La cybersécurité, une affaire de tous

LE nombre de cyberattaques recensées en 2015 a progressé de 38% dans le monde, et leur coût est évalué à 400 milliards de dollars et il pourrait être multiplié par cinq dans les cinq prochaines années(*). Sachant que c’est une estimation minimaliste car plusieurs organisations victimes de cyberattaques gardent leurs transactions secrètes, car il n’y a pas toujours des lois qui obligent les organisations à communiquer ce type d’attaque aux institutions nationales responsables de la cybersécurité. Actuellement, les cyberattaques les plus courantes sont:
- La fraude au président, qui consiste à analyser les comportements d’un haut responsable au sein de son organisation, avant que le «hacker» ne transmette des messages au nom de ce responsable pour demander des transferts de fonds (facture relative à une opération secrète, fonds pour réaliser une transaction urgente…);
- Le «ransomware» est une famille de logiciels malveillants très difficiles à détecter par les mesures de protection traditionnelles, qui chiffrent les données d’une organisation, et qui ne seront déchiffrés qu’après payement d’une rançon;
- L’attaque de déni de service distribué (DDoS: Distributed Denial of Service) consiste à bloquer des serveurs et/ou des réseaux d’une entreprise en les inondant de données.
Ces attaques n’arrivent pas qu’aux autres, ces derniers mois plusieurs organisations marocaines ont été victimes de l’une de ces attaques et pour préserver leur «e-réputation», ces entreprises ne communiquent pas sur ces sujets.
Dès l’année 2007, le département ministériel en charge des Technologies de l’information a élaboré la première stratégie nationale pour la cybersécurité. Cette étude avait préconisé de faire du secteur de la sécurité des systèmes d’information un axe de développement, en créant un pôle de compétitivité et en profitant du rôle que jouait le Maroc au sein de l’Union internationale des télécommunications.
En 2009, le Maroc a lancé la stratégie «Maroc Numeric 2013», qui a retenu la confiance numérique en tant que mesure d’accompagnement indispensable à l’ancrage du Maroc à l’économie numérique. Celle-ci a été déclinée en plusieurs initiatives regroupées selon les thématiques suivantes:
- Mettre à niveau et renforcer le cadre législatif;
- Mettre en place les structures organisationnelles appropriées;
- Promouvoir et sensibiliser les acteurs de la société à la sécurité des systèmes d’information.
Et en 2011, il a été décidé de confier la supervision de la confiance numérique à l’administration de la défense nationale. La Direction générale de la sécurité des systèmes d’information (DGSSI), nouvellement créée, a défini une nouvelle stratégie basée sur les quatre leviers suivants:
- L’évaluation des risques pesant sur les systèmes d’information au sein des administrations, organismes publics et infrastructures d’importance vitale;
- La protection et la défense des systèmes d’information des administrations, organismes publics et infrastructures d’importance vitale;
- Le renforcement des fondements de la sécurité: Cadre juridique, sensibilisation, formation et recherche & développement;
- La promotion et le développement de la coopération nationale et internationale.
Dans le cadre de cette stratégie, la DGSSI a élaboré la directive nationale de la sécurité des systèmes d’information, qui s’applique à tous les systèmes d’information des administrations, des organismes publics et des structures d’importance vitale. Cette directive a été matérialisée par la publication du décret n° 2-15-712 du 22 mars 2016 relatif à la protection des systèmes d’information sensibles des infrastructures d’importance vitale.
Le Maroc a réalisé beaucoup d’avancées en matière de cybersécurité, mais il faudrait renforcer les programmes de sensibilisation en s’inspirant des recommandations des institutions internationales spécialisées.

Source: L'Economiste - le:16/01/2017