La sécurité des systèmes des entreprises est la cible d’attaques inévitables. En revanche, la capacité d’une entreprise à continuer de produire malgré ces attaques détermine sa résilience à la cybersécurité, au dire de Didier Kla, directeur d’Orange Business et BroadBand à Orange Côte d’Ivoire.
Didier Kla, directeur d’Orange Business et Broadband, tire la sonnette d’alarme, au Cyber Forum Africa d’Abidjan, au cours d’un panel : « Ne rêvons pas. Quel que soit le système de protection, de sécurité, que vous allez mettre en place, il y a toujours quelqu’un qui réfléchit quelque part là-bas pour le casser ». La suite est plus explicite : « Dans le domaine de la cybersécurité, il y a une notion dont on ne parle pas assez, c’est la cyber-résilience. Ce n’est pas que vous soyez attaqués ou pas qui est important, tout le monde est attaqué, vous serez attaqués, tous les jours ».
La cyber-résilience assure la continuité des services
« Mais, ce qui est important, c’est votre capacité à assurer la continuité de vos services en cas d’attaque, c’est-à-dire la mise en place de ce qu’on appelle les plans de reprise d’activités ou les plans de continuité d’activités », fait-il observer. Pour tout dire, la sécurité des systèmes et des infrastructures des États et des entreprises est une œuvre de renouvellement, une quête permanente, harassante, embarrassante quelquefois et la veille fondamentale.
« L’objectif que vous vous fixez lorsque vous élaborez une stratégie de sécurité, ce n’est pas qu’on ne vous attaque pas, ce n’est pas possible, ça n’existe pas. Mais quand on m’attaque, comment je minimise l’impact pour continuer à travailler, comment j’assure la pérennité de mon activité. C’est l’enjeu de toute stratégie de cybersécurité », explique Didier Kla.
L’engagement de la direction générale de l’entreprise
Cela impose, selon le directeur d’Orange Business, un système de management des systèmes de sécurité dans l’entreprise dont le socle est l’engagement de la direction générale. « La cybersécurité est une question qui relève de la direction générale, pas des employés. Il faut, relève-t-il, une politique de sécurité validée par le board et acceptée par tous. Mieux, une gouvernance spécifique aux questions de sécurité ».
Cette gouvernance a des exigences. Elle repose sur deux leviers : l’organisation de la prise en charge des cyber-risques, et une organisation beaucoup plus technique autour d’outils recommandés, comme la norme ISO 270001, précédées d’une évaluation et de la cartographie des services critiques. Un service critique étant celui qui a un impact sur la performance et l’image de l’entreprise. Il s’ensuit alors la priorisation des services à protéger.
« 60 à 80% des problèmes cybersécurité sont des problèmes humains »
« Par exemple, lorsque le service voix d’un opérateur comme le nôtre est attaqué, l’impact est important. En cas d’interruption, dans les heures qui suivent, ce sont les services de l’État qui nous appellent pour savoir ce qui se passe parce que le pays est isolé, exposé, c’est une alerte rouge. Par conséquent, précise-t-il, nous essayons d’identifier les éléments de production du service voix qu’il faut protéger, et nous déployons une stratégie de sécurisation ». Celle-ci est déterminée en fonction des impacts économiques, financiers, d’image.
60 à 80% des problèmes de cybersécurité sont des problèmes humains
L’environnement des services et des infrastructures n’est pas moins négligeable. « Qui accède à tel équipement ? Qui travaille sur tel autre ? Ces personnes ont-elles la compétence requise ? C’est un fait : 60 à 80% des problèmes de cybersécurité sont des problèmes humains, surtout la non maitrise des infrastructures par les agents. Un des gros problèmes que nous avons en Afrique est celui des compétences. Est-ce que les personnes travaillant sur nos infrastructures, qui sont très évoluées, ont la compétence pour les administrer ? », s’interroge Didier Kla.
Les banques et FinTech les plus attaquées
La réponse transpire dans la question. Et là se trouve l’autre challenge de la cybersécurité des infrastructures critiques des États et des entreprises. Notamment dans les secteurs d’activités les plus attaqués, mais pas forcément les plus vulnérables. Particulièrement les entreprises de finance technologique (Fintech) et les banques. « Ces entreprises, grâce à la nature de leurs activités, économique et financière, sont obligées de mettre en place des plans de résistance aux chocs pour être moins vulnérables », a prévenu Frédéric Kraidy, administrateur général de Kaydan Digital.
Quant aux autres acteurs, dit-il, le niveau de cyberattaque est moindre. « Par contre, il y a d’autres types de risques qu’il faut considérer pour observer le degré d’intégration entre l’administration publique et l’administration privée, la proactivité sur les risques et les plans de contingences », suggère Frédéric Kraidy.
Trait sur fait. Avec le développement d’internet, le monde est malade du désir de sécurité. Les acteurs du secteur s’activent. Tout est mis en œuvre pour apporter des réponses et non des problèmes, de la sécurité, et non des doutes…
K. Bruno
