­té, comme un élé­ment dif­fé­ren­cia­teur et non pas une obli­ga­tion ou une charge ad­di­tion­nelle. En in­ves­tis­sant dans la sé­cu­ri­té de ses in­for­ma­tions, l’en­tre­prise ne se por­te­ra que mieux et pré­ser­ve­ra sa va­leur pour le plus grand bien de notre éco­no­mie dans un monde de plus en plus nu­mé­ri­sé.

Newspapers in French

Newspapers from Tunisia

© PressReader. All rights reserved.