"L'Algérie subit chaque année plusieurs centaines d'attaque DDOS de plusieurs Gbs, perturbant sérieusement les moyens de communication de notre pays", selon Mehdi Zakaria, président de l'Association algérienne de la sécurité des systèmes d'information (AASSI). Entretien. Liberté : Est-ce qu'on peut parler d'une doctrine de la sécurité informatique chez les DSI en Algérie ? Si oui, sur quoi repose-t-elle ? Mehdi Zakaria : Nous ne pouvons pas parler d'une doctrine de la sécurité informatique chez les décideurs IT Algériens en témoigne l'enquête 2015 menée par l'AASSI sur la maturité des institutions et entreprises algériennes sur la sécurité des systèmes d'information. Notre enquête a révélé par exemple que 1% des entreprises et institutions utilise une norme de sécurité des SI telles que ISO 27001, 75% n'ont pas de procédure de conformité IT, que 1 sur 10 n'a pas de plan de reprise d'activité, et 1% des entreprises déclarent avoir une politique de gestion des vulnérabilités.
Quelles sont les vulnérabilités les plus courantes dans les systèmes informatiques en Algérie ? Les applications web sont trop exposées et ne respectent pas, pour la grande majorité, les recommandations tels que celles d'OWASP. La majorité des "attaques" informatiques sont à la portée de celui qui sait utiliser un navigateur, Google et Youtube, autrement dit tout le monde. Ces attaques font appel à très peu de connaissances techniques et exploitent des vulnérabilités connues associées souvent à la crédulité de la victime comme les attaques par phishing. Pour s'en prémunir, le bon sens est souvent la solution : de la même manière que vous devez avoir un permis pour conduire et éviter les dangers de la route, que vous faites réviser votre véhicule régulièrement, il est indispensable de connaître les us et coutumes d'internet pour s'y aventurer et corriger les vulnérabilités de ses systèmes. Il ne s'agit pas de se lamenter. Bien que le niveau de sécurité actuellement constaté soit faible, il est possible de mener des actions d'amélioration. Au-delà des concepts d'architecture, la vraie, seule solution à court terme qui donnera des résultats sur la durée, est la prise de confiance générale que la sécurité est le maillon indispensable au développement du numérique dans notre pays. L'introduction des terminaux mobiles dans l'entreprise pose-t-elle des problèmes de sécurité (cas de l'Algérie) ? La démocratisation du BYOD est l'une des principales préoccupations de sécurité des prochaines années dans les entreprises algériennes. 80% des entreprises et des institutions dans notre pays n'ont pas de politique de gestion des terminaux mobiles personnels. Le fait est que les employés n'hésitent pas à contourner les règles de sécurité dès qu'ils les jugent trop contraignantes ou qu'elles risquent d'empiéter sur leur liberté personnelle. La connexion de nouveaux types de terminaux (smartphones, tablettes, ordinateurs portables, etc.) et de systèmes d'exploitation (Windows 8/10, Google Android, ou encore iOS d'Apple) multiplie également les risques pour la sécurité de l'entreprise. La sécurisation de l'environnement de travail est une tâche ardue, que l'adoption des pratiques BYOD et de mobilité complique encore en créant des failles qui mettent en danger les données. Pour adopter les nouveaux types de terminaux, de plates-formes et de modes de travail favorables à la productivité des employés sans fragiliser les systèmes, ni mettre en péril les données de l'entreprise, la meilleure stratégie consiste à appliquer des pratiques éprouvées en s'appuyant sur des solutions de mobilité flexibles qui ont fait la preuve de leur efficacité. Le minimum serait de bâtir au sein de son entreprise une infrastructure réseau dédié à la mobilité et étanche du réseau standard, établir des règles d'accès aux données spécifiques aux mobiles, chiffrer les données des terminaux, utiliser des conteneurs sécurisés et mettre en place des systèmes de gestion des identités et des accès. Il n'est plus acceptable d'avoir des infrastructures sensibles qui soient facilement contestables à internet par le premier utilisateur par une simple clef 3G ou un smartphone personnel. Avez-vous une idée sur les attaques par DoS des SI en Algérie ? Il est difficile d'avoir des informations précises sur les attaques DOS ou DDOS en Algérie. L'arrêt d'un site internet ou la perturbation d'une boucle internet doit-il être imputable à une attaque de ce type ? Ce qui est certain, c'est que l'ensemble des spécialistes et les industriels de la sécurité indiquent que l'Algérie subit chaque année plusieurs centaines d'attaque DDOS de plusieurs Gbs perturbant sérieusement les moyens de communication de notre pays. Les mesures traditionnelles de protection (Firewall, IDS/IPS) ne suffisent plus et ne comprennent pas les nouvelles menaces toujours plus sophistiquées utilisées par les pirates. Les entreprises algériennes sont-elles encore frileuses envers le Cloud ? Si oui, quelles sont les raisons objectives de leur hésitation, et quelles solutions faut-il leur proposer pour les rassurer ? Le Cloud est un paradoxe dans notre pays à plusieurs titres. Les entreprises sont effectivement frileuses de s'y aventurer alors que la plupart utilisent sans le savoir le Cloud depuis des années. En effet, les PME et TPE algériennes n'ont pas, pour la plupart, les moyens d'acquérir des infrastructures informatiques et hébergent leurs emails sur des plateformes Cloud telles que Gmail, Hotmail et autres messageries gratuites. Un cadre légal manque dans notre pays sur les obligations des fournisseurs de service internet en matière de localisation des données.
Qu'est-ce qui a changé dans l'environnement de la sécurité des systèmes informatiques en Algérie depuis le lancement de l'AASSI ? Avez-vous, en tant que DSI, l'écoute attendue des dirigeants ? L'AASSI, en tant qu'association nationale agréée, a comme principale mission la sensibilisation de tous les acteurs dans le domaine de la SSI. Plusieurs de nos actions ont permis la prise de conscience de certaines réalités, en témoigne l'enquête que nous avons menée et qui relève la réalité que nous devons tout un chacun changer en matière de SSI. La priorité pour notre pays, à mon humble avis, est la mise à niveau en matière de lutte contre la cybercriminalité de l'ensemble des acteurs de la nation, en commençant par nos enfants, les citoyens de demain. Il est indispensable que, dès le plus jeune âge et tout au long de leur scolarité, un programme adapté soit enseigné pour les éduquer sur le bon usage des moyens numériques, les dangers qu'ils renferment et les méthodes pour s'en prémunir. Un enfant par exemple ne doit jamais rester seul à naviguer sur internet sans la vigilance des parents ; faut-il rappeler les dangers et parfois les conséquences dramatiques que peut courir un enfant sur internet ? Des programmes nationaux de sensibilisation du citoyen, jeunes ou moins jeunes, parents et non-parents, devront être menés par nos institutions. Des cursus spécialisés doivent voir le jour dans les matières et spécialités que regroupe le domaine de la sécurité des systèmes d'information. L'Algérie a besoin de professionnels qualifiés pour mener à bien ce chantier.
Les institutions publiques ont-elles eu recours à votre expertise pour élaborer des politiques de sécurité des SI ou de réglementations ? L'AASSI a mené des campagnes d'envergure auprès d'institutions et d'entreprises publiques qui ont permis la mise en place de recommandations concrètes et des changements radicaux dans la sécurisation de leur SI. Nous avons également des contacts réguliers avec les parlementaires en charge de ce type de sujet. Notre pays n'a pas nécessairement besoin de nouvelles lois pour lutter contre la cybercriminalité mais plutôt d'ajustements aux contraintes d'aujourd'hui et de demain du cyberespace qui évoluent quotidiennement avec son lot de nouvelles menaces. Cet arsenal juridique doit être adapté aux impératifs et aux défis de notre pays dans ce domaine. Plusieurs contributions sont à l'étude par notre association, telle que la protection de données personnelles et de la vie privée, le droit à l'oubli, la localisation du stockage des données, les devoirs d'une entité morale dans la lutte contre la cybercriminalité.
Quelles sont vos activités avec le monde estudiantin ? Le principal objectif de l'AASSI est la sensibilisation de tous les acteurs de notre pays, en commençant à travers des conférences et des programmes de sensibilisation ciblés. Nous avons par exemple organisé des événements majeurs qui ont connu un grand succès dans notre pays ces dernières années, tels que le Forum SIT de Tlemcen (Forum incontournable de la sécurité en Algérie), le Key Sec Day que nous avons organisé pour sa 1re édition le 20 mars 2014 pour la célébration du 60e anniversaire du déclenchement de la révolution. Plusieurs actions sont entreprises avec le monde estudiantin, le capital de demain, à travers des collaborations entre associations telles que le Club Shellmates, association étudiante très active à qui je rends hommage. L'un de nos objectifs majeurs est le développement de la compétence algérienne. La formation et l'éducation dans ce domaine doivent devenir une priorité de chaque instant, les acteurs publics et économiques doivent exiger des compétences très qualifiées dans ce domaine afin que de nouvelles filières se créent et qu'un écosystème local se mette progressivement en place. La menace de cyberguerre est réelle pour tous les pays (les exemples ne manquent pas, il suffit de taper cyberguerre dans Google), et notre nation doit s'y préparer au mieux en misant sur l'éducation. Il est temps maintenant que l'Algérie développe par elle-même ses capacités intellectuelles et se prépare aux défis de demain ; faire que l'économie numérique soit un facteur de développement incontestablement différentiateur pour nos enfants et non un paradis pour les criminels. Devenir membre de l'AASSI c'est rejoindre une cause nationale et une communauté de passionnés pour qui la sécurité des systèmes d'information est un intérêt vital pour l'Algérie. A. Z.
