Cybersécurité : tout se joue sur l’hygiène informatique !

Temps de lecture : 5 minutes

Abashi Shamamba pour LeBrief Afrique : Que recouvre la notion d’hygiène informatique que prescrivent souvent les consultants aux entreprises ?

Babacar Charles Ndoye : Lorsqu’on parle d’hygiène informatique, c’est avoir pour objectif d’adhérer à la sensibilisation d’amener les utilisateurs à adopter un comportement contribuant au niveau de sécurité global. Cela, non seulement au travers de leur réaction en cas d’incident, mais également comme moteur d’aide au changement.

Une démarche de sensibilisation vise d’abord à favoriser la réflexion et ensuite à promouvoir des solutions pour transformer une situation. Une bonne hygiène informatique, c’est prendre des mesures de sécurité qui reposent sur quelques principes clés :

Toute entreprise ou organisation doit, au minimum, identifier les biens et les ressources à protéger. Le deuxième principe est l’authentification. Il consiste à identifier la personne qui souhaite effectuer une manipulation. Le troisième est l’autorisation ou l’habilitation, c’est-à-dire déterminer les privilèges de cette personne dans le système. Quatrième principe, l’audit, c’est-à-dire maintenir des logs de toute opération dans le système.

Enfin, il faut identifier les parties dignes de confiance dans l’écosystème. Soit, les acteurs dont on dépend pour la sécurité, les données personnelles et sensibles (être en conformité avec le RGPD), former les utilisateurs, et assurer la sécurité physique en fixant les procédures d’accès au bâtiment et aux salles de machines.

Les entreprises ont souvent tendance à s’en remettre aux solutions techniques ou aux certifications qui leur confèrent un sentiment de sécurité. Quelle est votre analyse ?

En partant du contexte actuel sur la population mondiale estimée à 7,8 milliards d’individus en mars 2020, cela voudrait dire que la moitié de la planète est connectée. Ce grand nombre de « connectés » rend plus vulnérable notre cyber espace et fait du facteur humain le premier maillon faible de la sécurité des systèmes d’information. La réalité est que les solutions techniques n’atténuent environ que 30 % des attaques. Les 70% restant reposent sur le facteur humain qui est le maillon faible de la cybersécurité. Aucune technologie ne peut complètement éliminer le risque d’attaque. Cependant, il existe un moyen de réduire considérablement les risques potentiels, en adoptant la gestion de la menace interne.

Dans le secteur de la cybersécurité, nous parlons souvent de la «menace interne» à laquelle les organisations sont confrontées en matière de sécurité de leurs données et leurs actifs les plus capitaux. Chaque entreprise doit faire face à la fois à la prévention et à la détection de ces risques.

De votre expérience, quelles sont les formes d’attaques les plus répandues auxquelles sont exposées les banques et, plus globalement, le secteur financier ?

1/3 des entreprises financières ont subi ces dernières années plus de cinq tentatives de fraudes. Il en existe plusieurs types, à savoir : l’usurpation d’identité, l’intrusion dans le système d’information et la fraude interne. Le cas le plus probable vient des menaces internes (insider threat). Ces menaces sont généralement difficiles à détecter, elles peuvent venir aussi de ce que l’on appelle les «initiés». Ce vocable regroupe, en effet, tous les employés et les personnes internes qui ont accès aux biens de l’entreprise. Par ailleurs, toute personne ayant un accès privilégié (par exemple des identifiants de connexion) à des serveurs, des données et des systèmes sensibles, peut être considérée comme une menace interne, car l’accès de chaque personne est un point de vulnérabilité. Ces «initiés» peuvent être des PDG, des responsables des ressources humaines, des administrateurs de système, etc.

En cas de fraude, en quoi la banque émettrice de la carte de paiement/ peut-elle être engagée ?

Et, si l’antidote de la fraude au virement et autres types de responsabilité de transactions résidait dans une meilleure gestion des données ? Il n’y a aucun doute, la responsabilité de la banque est engagée à tous les niveaux, car elle a l’obligation de garantir la sécurité des données qu’elle collecte.

À combien estimez-vous les dommages financiers dus à la fraude à la carte bancaire dans la sous-région de l’UEMOA ?

Il est très difficile de répondre avec exactitude à cette question, car lors d’une attaque ou violation des données, les institutions financières ne communiquent jamais, et ne se prononcent jamais non plus sur les chiffres. Le fait de garder le silence lors d’une violation des données (fuite des données clients), c’est enfreindre la loi de la conformité sur la protection des données personnelles.

La cybercriminalité coûte 1.000 milliards de dollars par an

Pour se convaincre de l’urgence de la situation, il suffit de se rappeler que, chaque année, le coût de la cybercriminalité pour les entreprises se monte à 1.000 milliards de dollars dans le monde. Ce coût exorbitant est généré par les interruptions de service, les pertes de temps et d’efficacité ainsi que par la détérioration de l’image de marque des entreprises victimes de cyberattaques.

À votre avis, le combat engagé face au hacking est-il gagnable ou perdu d’avance ?  

Il y a de l’avance certes de la part des hackers, car eux-mêmes sont de très grands développeurs. En clair, ils comprennent parfaitement les solutions et leurs failles. Cela dit, si les entreprises adoptent des mesures de sensibilisation à grande échelle et qu’elles restent vigilantes en permanence, l’atténuation des attaques se fera sentir.