L'Entretien
0

Sofiane CHAFAI, Directeur Conseil et Expert de la société Intervalle Technologies déclare : «La Numérisation doit s’appuyer sur un axe cyber sécurité»

SecurityDay Dakar sont deux journées qui ont pour objectif d’échanger et de partager les expériences de la cybercriminalité en Afrique. Crée en 2012, c’est sa quatrième version cette année. Le SecurityDay Dakar est structuré en deux parties. Un espace d’exposition d’entreprise de cybersecurité et un forum avec des conférences pendant les deux journées sur tous […]

SecurityDay Dakar sont deux journées qui ont pour objectif d’échanger et de partager les expériences de la cybercriminalité en Afrique. Crée en 2012, c’est sa quatrième version cette année. Le SecurityDay Dakar est structuré en deux parties. Un espace d’exposition d’entreprise de cybersecurité et un forum avec des conférences pendant les deux journées sur tous les thèmes. Deux journées pleines qui ont vu la présence de pays comme le Sénégal, pays hôte, mais aussi le Benin, l’Afrique du Sud, le Ghana et la Tanzanie.
Au niveau de l’espace d’exposition, nous avons été surpris de rencontrer un opérateur Algérien présent depuis plusieurs années dans la région. Cette société de services installée en Algérie regroupe des ingénieurs et experts internationaux. Selon Sofiane Chafai, Directeur Conseil et expert de la société Intervalle Technologies, « elle est née en Algérie, il y a dix ans. Elle est connue pour avoir été la pionnière dans le domaine de la cyber-sécurité surtout dans la formation. Nous avons même dispensé des formations de hacking et comment s’en protéger». Cette société est présente dans plusieurs pays Africains depuis ses origines et prend de l’ampleur aujourd’hui en s’associant à des cabinets et des organisations internationales dans le domaine et en participant à des forums d’envergure, en prenant la parole et exposant des analyses et des idées à même de contribuer les débats. Au cours du SecurityDay Dakar, les experts d’Intervalle Technologies ont animé des débats au niveau du salon d’exposition sur l’arsenal cybernétique rendu publique de la NSA –bien avant l’attaque mondiale qui a eu lieu-, et l’impact de son utilisation par les cybercriminels, puis ils ont exposé comment se prémunir contre ce genre d’incident en utilisant l’intelligence artificielle comme outil de détection. Ces thématiques qui font l’actualité dans le domaine de la cyber-sécurité et la cyber-défense constituent le centre d’intérêt d’Intervalle Technologies.
Au niveau de la grande salle, nous avons suivi durant ces deux journées le déroulement des débats qui a regroupé des institutions et organisations gouvernementales ainsi que quelques entreprises privées qui demeure pointue et spécifique. Nous avons voulu en savoir plus, la présence de l’entreprise algérienne à Dakar et la disponibilité de Sofiane Chafai qui a bien voulu répondre à nos questions. Ecoutons le.

IT Mag : Intervalle Technologies est une entreprise spécialisée dans la sécurité informatique. Quelles sont les particularités de votre entreprise ?
Sofiane Chafai : Intervalle Technologies est une société de services informatique fournissant des prestations de conseil, d’audit de formation dans le domaine de la cybersécurité. Intervalle Technologies a tissé des partenariats avec des organismes et éditeurs internationaux pour fournir une expertise pointue afin d’accompagner les clients dans leur programme de transformation numérique, mise en place de systèmes de management de la sécurité, mise en conformité par rapport à des réglementations locales ou à des normes internationales. Intervalle Technologies est également un regroupement d’experts nationaux travaillant en Algérie ou à l’étranger pouvant apporter de par leur expérience et qualification un service de très haute qualité

IT Mag : Vous nous parlez d’audit, conseil, réponse à incident mais aussi de formation. Comme vous le savez, en Algérie, il n’existe pas de certification pour des entreprises comme vous. D’après vous, comment reconnaitre une bonne d’une moins bonne entreprise ?
Sofiane Chafai : Vous touchez du doigt un point très important qui malheureusement nous fait cruellement défaut en Algérie où il n’existe malheureusement pas de processus d’accréditation de sociétés de services comme la notre (Sécurité informatique NDLR).
En effet, il est important de disposer d’un mécanisme pouvant attester d’un savoir faire, d’une expertise d’une entreprise fournissant un service de conseil, d’audit, ou intégrant une technologie. Il est également important de pouvoir disposer d’un mécanisme d’habilitation pour réaliser des missions dans des secteurs sensibles où la criticité des informations reste primordiale.
Le maintient d’un savoir faire ou d’une expertise au sein d’une entreprise requiert de la ressource humaine et matérielle qui coûte cher à l’entreprise. S’inscrire dans ce processus vertueux de maintient de certification et d’accréditation auprès des organismes internationaux suppose de la formation continue, la participation à des congrès et séminaires internationaux, le passage de certification, contracter des assurances, investir de l’argent et du temps. Le client ne voit souvent pas ces aspects. Pouvoir afficher dans ses supports de communication des logos d’éditeurs de solution technologies, de méthodologies sur l’état de l’art suppose des investissements que devrait consentir tout professionnel soucieux de fournir un service de qualité.
Pour revenir à votre question, nous restons aujourd’hui pénalisés par l’absence de ce processus de certification nécessaire qui aiderait les entreprises à avoir une idée beaucoup plus objective sur les capacités techniques d’un fournisseur.

IT Mag : Vous parlez de sécurité des systèmes d’information. Est-ce que vous êtes lié à un centre certifié d’alerte et de réaction aux attaques informatiques dit CERT, en anglais Computer Emergency Response Team qui n’existe pas en Algérie ou bien disposez-vous d’un CERT au sein de votre entreprise ?
Sofiane Chafai : De part notre activité professionnelle, nous sommes tenus de maintenir un niveau élevé de veille par rapport aux alertes et aux menaces cyber, nous sommes en interne abonnés à des sites d’alerte de nos partenaires et d’organismes internationaux avec qui nous sommes accrédités. Nous ne manquons d’ailleurs pas de répercuter ces alertes à nos clients.

IT Mag : Il y a un avant Snowden et un après. En Algérie, la numérisation est en marche. De par votre spécialisation et ce qui se fait dans le monde, pourriez-vous nous dire quelles sont les exigences réglementaires qui sont mis en exergue pour les questions de sécurité des systèmes d’information. Avons-nous un équivalent à l’ANSSI français ou l’ADIE sénégalaise ?
Sofiane Chafai : En Algérie, nous ne disposons malheureusement pas d’une structure nationale (agence) en charge de définir le cadre et les axes des politiques de sécurité des systèmes d’information à implémenter au sein de nos institutions et entreprises nationales quelles soient publiques ou privées. Aujourd’hui l’Algérie ne dispose pas d’un CERT, un projet de CERT (DZ CERT) avait été initié par le CERIST qui avait mis en place une cette structure de veille en 2002 et qui n’est plus opérationnelle depuis plusieurs années. Des investissements massifs dans les infrastructures ont été consentis en Algérie. Tous les projets de l’État ont eu un objectif : développer la connectivité et améliorer le taux de pénétration d’internet dans toutes les régions du pays. C’est un objectif louable mais qui doit être accompagné du développement de contenu. Lequel, notons le bien, ne pourra se faire que par des entreprises locales publiques ou privées. La numérisation ou digitalisation doit impérativement s’appuyer sur un axe cyber sécurité partie indissociable de la stratégie de numérisation. En plus du socle juridique nécessaire déjà en place, lois et réglementation régissant la cybercriminalité. Le dispositif réglementaire doit être mis en place pour définir les politiques de sécurité, les moyens et outils de mise en œuvre, les moyens et outils d’audit et de contrôle, le rôle et périmètre de responsabilité des différents acteurs, la qualification des intervenants comme je l’avais précisé précédemment car le domaine dont nous parlons va bien au delà de la cybercriminalité. En effet, nous devons intégrer dans ce dispositif les problématiques de cyberdefense car nous devons nous prémunir contre des attaques pouvant viser nos infrastructures critiques et élever leur niveau de résilience.

IT Mag : Pouvez-vous nous faire un état des lieux de la prise en charge de ces problématiques en Algérie et où nous en sommes ?
Sofiane Chafai : Au risque de me tromper ou pire de choquer, je ne peux pas m’aventurer à donner ni des chiffres ni prétendre faire un état des lieux exhaustif, mais en me référent aux publications de tous les jours, la situation est loin d’être rassurante. Notre cyber-espace est vulnérable.
Nos entreprises et non des moindre sont piratées et certains exploits sont publiés sur le Net. Les cyber-attaques dont nos entreprises sont les cibles des hackers sont de tous types (Malwares, Botnet par Déni de service par exemple, Défiguration de sites web (ou « défacement »), Hameçonnage (ou « phishing ») qui risque de prendre sans doute de l’ampleur en Algérie avec le développement du paiement en ligne, les black markets qui demeure une spécialité très prisée en Afrique, le «Phreaking» qui correspond à l’arnaque et la fraude à la téléphonie mobile,..
Avec la progression du taux de pénétration internet, l’Algérie sera donc de plus en plus confrontée aux défis de la cybersécurité, qu’elle soit la cible ou l’émetteur des menaces. Avec le développement du paiement en ligne et le mobile paiement, la cyber escroquerie prendra sans doute de l’ampleur.
De plus et ce que beaucoup de chefs d’entreprises ou même de particuliers ignorent est que leur infrastructure IT peut être utilisée par des cybercriminels ou hacktivistes dans le cadre d’attaques de masse ciblées visant des organisations ou des entreprises. Cette situation n’est pas sans conséquence pour ces chefs d’entreprises qui peuvent être pénalement inquiétés tenant compte des nouvelles réglementations internationales tel que par exemple la nouvelle réglementation européenne de protection des données personnelles.
L’impact de ces attaques est double. Au plan financier, elles engendrent des pertes pour les entreprises. Mais outre les pertes financières directes, l’impact est également économique puisque ces attaques sont susceptibles de générer une certaine défiance à l’égard du numérique et un ralentissement potentiel de la transformation numérique. Un pays non sûr sur ce plan ne peut prétendre commercer en ligne avec des acteurs étrangers et pourrait être fiché comme un pays «électroniquement infréquentable». Pour ces raisons, l’Algérie doit, à l’instar de ce qu’il se fait dans d’autres pays de la région adopter les mesures nécessaires pour se prémunir contre ces risques.

IT Mag : Justement sur ce plan où en est l’Algérie ?
Sofiane Chafai : En matière de lutte contre la cybercriminalité, la Gendarmerie Nationale et la sûreté Nationale se sont dotées de cellules ou direction de prévention et de lutte contre la cybercriminalité. Les deux institutions ont formé des cyber-enquêteurs et mis en place des plateformes et outils d’investigation. Elles ont également tissé des partenariats avec leurs homologues étrangers et assistent à des rencontres et forum internationaux.
Ces deux institutions assurent leurs rôles de prévention et de répression des crimes liés aux TICs.
Par contre rien n’est pratiquement fait pour sécuriser notre cyber espace. Nous n’avons pas de stratégie de sécurisation de nos systèmes d’information, de protection de nos données et encore moins de cyber-défense.

IT Mag : Autre que les cyber-attaques et cyber-arnaques, existe-t-il d’autres risques qui correspondent plutôt à des menaces surnaques, existe-t-il d’autrer les états. Pouvez-vous nous dire quelques mots à ce sujet?
Sofiane Chafai : Oui, nous avons parlé de la cybercriminalité et des types qui la compose mais nous n’avons pas parlé des menaces qui pèsent sur la sécurité de la nation……

IT Mag : Que doit-on faire ?
Sofiane Chafai : Il faut tout d’abord définir une stratégie nationale de la cybersécurité se doter des organes de gouvernance et des outils pour la mise en œuvre de cette dernière.
La déclinaison de cette stratégie passera d’abord par la mise en place d’une organisation en charge de la cybersécurité, à l’image de l’ANSSI française, l’ANSI en Tunisie, la DGSSI au Maroc, l’ANTIC au Cameroun avec l’ANTIC ou en Côte d’Ivoire avec l’ARTCI,…
Sur le volet opérationnel, Il est impératif de se doter d’un CERT National qui devra s’appuyer sur des centres opérationnels (Security Operation Center) en charge de la détection et de la réponse aux incidents de sécurité dans le cyberespace national.
Sur le volet réglementaire, ratifier les différents traités internationaux comme la convention de Budapest au niveau international et le traité de Malabo au niveau continental. Les délits sont transnationaux et les réponses ne peuvent exister que dans un cadre de coopération internationale en permettant aux autorités judiciaires et de sécurité d’obtenir l’assistance dans leurs investigations des États membres signataires de la Convention ainsi que celle des grands fournisseurs de contenus Internet (Facebook, Twitter, Youtube, Google, yahoo, Gmail etc.
Enfin le volet humain qui reste certainement l’axe le plus important et pour lequel la formation sous toutes ses formes, académiques, universitaire, professionnelle et la sensibilisation constitue aujourd’hui un défi majeur auquel nous devons nous y atteler en incluant toutes les franges de la société petits et grands.

IT Mag : Quelles sont les difficultés et les contraintes aujourd’hui à la mise en place de cette stratégie de lutte contre les cybermenaces ?
Sofiane Chafai : Nous n’avons pas encore pris toute la mesure du problème, je dirai le manque de sensibilisation. Il faudra l’inscrire dans le conscient collectif. État et citoyens.
L’objectif est de créer un espace virtuel de confiance. Pour y arriver, il est d’abord important de prendre conscience des menaces et de leurs conséquences.

IT Mag : Ce n’est pas le cas ?
Sofiane Chafai : Non.

IT Mag : Les raisons ?
Sofiane Chafai : La manque d’appréciation des enjeux et des menaces au plus niveau de décision. Mais également le fait que les décideurs, peut être, peu à l’aise avec le numérique sont très peu sensibles aux discours et aux alertes des responsables opérationnels, souvent jeunes, à la forte culture numérique.

IT Mag : Un mot sur la cyber-défense ?
Sofiane Chafai : La cyberdéfense n’est pas la lutte contre la cybercriminalité. Il s’agit de défendre le cyberespace de l’état nation. Protéger ces institutions et sites vitaux d’abord et défendre sa stabilité.
Les attaques sur les sites vitaux (institutions de souveraineté, Énergie, banques, transport, santé, barrages, ….) dans un but d’espionnage, de vol d’information, détournement, de sabotage et autres délits sont des risques pouvant nuire aux intérêts fondamentaux de la nation.
La propagande terroriste, le Hactivisme, les appels à la désobéissance civile,…constituent également des menaces sur la sécurité de la nation.
L’Algérie s’est dotée d’un centre de Cyberdéfense depuis quelques années pour assurer cette mission de protection des intérêts du pays.

Share:
  • googleplus
  • linkedin
  • tumblr
  • rss
  • pinterest
  • mail

Écrit par itmag2003

There are 0 comments

Leave a comment

Want to express your opinion?
Leave a reply!

commentez car plus vous commentez plus il y aura d'échange

%d blogueurs aiment cette page :
Lire les articles précédents :
Le col Djamel Benredjem au Forum Ech Chaab Augmentation des infractions liées aux TIC 

«Nous ne sommes ni l’ANSII ni un Cert » explique le colonel Djamel Benredjem, directeur du Centre de prévention et...

Fermer