Le mercredi 17 avril 2024, lors d’un événement parallèle au Cyber Africa Forum à Abidjan la société Deloitte a accueilli un Side Event portant sur la sécurité industrielle. Tamim Khoder, directeur au sein de Deloitte France-Afrique francophone, a partagé ses connaissances et son expertise lors d’un entretien dédié au sujet
Quel était votre message aujourd’hui concernant la cybersécurité ?
Le message principal, c’était que pour traiter du sujet de la cybersécurité dans le milieu industriel et celui des infrastructures critiques, l’essentiel, c’était de se poser les bonnes questions en amont des projets de transformation pour connaître l’exposition au risque et mieux organiser des réponses qui peuvent être organisationnelles mais également techniques et technologiques.
La technologie, ce n’est pas en amont de la conversation pour solutionner un problème supposé ou réel, mais en aval, après s’être posé les bonnes questions. On pose la question de la technologie en tant que solution après avoir qualifié le problème, mais pas avant.
Quels défis pose le Security by Design dans les infrastructures critiques et la cybersécurité industrielle ?
Le Security by design, c’est un sujet qui fait référence au cycle de développement, notamment logiciel. Mais quand il s’agit d’infrastructures critiques et de cybersécurité industrielle, de produits connectés, ça l’est encore plus. Et ça prend une dimension encore plus importante, parce que du moment où le produit, c’est-à-dire le matériel est conçu, on peut difficilement revenir en arrière, ajuster le matériel, rajouter un composant, une capacité de connectivité, etc.
Et encore plus quand on se met à concevoir et à déployer des chaînes de production, si on n’a pas pensé à l’architecture du réseau qui entoure cet outil, des machines-outils qui sont des fois très onéreuses, très chères, très complexes à opérer, etc.
Quels sont les impératifs de sécurité cyber liés aux exigences réglementaires et à la résilience ?
Les exigences réglementaires aujourd’hui portent surtout sur la résilience. En clair, le législateur dira : écoutez, vous faites ce que vous voulez, mais du moment où vous opérez sur une infrastructure d’intérêt vital pour le pays, pour la région, vous devez être résilient. Vous devez, si vous êtes dans l’industrie pharmaceutique, par exemple, avoir une capacité de dire, quelle machine fait quoi, sur quels médicaments, sur quels composants, où on en est de la recette, où est-ce qu’on en est en termes de lot, etc. Donc, il y a des exigences réglementaires qui sont propres aux industries. Mais en l’occurrence, si on revient au point de départ qui est celui de la résilience cyber, le sujet est valable pour tout le monde.
Les entreprises font-elles face aux attaques malgré l’absence de lois sur la divulgation des incidents de sécurité en Afrique de l’Ouest ?
Je peux à la rigueur vous en parler en termes de référence ou juste pour faire le rapprochement à ce qui est fait là-bas. Et qui plus est, dans un contexte de mondialisation où finalement les clients des entreprises ivoiriennes virtuellement peuvent être européens, américains ou autres. Donc, ils seront amenés à avoir les mêmes exigences qu’ils peuvent avoir vis-à-vis d’autres fournisseurs qui eux sont sujets à des réglementations de type NIS2, à des réglementations très fortes sur les industries liées à l’agroalimentaire, aux industries lourdes.
Donc, en l’espèce, si je dois faire référence à ce que vous venez de dire, c’est-à-dire éventuellement un vide réglementaire en Côte d’Ivoire et en l’Afrique de l’Ouest, sur les sujets cyber en particulier, moi je dirais qu’à un moment donné, il n’y aura plus le choix.
Quels sont les actifs les plus essentiels pour une entreprise ?
Ça peut être un site, ça peut être une machine dans un site, ça peut être un laboratoire de recherche et de développement. Ça dépend finalement de l’organisation. Mais du moment où on s’est posé déjà cette question-là, les questions qui suivent, c’est : « ces actifs, je les considère comme étant importants, à quoi est-ce qu’ils sont exposés, à quelle nature de risque est-ce que je fais face, est-ce que c’est une industrie ? »
Je prends l’exemple de l’industrie alimentaire où je fabrique un produit très spécifique avec une recette très secrète à la rigueur, donc je dois la protéger. Mais ma menace, elle vient d’autres États, elle vient d’autres entreprises.
Interview réalisée
Par Esther Droh