Se protéger contre les intrusions informatiques, c'est bien, encore faut-il savoir comment le faire. Souvent, cette mission ne s'arrête pas à l'installation d'un logiciel antivirus. Selon Boubker Elmouttahid, expert chez l'éditeur McAfee, devenu filiale d'Intel, qui compte d'importants clients en Algérie, il y a une stratégie à développer en entreprise pour cibler les priorités de la protection anti-intrusion. Vous dites dans votre intervention que les entreprises ne savent pas comment se protéger contre les attaques informatiques. Expliquez-nous. Il ne faut pas commencer par la protection. Il faut d'abord faire un inventaire de ce qui doit être protégé et le pourcentage de risque que l'entreprise peut accepter. C'est ce qu'on appelle ça : "Security Risk Management". La plupart des entreprises n'ont pas une idée exacte et actualisée du nombre de machines connectées au réseau interne et à l'Internet. C'est cela le problème, parce que généralement les hackers ne cherchent pas une machine qui est à jour en terme de protection. Ils cherchent les "maillons faibles", c'est-à-dire les ordinateurs connectés au réseau mais qui sont "oubliés" par les services informatiques. Quand je parle d'inventaire, ça ne veut pas dire faire le listing semestriel ou annuel des équipements, mais dresser un répertoire continu de l'ensemble des machines qui peuvent êtres connectées au réseau, y compris des ordinateurs portables, des iPad et autres smartphones, qui peuvent être des sources de risques. Après l'inventaire, il faut prioriser l'information à protéger. On protège en premier les machines qui contiennent les données critiques de l'entreprise, puis celles où sont stockées d'autres informations moins importantes. L'autre étape consiste à faire un diagnostic (scanne) de la configuration qui existe pour installer les patchs (mises à jour contre les vulnérabilités) nécessaires. Ce que vous décrivez là, c'est un travail de tous les jours. Tout à fait. La sécurité de l'information dans une entreprise est un souci permanent, parce que le nombre de malwares qui circulent tous les jours sur le Net et les possibilités d'attaques informatiques sont immenses. Chez McAfee, nous recevons quelque 55.000 nouveaux échantillons de malwares (virus, vers, chevaux de Troie ) par jour. D'où proviennent ces malwares ? Internet a donné la possibilité à des milliards de personnes de pouvoir se connecter, produire et disperser des malwares. Les informations, utiles ou nuisibles, sont donc facilement accessibles. Vous pouvez acheter des programmes pour créer votre propre version d'un virus. Et pas nécessairement initiés pour le faire. Avec les nouvelles interfaces, c'est bien plus facile de créer des virus. Bien évidemment, il y a des professionnels qui mettent en ligne des versions plus dangereuses. La protection antivirus n'est pas suffisante. Que faut-il donc faire face à cette dissémination du risque ? Il faut avoir une stratégie et une vision détaillée du parc informatique. Après on passe à la protection. Chez McAfee on parle de "niveaux de protection". Tout ce qui est connexion Internet, il faut des protections contre les intrusions et les virus. Parce que les patchs édités par les fabricants d'OS, comme Microsoft, pour corriger des vulnérabilités du système ou de certaines logiciels, sont livrés généralement chaque mois. Mais entre-temps, il vous faut une protection contre les intrusions. Il faut aussi disposer de filtres et des anti-malwares pour une protection sur le Web, et notamment disposer d'analyses des sites réputés diffuser des virus et autres dangers. Chaque mois, il y a deux millions de sites Web qui ont une mauvaise réputation. Ce n'est qu'après qu'il faut passer aux étapes, c'est-à-dire celles du poste de travail, les portables et les serveurs. Il faut protéger des ordinateurs portables contenant des informations de l'entreprise, et dont les utilisateurs sont souvent en déplacement et peuvent donc se connecter à partir d'un aéroport, d'un hôtel et d'autres réseaux Wifi publics qui peuvent constituer un danger d'infection. On a le NIPS (Network-based intrusion prevention system), tout ce qui est protection réseau Internet, mais aussi le HIPS (Host-based intrusion prevention system) qui contrôle tout ce qui est périphérique. La protection c'est juste contre des attaques et des virus ? Non, j'allais y venir. La protection c'est aussi imposer le cryptage d'informations sensibles qui circulent dans les supports amovibles (USB ). Le gestionnaire du système d'information d'une entreprise doit pouvoir imposer à certains types d'informations d'êtres cryptées, pour qu'en cas de perte ou de vol du support, elles ne puissent pas êtres utilisées. C'est valable aussi pour les smartphones, et pour les emails qu'il faut scanner et réglementer l'envoi de certains documents. On peut, par exemple, dire que certains documents ne peuvent pas êtres envoyés à des emails autres que ceux de l'entreprise. Mais pour les petites entreprises installer un tel système de contrôle nécessite beaucoup de moyens. Pour les petites entreprises, ou même certaines catégories de PME, on parle de service managé. Il s'agit de choisir un partenaire extérieur pour faire tout ce travail. Dans un cabinet d'avocat où il n'y a qu'une dizaine de PC et pas de techniciens, il est possible de recourir à des partenaires pour gérer ces questions de sécurité des données, qui fait le scanning, la protection des emails, du Web, des périphériques, etc. Pour les simples utilisateurs, il existe des packages complets contenant l'antivirus, l'anti-spam et le Web scanne. Mais de manière générale, la sécurité c'est l'utilisateur. Une solution ne suffit jamais. Il faut que l'utilisateur soit conscient des dangers et qu'il ne prenne pas à la légère de cliquer sur n'importe quelle fenêtre surgissante, ni d'aller dans des sites sans en vérifier la réputation. Dans votre intervention, vous avez dit que la menace "vient de l'intérieur". Pouvez-vous expliciter ? Bien sûr. Outre les menaces externes, il y a des risques qui peuvent provenir de l'intérieur. Des employés mal formés ou qui utilisent avec légèreté les données sensibles de l'entreprise. Le risque peut aussi provenir d'employés recrutés pour des durées déterminées, ou d'autres qui ont l'intention de quitter, et qui emportent avec eux des d'informations importantes. Si cette information est vitale pour l'entreprise, elle l'est tout autant pour la concurrence. D'où l'existence du DLP (Data Loose Prevision) qui permet d'interdire de copier, d'enregistrer sur des supports externes, d'envoyer par email, d'imprimer, ou même de faire des prises d'écran de certaines informations classées sensibles de la société. Un antivirus piraté est-il aussi efficace qu'une copie originale ? Il y a bien évidemment de gros risques à utiliser des logiciels piratés. Mais je pense que, de plus en plus, les utilisateurs sont conscients du danger. Sur Internet, vous pouvez télécharger toutes sortes de logiciels. Mais comment pouvez-vous savoir que ce que vous installez sur votre ordinateur ne comporte pas des malwares qui va même donner accès à des hackers. Les gens qui mettent gratuitement ces logiciels ont cet objectif d'avoir plus de victimes sur le Net. Quelle est la place de McAfee au Maghreb et en Algérie ? En Algérie, McAfee a des clients parmi les grandes entreprises du pays, comme Sonatrach, Sonelgaz, des banques et dans d'autres secteurs très concernés par la sécurité des systèmes d'information. De manière générale, McAfee investit fort sur le Maghreb, en désignant des «account manager», en plus des partenaires locaux qui vendent nos produits et services. Le marché algérien et maghrébin est en train d'évoluer. Avant, les entreprises ne demandaient que des antivirus, maintenant elles cherchent des solutions intégrées plus sophistiquées. Un gestionnaire du service informatique peut visionner toutes les machines de son réseau à partir d'un tableau de bord à travers lequel il est possible de constater des flux anormaux d'informations entrants ou sortants. Depuis que McAfee a été rachetée par Intel, ça nous donne beaucoup de ressources pour développer d'autres produits encore plus performants dans le domaine de la sécurité informatique.
