«La sensibilisation reste la meilleure des armes»
La dernière cyberattaque a malmené le système de sécurité de plusieurs grandes firmes à travers le monde et le Maroc n’a pas été épargné. Ceci dit, la notion de risque informatique commence à peine à être prise en considération au sein des entreprises marocaines. Au niveau légal, beaucoup reste à faire. Détails.
Les Inspirations ÉCO : Quelle est la procédure à suivre quand un ordinateur est infecté ?
Mohamed Amin Lemfadli : Cela dépend des cas. L’on ne peut en général que réduire l’impact d’une attaque. Il faut tout d’abord isoler ou déconnecter le PC infecté, au cas où celui-ci est connecté au réseau d’une entreprise ou à internet afin d’arrêter la persistance de l’attaque et sa propagation vers les autres systèmes connectés. Une fois l’anomalie détectée, il ne faut surtout pas formater le système immédiatement. Les personnes ou services responsables à alerter dépendent de l’ampleur de l’attaque et de ses conséquences (Helpdesk, responsable du parc informatique, responsable de la sécurité des systèmes d’information…). Les personnes spécialistes doivent ensuite analyser l’incident de sécurité pour identifier la source du problème, puis collecter toute information nécessaire permettant éventuellement de poursuivre juridiquement les cyber-pirates s’il s’agit d’une attaque ciblée. On peut, à ce moment-là, réinitialiser le système, restaurer ou récupérer les données sauvegardées et prendre les mesures de cyber-sécurité nécessaires pour prévenir ce genre d’incidents.
Comment peut-on éviter ces attaques ?
L’évènement déclencheur des cyber-attaques pourrait être un simple utilisateur qui télécharge un fichier malveillant d’internet, de sa messagerie, d’une clé USB…ou d’une intrusion informatique effectuée par un cyber-pirate. Du coup, la sensibilisation reste la meilleure des armes. La sensibilisation doit se faire régulièrement pour mettre à niveau les utilisateurs. Il est fortement conseillé de mettre à jour son système d’exploitation, dès que cela est proposé par l’éditeur mais aussi de se doter d’un antivirus performant qui intègre les dernières technologies de prévention et détection des attaques (Pare-Feu, IPS, AntiSpam…). Et surtout, il faut éviter d’utiliser des logiciels piratés.
Le top management soutient-il cette démarche ?
La dernière attaque du Ransomware «WannaCry» a remis en cause le mode de gestion et de gouvernance de la sécurité des systèmes d’information au sein des entreprises sur plusieurs niveaux. Les nouvelles attaques visent désormais l’information qui est «l’or noir des entreprises». Parmi les objectifs des cyber-attaques se trouvent le vol, la destruction ou encore l’altération des données sensibles ; rendre les systèmes et applications indisponibles ; les fraudes ; la prise de contrôle d’un système de contrôle industriel «SCADA» ; la prise de contrôle d’un système vulnérable pour l’utiliser comme source d’attaque vers d’autres cibles…Le bon côté des choses, c’est que cela permettra aux chefs d’entreprises de gérer sérieusement le volet cyber-sécurité au sein de leurs organismes.
Quel type d’OS est le plus «sûr» actuellement ?
Il n’y a pas d’OS (systèmes d’exploitation) ou d’antivirus «sûr» si on n’adopte pas une bonne hygiène informatique, c’est-à-dire une utilisation saine d’un ordinateur, une bonne gestion de données personnelles/professionnelles et une navigation internet sécurisée. Il ne faut pas oublier que les cyber- pirates ont aussi des laboratoires de recherches pour trouver les failles des systèmes les plus sécurisés.
Comment réagit habituellement une entreprise face à un incident ?
Certaines entreprises marocaines n’ont pas un processus complet de gestion des incidents de cyber-sécurité et ne savent pas communiquer sur ce type de problématique (type d’incident, coût engendré, solution mise en place..). Parfois, ces incidents de sécurité sont gérés puis scellés au sein des entités techniques. Le risk manager doit être également alerté par les incidents majeurs pour qu’il puisse réagir en conséquence, mais surtout pour qu’il puisse quantifier les pertes subies, intégrer l’anomalie dans sa cartographie des risques et suivre la mise en place des mesures détectives, préventives ou correctives.
Quelles sont les cyber-attaques les plus répandues actuellement ?
Parmi les cyber-attaques les plus répandues, on trouve les ransomwares ; les APT «Advanced Persistant Threat» (un fichier malveillant : une fois injecté dans le système, le cyber pirate prend le contrôle de la machine à distance pour effectuer des opérations malveillantes) ; les attaques DOS «Denial of Service» (qui font crasher des systèmes) ; les attaques DDOS «Distributed Denial of Service» (qui contrôle un réseau de machines infectées «PC Zombie» pour attaquer des cibles particulières)…On trouve également des cyber-attaques qui exploitent l’absence des moyens de contrôle dans les procédures et processus métiers comme la fraude au président (qui consiste à obtenir un virement vers un compte à l’étranger, sur ordre supposé d’un dirigeant ou d’un fournisseur, derrière lequel se cache en réalité un internaute malveillant) ; les opérations frauduleuses dues au manque de maîtrise des habilitations d’accès aux systèmes et applications. Un autre type de cyber-attaque consiste à utiliser les techniques d’ingénierie sociale comme le «Phishing» ou hameçonnage.
Quel recours juridique dans ces cas là ? Que dit la loi ?
Les lois les plus connues sont la loi 09-08 qui oblige les responsables du traitement d’assurer la confidentialité et la sécurité des données personnelles ainsi que le respect de la finalité des données collectées…, la loi 53-05 relative à l’échange électronique des données juridiques et la loi 07-03 complétant le Code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données (accès non autorisé ou frauduleux à un système d’information).
