LA CYBER SÉCURITÉ UNE NÉCESSITE INCONTOURNABLE
septembre 8, 2015
Régulation
-Introduction :
Les attaques informatiques, sont de vraies guerres discrètes et sans bruit, pouvant provoquer des dégâts relativement importants. Il est, le plus souvent, impossible de déterminer les auteurs de ces attaques. Celles-ci peuvent se faire par l’envoi de virus sur les ressources informatiques, à travers les divers réseaux télécoms, ou via l’introduction de virus dans des clés USB, comme ce fut le cas, en 2009, lors de l’attaque informatique qui a touché le centre nucléaire iranien. Ces attaques peuvent bloquer les systèmes d’information d’une entreprise ou d’un pays, comme ce fut le cas en Estonie en 2007. Les pertes engendrées par ces attaques ne font que renforcer davantage la prise de conscience de la vulnérabilité des réseaux et de l’importance de la cyber-sécurité, pour les Etats comme pour les entreprises.
Il devient donc impératif d’aborder cette problématique aujourd’hui plus que jamais. La sensibilisation des décideurs par rapport à la cyber-sécurité découle notamment du fait que l’Internet est de plus en plus vulnérable aux diverses attaques, plutôt faciles à implémenter, et dont il est difficile de cerner les conséquences. Selon des estimations publiées en 2012 par la Commissions Européenne, le cout, direct et indirect, des cyber-attaques totalisait environ 388 milliards de dollars à l’échelle internationale.
Tout le monde est concerné par la cyber-sécurité, les Etats, les entreprises, les régulateurs télécoms, les équipementiers de matériel informatiques et télécoms, les éditeurs de logiciels, les opérateurs télécoms, les organisations internationales concernées, les pouvoirs publics. Bien évidemment il n’existe pas de solutions toutes prêtes pour protéger l’ensemble des systèmes et réseaux télécoms et la sécurité totale serait une chimère.
-C’est quoi la cyber-sécurité :
« La cyber-sécurité » peut être définie comme un processus, qui englobe l’ensemble des moyens mis en place, en amont comme en aval, pour lutter contre les délits informatiques volontaires (comme les intrusions ou le vol d’informations sensibles) ou involontaires (tels les failles), pouvant toucher les systèmes d’information ou les réseaux des télécoms. Ces moyens consistent dans la mise en œuvre des centres de détection d’attaques et la recherche de solutions appropriées permettant de surveiller, de détecter, d’analyser, de visualiser et d’intervenir en cas de besoin.
La cyber-sécurité se justifie plus que jamais dans les pays développés qui utilisent les systèmes d’information à grande échelle. Mais elle se justifie également, quoique à une échelle moins prononcée, dans les pays émergents ou en voie de développement. C’est le cas du Maroc, où le taux de pénétration de l’internet progresse de manière significative et où plusieurs entreprises et organisations optent, de plus en plus, pour la mise en réseau de leurs systèmes d’information. Ce processus devient impératif, étant donné que parmi les principaux obstacles identifiés, empêchant l’adoption à grande échelle des services en ligne, on cite le sentiment d’insécurité, autrement dit, la méfiance, ou du moins le manque de confiance de la part de l’usager. Quant à la définition de la cybercriminalité ou cyber-attaque, les experts de l’Organisation pour la Coopération et le Développement Economique (OCDE), ont arreté celle-ci : « tout comportement illégal ou contraire à l’éthique ou non autorisé, qui concerne un traitement automatique de données et ou de transmissions de données » .
-Pourquoi il est urgent d’en prendre conscience de la cyber-sécurité :
Si certaines cyberattaques sont médiatisées, d’autres ne le sont pas toujours.
Une dizaine de grandes sociétés américaines, comme Yahoo, Amazon.com, Dell, ou CNN ont été attaquées électroniquement en l’an 2000, par un élève canadien de quinze ans. L’estimation des diverses pertes cumulées, suite à ces attaques, a été d’environ 1,7 milliards de dollars dont 300 millions pour les réparations des systèmes infectés. La firme Yahoo, a vu son action chuter de presque 50%, pendant les heures de panne.
En 2005, un jeune marocain a attaqué, depuis le Maroc, quelques sites tels que ceux des médias CNN et d’ABC.
La première cyberattaque, à grande échelle, ciblant un pays, a visé l’Estonie en avril 2007, et ce durant plusieurs jours. La majorité de ses institutions et plusieurs grandes entreprises ont été touchées, surtout à un moment où ce pays avait adopté une organisation sans papier, entièrement informatisée et où tous les systèmes d’information étaient reliés par Internet. Tout le pays s’était retrouvé paralysé pendant plusieurs jours, y compris les banques.
Entre 2009-2010, une cyber-attaque a paralysé la Centrale nucléaire de Boucher en Iran. Elle a été réalisée de telle manière à bloquer les ordinateurs de la centrale au moyen d’un virus bien conçu pour la cible. Contrairement au cas de l’Estonie, où l’attaque était venue via internet, ce virus, qui s’appelle Stuxnet, a été transmis à la centrale iranienne via des clés USB offerts aux chercheurs proches du programme nucléaire iranien, car le réseau informatique de la centrale n’était pas connecté au monde extérieur.
Ces exemples d’attaques ne font que démontrer le besoin d’améliorer la cyber-sécurité. En effet, l’ampleur des dégâts réels ou potentiels qu’on peut rencontrer lors d’une cyberattaque justifient largement la mise en œuvre d’une véritable politique de cyber sécurité. La raison en est que de nombreuses activités reposent aujourd’hui sur l’Internet et de plus en plus d’applications vitales se trouvent sur des réseaux de télécommunications ouverts. A titre d’illustration, le marché mondial de la cyber-sécurité, estimé en 2013 à 65 milliards de dollars, devrait atteindre 86 milliards en 2016, selon une étude du cabinet américain Gartner.
-Les solutions :
Comment doit-on assurer une sécurité des systèmes d’information des entreprise et des institutions étatiques à un moment où la terre est maillée de multiples réseaux de télécommunication, de plus en plus ouverts d’une part et, où la clé USB devient un outil de travail incontournable, d’autre part.
Les solutions envisagées en amont, se situent au niveau de la recherche sur les logiciels malveillants, en tenant compte des diverses applications ainsi que de l’adoption, par voie législative et réglementaire, de textes en relation avec la cyber-sécurité.
Parmi les premières mesures entreprises, en amont, adoptées au niveau international, on cite la convention sur les cyberattaques adoptée en novembre 2001 à Budapest. Celle-ci constitue le premier traité international sur les crimes informatiques et les crimes dans l’internet. L’objectif principal, était de poursuivre une politique pénale commune, destinée à protéger la société contre les cyberattaques et d’harmoniser certaines lois nationales en augmentant la coopération entre les signataires de la convention.
Pour sa part, l’Union Européenne a créé en 2004, une agence de cyber sécurité, dont la mission est la définition d’une approche européenne commune en la matière. Cet organisme est appelé à sensibiliser et à rendre intelligible les problématiques liées à la sécurité informatique et à lutter contre toutes les formes d’attaques de réseaux. Cet organisme est appelé également à jouer le rôle de conseiller auprès de la Commission Européenne, du Parlement et des différents organismes de l’Union, sur les problématiques de sécurité. Depuis, les pays membres ont accompli de grands progrès dans ce domaine.
Au Maroc, parmi les actions entreprises en amont figure l’adoption, en novembre 2003, d’une loi N° 07-03, sur les atteintes aux systèmes de traitement automatisé des données, promulguée par le Dahir N° 1-03-197 le 11 Novembre 2003. Cette loi est le premier texte en droit marocain à s’intéresser aux infractions informatiques et qui sanctionne les infractions des systèmes Informatiques. Toujours en amont, notre pays a créé au cours de l’année 2011, des entités chargées de mettre en place tout un arsenal juridico-technique pour assurer la sécurité des systèmes d’information. Récemment, dans le cadre d’une politique de renforcement de la cyber-sécurité, Le gouvernement marocain a décidé le 15 mai 2014, via le décret N°2-13-881, que toutes les activités ayant une relation avec la cryptographie passent sous la responsabilité de l’administration de la Défense Nationale et plus précisément de la Direction Générale de la Sécurité des Systèmes d’Information.
En France, les pouvoirs publics ont reconnu l’importance de la cyber-sécurité à travers la création de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), en 2009.
Quant aux solutions en aval, elles s’articulent généralement autour de l’installation des techniques de filtrage et de sécurité comme les firewalls, de la gestion de la communication des incidents de sécurité, de la gestion du risque, de la confidentialité des données qui circulent sur la toile. Ces solutions en aval passent aussi par la diffusion de chartes d’utilisation, de l’élaboration de programmes pour l’éducation des usagers et des actions de sensibilisation des jeunes. Ces jeunes, qui constituent souvent une proie facile pour les différentes tentations.
On ne peut alors qu’affirmer que le développement d’une société de l’information globale ne peut être réellement assuré que par la mise en place de mesures garantissant notamment la sécurité des systèmes d’information et des réseaux télécoms, l’authentification des usagers ainsi que la protection du consommateur. Cela passe aussi par la diffusion d’une culture mondiale de la cyber-sécurité qui doit être réalisée en concertation avec les organismes internationaux compétents et avec tous les acteurs concernés.
-Conclusion ; aller vers un réseau à double clés :
Bien entendu, le défi majeur pour les industriels du logiciel, à long terme, est de créer un modèle d’identification et d’authentification qui, outre qu’il fonctionnerait de façon fiable, susciterait un niveau de confiance suffisant chez les usagers. Il s’agit en fait, d’étendre à toutes les applications de cybernétiques, le modèle de cryptage en vigueur dans les plateformes garantissant, la signature électronique et de déployer les efforts nécessaires pour protéger les données sensibles. Malheureusement les échanges, à double clés, nécessitant la signature électroniques, sont relativement plus onéreux en comparaison aux échanges sur la toile internet, considérés comme des services « low cost ».
A titre d’illustration, la loi n°53-05 du Dahir n° 1-07-129 du 30 novembre 2007 portant promulgation de la loi n° 53-05 relative à l’échange électronique de données juridiques, adoptée au Maroc, prévoit que l’écrit sur support électronique revêt la même force probante que l’écrit sur support papier. Ainsi, en application de cette loi, l’écrit sous forme électronique est admis en preuve, au même titre que l’écrit sur support papier signé, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. Ces échanges, dans le cadre de l’application de la signature électronique, nécessitent une double clé, privée et publique.
Par Ahmed Khaouja consultant en Télécoms et TICs