Directeur général d'Adex Technologie, spécialisée dans l’intégration de solutions informatiques, président de l'AITA et de la commission numérique du FCE, M. Djaouad Allal explique, dans cet entretien, que le risque de cyberattaques et de tentatives d’intrusions numériques a augmenté avec le confinement et le télétravail.

El Moudjahid : Dans un contexte de crise sanitaire et économique liée à l’expansion du Covid-19, les pirates informatiques redoubleraient d’imagination pour tromper les utilisateurs, particuliers comme entreprises, pouvez-vous nous expliquer en quoi consiste ce risque de cyberattaques ?

Djaouad Allal : En cette période de pandémie, où le confinement est l’unique remède préventif confirmé, l’utilisation de l’outil informatique (ordinateur de bureau, laptop, smartphone, smartv, console de jeux…) connecté à internet à partir de la maison devient l’outil le plus important pour travailler, faire ses courses, communiquer et pour se divertir. Des milliards d’objets sont connectés sur la toile, ce qui est assimilé à une vie virtuelle très active sans frontière qui permet de compenser l’inactivité de la vie réelle physique.

Cette vie virtuelle à part entière n'est malheureusement pas très, ou peu, encadrée en termes de réglementation et de sécurité, surtout dans le réseau noir du net appelé «darknet». Ceci laisse beaucoup d’espace, voire un immense terrain de jeu libre à des utilisateurs malveillants dont le seul but étant soit de voler des données aux gens pour les utiliser à tort, les revendre, faire du rançonnage, faire de l’espionnage ou tout simplement de la méchanceté gratuite et causer des dégâts aux autres ; par exemple voler les données d’une carte de payement en ligne, les bases de données d’une entreprise, effacer les données d’un ordinateur.

Les cybercriminels utilisent des méthodes d'hameçonnage et envoient souvent des e-mails et des messages sur les alertes santé ou bien des mises à jour Covid-19. Une fois que la victime clique ou ouvre le message, il permet au malveillant de pénétrer et dérober tout ce dont il a besoin et faire tout ce dont il a envie. L’ONU a lancé une campagne de sensibilisation dans ce sens et surtout en cette période de pandémie.

La majorité des entreprises a eu recours au télétravail pour plus de 50% de ses salariés avec accès à distance aux systèmes d’information de l’entreprise. Cela expose davantage les données et offre des opportunités aux cybercriminels à travers les utilisateurs qui n’ont pas pris suffisamment de précautions.

Souvent les consignes de cybersécurité ne sont pas prises au sérieux et ne sont pas bien ou pas du tout implémentées dans les règles de l’art : mot de passe complexe, verrouillage d’écran automatique, utilisation d’outils puissants pour la sécurité périmétrique (firewall…), mise à jour des signatures des virus (opération en continue), mise en place d’un système de surveillance de sécurité, mise à jour des systèmes d’information contre les failles de sécurité.

Peut-on dire que le retard enregistré par l’Algérie en matière d’utilisation du cyberespace et des nouvelles technologies peut lui épargner ces menaces de cyberattaques ?

L’Algérie, malgré le retard de développement de l’économie numérique, reste autant exposée que certains pays développés à cause de la non-prise au sérieux des règles élémentaires de cybersécurité. Souvent, pour certaines entreprises, la dépense pour la sécurité est secondaire. Il suffit juste de voir le parallèle entre l’investissement consenti dans la sécurité physique des bâtiments et celui sur les systèmes d’information : si ce dernier est relié à internet, son exposition au danger est plus grande que l’exposition du bâtiment. D’un autre côté, le fait qu’il n’y ait pas suffisamment d’entreprises ou d’institutions ayant un système d’information développé, l’Algérie reste moins exposée en termes de nombre d’attaques.

A-t-on constaté des tentatives d’intrusions numériques en Algérie ?

Il suffit d’infecter un ordinateur qui infectera d’autres à travers les envois de mails et les transferts de fichiers, de vidéos et des applications qu’on télécharge. Un phénomène qui se multiplie en exponentiel en cette période de confinement, tout le monde envoie tout et n’importe quoi. Quelqu’un vous envoie un e-mail de haute importance vous expliquant que vous avez gagné une somme de 20.000 dollars, et vous demande d’ouvrir le fichier attaché.

Et à ce moment vous activez un virus dans votre appareil qui procédera à l’ouverture des ports (des fenêtres d’entrée) qui vont laisser les cybercriminels accéder à votre ordinateur ou smartphone et dérober vos mots de passe. En même temps, ils vont contacter tous vos contacts en leur envoyer un mail de votre part avec le même procédé, ce qui propagera le virus et augmentera la chance de pénétrer dans les serveurs d’entreprises. Ces mêmes victimes sont connectées à distance à leur entreprise et si l’entreprise n’a pas les mécanismes de sécurité nécessaires, elle sera exposée aux risques d’une intrusion d’un cybercriminel avec toutes les conséquences : vol de données, effacement de données, rançonnage, espionnage économique...

Ce phénomène n’a pas épargné l’Algérie, la dernière attaque sur une des filiales de Sonatrach en est une preuve. Elle a été victime d’un vol de données très importantes et confidentielles, avec pour objectif une demande de rançon. Par ailleurs, notre société reçoit beaucoup d’appels de sociétés privées victimes de rançonnage et de perte de données causées par des cybercriminels et qui n’arrive pas à les récupérer.

Des cyberattaques arrivent à contourner les mesures de cyberdéfense, qu’en est-il de l’Algérie ?

Le ministère de la Poste, des Télécommunications, des Technologies et du Numérique a mis en place des référentiels sécurité mis à jour régulièrement et transmis aux institutions, administrations publiques et accessibles à toute entreprise désirant implémenter une politique sécurité. Certaines institutions et entreprises économiques sont dotées de système de sécurité à la pointe de la technologie, d’autres entreprises ou institutions de souveraineté pratiquent la mise en quarantaine ou bien un confinement total de leur système d’information, ce qui leur permet d’être à l’abri d’une cyberinfection.

L’Algérie se dotera bientôt d’une agence nationale du numérique dont le rôle sera de sensibiliser et promouvoir le numérique ainsi que la sécurité numérique. Elle sera renforcée avec une Agence nationale de la cybersécurité pour renforcer les aspects juridiques pour la protection des données des citoyens, des institutions et des entreprises.

Qu’en est-il des entreprises économiques et des infrastructures industrielles ? Leurs responsables ont-ils une perception suffisante de la cybermenace et des enjeux de la cybersécurité ?

L’exposition d’un individu ou d’une entreprise à une cybermenace n’est pas un problème de référentiel de sécurité ou d’un manuel à mettre en place. Il est essentiellement un problème de négligence car il relève de la prise de conscience du danger et de la mise en place d’un minimum de politique de sécurité, centrées en premier lieu sur le comportement humain (changement de mot de passe régulier, interdiction d’ouverture des mails douteux…) puis l’investissement dans des outils de sécurité tels que les antivirus et leur mise à jour, la maintenance régulière des systèmes d’exploitation, pour ne citer que cela.

Cet investissement est fortement lié à la maturité technique ainsi qu’à la capacité des DSI à convaincre leurs décideurs à se doter d’une politique de sécurité dans les règles de l’art. Beaucoup d’entreprises investissent sur les systèmes d’information afin de régler des problèmes fonctionnels de gestion, de productivité, de visibilité à travers des tableaux de bord et de bonne gouvernance. Mais souvent, et c’est le cas pour la majorité d’entre elles, elles n’accordent pas d’importance à la sécurité informatique pensant qu’une solution antivirale les mettent à l’abri d’une cybermenace. Comme expliqué précédemment, cela pourrait être de l’immaturité numérique ou bien une question de priorité dans le budget car le coût d’une bonne solution de sécurité pourrait avoisiner entre 20 et 30% du prix global de la solution numérique.

La formation et la sensibilisation des utilisateurs sur les risques en ligne sont-elles assurées par les sociétés de cybersécurité algériennes ?

Le peu d’entreprises de cybersécurité font ce qu’elles peuvent pour sensibiliser, mais leurs actions ne sont pas visibles. Il y a beaucoup de campagnes marketing à travers le net et les réseaux sociaux pour vendre des antivirus, souvent précédées par des messages de sensibilisation ; ce qui permet de compenser cet écart. Quant à la formation, elle est principalement centrée sur les entreprises et le comportement des utilisateurs. Dans ce contexte, l’Agence nationale du numérique qui sera installée prochainement aura un rôle essentiel dans la sensibilisation, la promotion, l’adoption et la formation sur la politique de cybersécurité à l’échelle nationale.

En l’absence d’une stratégie nationale de cybersécurité, quels sont les pièges à éviter et les bonnes pratiques à appliquer ?

Il faut savoir qu’il y a des normes standards de sécurité informatique dont ISO 270001 et un référentiel de bonnes pratiques d'audit informatique et de gouvernance des systèmes d'information ainsi que des données, appelé COBIT. En ce qui concerne le particulier, les gestes préventifs sont relativement simples : installer un antivirus avec sa mise à jour régulière, mettre à jour son système d’exploitation d’une manière régulière, mettre des mots de passe complexes et les changer régulièrement, mettre un mot de passe dans l’écran de veille, éviter les téléchargements des applications inconnues ou piratées, éviter d’ouvrir des e-mails douteux avec des fichiers inconnus et faire des sauvegardes régulières de ses données pour éviter leurs pertes.

Quant aux entreprises, en plus des règles applicables aux particuliers, il faudra qu’elles regardent la politique de cybersécurité plus attentivement, comparativement à celle de la sécurité physique qu’elles ont l’habitude de mettre en place. Elles doivent avoir trois niveaux de sécurité : le premier est celui de la sécurité des points d’accès (ordinateur, smartphone, wifi, etc.) : il s’agit de mettre en place des antivirus, des mots de passe et des politiques d’accès. Le deuxième niveau est celui de la sécurité périmétrique et du réseau : il s’agit de sécuriser le réseau de transport de données, l’accès aux données, la publication de données sur internet (routage, VPN, segmentation, firewall, Waf).

Le troisième niveau est la sécurité du centre des données via des équipements et des logiciels de sécurité contre le vol, la destruction, la copie des données, la traçabilité, le plan de reprise d’activité PRA et la sauvegarde. Pour ceux qui ont plus de budget, il y a aussi la mise en place d’une politique de gestion centralisée à travers le centre d’opération et de surveillance du système de sécurité. Bien entendu, il est fortement recommandé de se faire accompagner par un professionnel pour faire non seulement l’état des lieux, mais également se faire recommander des solutions adéquates et mettre en place un référentiel sécurité adapté à l’entreprise. Il faudra aussi faire régulièrement des audits sécurité afin d’identifier les failles et y remédier.

Le cadre législatif de la cybersécurité est en constante évolution pour s’adapter à l’évolutivité des TIC, qu’en est-il pour l’Algérie ?

Beaucoup de choses ont été faites en Algérie dans le cadre de la protection de données des personnes, l’existence même de départements de cybercriminalité au sein des organes de sécurité, que cela soit la DGSN ou la Gendarmerie nationale, démontre le niveau de prise en main de la cybercriminalité. Beaucoup de choses aussi ont été faites concernant la protection de l’individu contre des cybermenaces (loi n° 09-04 du 14 Chaâbane 1430 correspondant au 5 août 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication).

Il reste à renforcer l’arsenal juridique sur les vols de données, le rançonnage, l’espionnage, l’endommagement des systèmes et d’autres formes de cybermenace liées aux vols de données, ainsi que le durcissement des sanctions. Et enfin, la nécessité d’une adaptation agile d’un système de lois, compte tenu du contexte évolutif et en perpétuel mutation. L’Algérie compte développer une stratégie numérique ambitieuse et une économie numérique performante dans les 4 prochaines années en s’appuyant sur un écosystème fort de professionnels du numérique, un capital humain et une stratégie de sécurité numérique.

