Cybersécurité : Comment s’organisent les entreprises financières ?
Après WannaCry et Adyllkuzz, c’est au tour de NotPetya de prendre la relève. Les cyberattaques s’enchaînent et les firmes mondiales semblent toujours démunies face à ces intrusions. Au Maroc, les entreprises s’organisent tant bien que mal pour renforcer leur cybersécurité…
Le mardi 27 juin dernier, plusieurs entreprises et administrations en Europe, aux USA, et en Russie ont subi une cyberattaque d’une grande ampleur. L’arme utilisée a été baptisée NotPetya. Une attaque rappelle celle du WannaCry ou Adyllkuzz, il y a un mois, sauf que celle-ci s’avère encore plus dangereuse. Sa particularité, prendre le contrôle de l’intégralité du disque dur. Ce «ransomware» a visé en priorité des banques, des hôpitaux, des laboratoires, mais aussi des holdings industriels. Il a même contraint une centrale électrique d’Ukraine à interrompre ses activités. Selon plusieurs experts, ces cyberattaques, ne sont qu’un aperçu de ce qui se passe tous les jours à petite échelle. Des centaines d’entreprises doivent faire face à des intrusions dans leur système d’information. Mais la majorité de ces attaques ne sera jamais dévoilée. Plusieurs raisons ressortent : soit pour éviter d’avoir un impact sur l’entreprise et sa réputation, soit pour éviter des poursuites judiciaires pour négligence, ou parce qu’elles ne sont tout simplement pas détectées par l’entreprise. Au Maroc, où les entreprises font partie d’un village planétaire interconnecté, une prise de conscience est en marche. Nombreuses sociétés assurent disposer d’une politique de cybersécurité. Les bonnes pratiques recensées restent généralement le changement régulier des codes d’accès au réseau, ou encore la mise en place d’une procédure d’authentification pour se connecter. La formation interne au sujet du risque informatique, est quant à elle, encore peu proposée. «Les entreprises marocaines ne peuvent enclencher de transformation digitale sans porter une attention particulière à la sécurité de leurs systèmes d’informations», souligne Ali EL Azzouzi, directeur général de Dataprotect. Les services de cette entreprise spécialisée en sécurité de l’information sont de plus en plus demandés. «Nous avons été sollicités pour mener des investigations et de l’analyse des traces numériques dans des secteurs divers et variés. Du petit cabinet d’avocat qui voit fuiter les dossiers sensibles de ses clients jusqu’à la multinationale qui subit une attaque ciblée de dénis de service distribué en passant par le secteur financier», explique El Azzouzi. En effet, aucun secteur n’est épargné.
Le secteur financier, plus sensible ?
Mais là où la menace reste prépondérante, c’est auprès des filiales marocaines des grandes firmes internationales ou encore au niveau des entreprises nationales qui hébergent leurs données à l’étranger (le coût du stockage en local restant élevé). Généralement, les filiales marocaines ont pu surmonter les attaques -même si prises de court au moment du WannaCry-. Le secteur financier, plus sensibilisé aux risques informatiques, comportent les meilleurs élèves sur ce volet. Pour Axa Assurance Maroc, par exemple, les équipes de la sécurité de l’information locale et du réseau ont été mobilisées en urgence dès le vendredi pour mettre en place toutes les recommandations et les dispositifs de sécurité souhaitables au contournement de l’attaque WannaCry selon le protocole d’alerte maximale…«Durant tout le weekend, toutes les nouvelles mises à jour de sécurité ont été effectuées sur toutes nos infrastructures, ainsi que l’ensemble des restrictions appliquées sur les actifs d’Axa Assurance Maroc et toutes nos filiales subsahariennes. Nous avons tout mis en œuvre pour ne pas perturber l’activité le lundi matin», nous explique Moufid Mustapha, le directeur de la transformation d’Axa Assurance Maroc. Il insiste, de toute façon «notre programme de sécurité inclut un ensemble d’opérations d’audits annuels effectuées par des organismes spécialisés, (test d’accès, tests d’intrusion, protection des données, réseaux, messagerie,…). Toutes les filiales du groupe appliquent ces mesures».
Pour une autre banque marocaine de la place, «nous sommes très à cheval sur le volet cybersécurité. Toute l’infrastructure et les données du groupe sont concernées : systèmes d’exploitation, bases de données, sites internet, applications, configurations du pare-feu, antivirus… Si les correctifs n’ont pas été appliqués à temps, il serait très simple de s’introduire dans notre système d’information. Du coup, chacune des failles est connue et référencée au niveau de notre DSI». Face à la multiplication des attaques informatiques, les entreprises cherchent à se protéger contre les coûts engendrés par une chaîne de montage à l’arrêt ou celui de la remise en état d’un système informatique. «La recrudescence des attaques et la réglementation ne laissent plus le choix aux entreprises marocaines. Nous assistons depuis quelques années à une explosion du poste budgétaire lié à la sécurité», assure El Azzouzi. Pour cet expert, «à partir du moment où les risques sont connus, il est extrêmement difficile pour un manager de prendre la décision de ne rien faire». Rapporté à la taille de l’entreprise et de l’enveloppe dédiée aux SI, le budget alloué au risque informatique varie. «Le coût annuel du programme de sécurité des systèmes d’information représente près de 4% du budget annuel total des systèmes d’information», assure le directeur de la transformation d’Axa Assurance Maroc. Alors que pour la banque marocaine, le budget alloué à la sécurité informatique représente entre 10 à 15% du budget global du SI. Selon El Azzouzi, dans certains cas, la sécurité de l’information représente plus de 30% du budget du SI de l’entreprise ; «elle pourra atteindre même les 50% à l’avenir». En clair, les entreprises n’ont pas d’autre choix que de mettre la main à la poche. Même si du côté des responsables SI, les moyens consacrés à la cybersécurité ne sont jamais suffisants. Le moment des négociations des budgets est toujours sujet aux frictions entre les responsables SI et la direction générale. Mais nécessité oblige, les deux parties trouvent au final un terrain d’entente.
Une aubaine pour les assureurs
Et parce qu’une cyberattaque peut être à l’origine de la disparition d’une entreprise, cela donne matière aux assureurs pour développer de nouveaux produits. Aux États-Unis et en Europe, de plus en plus de chefs d’entreprise intègrent leur premier contrat d’assurance contre le risque informatique à leur cahier des charges. De fait, les attaques de ce type coûtent plusieurs dizaines de millions de dollars à ses victimes. «Au-delà des coûts directs liés à l’indisponibilité des systèmes et à l’atteinte à l’intégrité des données, ce sont les coûts indirects liés à l’image de marque qui peuvent impacter lourdement le déroulement normal des activités d’une entreprise», souligne El Azzouzi. Du coup et au vu des montants engagés, un peu plus d’une dizaine d’acteurs proposent aujourd’hui plusieurs solutions. Entre autres, le groupe Axa, qui «a procédé à une approche directe avec des spécialistes de la prévention comme Airbus Défense and Security pour mieux comprendre le risque informatique», affirme le directeur Marché entreprises, Bentahar Billel. Pour faire face à ce risque dans les pays européens -les plus touchés, «le groupe propose la garantie «cyber», couvrant le volet dommages subis, le volet gestion de crise et le volet accompagnement sur mesure en ingénierie». Si à l’étranger, souscrire à une police d’assurance fait désormais partie des bonnes pratiques de sécurité, au Maroc «le marché s’organise pour répondre à cette demande», souligne Billel.
Un cadre réglementaire émerge
Autre contrainte -surtout pour les entreprises européennes, suivant un nouveau règlement applicable à partir de 2018- est l’obligation d’informer les clients en cas de vol de données personnelles. Selon la taille de la société, les frais de notification (entre 50 et 150 euros par client) peuvent atteindre des sommes astronomiques. Au Maroc, le cadre réglementaire est encore à sa phase de balbutiements. Les lois les plus connues sont la loi 07-03 complétant le Code pénal en ce qui condamne l’accès non autorisé ou frauduleux à un système d’information ou encore la loi 09-08 qui concerne la confidentialité et la sécurité des données personnelles ainsi que le respect de la finalité des données collectées. Inspirée de la loi française, «Informatique et Libertés», la loi 09-08 a eu le mérite d’introduire dans le paysage juridique marocain, et pour la première fois, un ensemble de dispositions légales relatives à la protection des données personnelles.
Ali EL Azzouzi
Directeur général de Dataprotect
Que cela soit Maroc 2013 ou Maroc 2020, la confiance numérique a toujours été un axe fondamental. Des lois ont été promulguées et des institutions ont été créées certes. Mais, il reste toujours du travail à engager. En effet, la cybersécurité est adressée aujourd’hui plus d’un point de vue défensif que d’un point de vue axe de différentiation…. Nous avons besoin d’un écosystème national fort capable non seulement d’adresser dans les règles de l’art les besoins locaux, mais aussi de s’exporter et de rayonner à l’international. De ce point de vue, le gouvernement gagnera à encourager et à promouvoir l’émergence d’un tel écosystème. C’est pour nous une question de souveraineté nationale».
La DGSSI veille au grain
La Direction générale de la sécurité des systèmes d’information (DGSSI) -à travers son centre de veille, de détection et de réponse aux attaques informatiques, le maCERT- attire régulièrement l’attention sur les dangers que représentent les intrusions informatiques. Parmi ses principales missions : le maintien de la veille, la formation, la sensibilisation, le conseil…La direction a, justement, dès les premiers signes du NotPetya, diffusé un bulletin d’information rappelant les recommandations de protection déjà publiées lors de l’attaque WannaCry. Un travail de longue haleine, même si pour certains experts, la DGSSI se suffit de publier ces quelques notes, et se mure, la plupart du temps, dans son silence. «À mon sens, cette direction doit communiquer davantage sur ses prérogatives ou missions afin de sensibiliser davantage les professionnels, mais aussi le grand public». Or pour El Azzouzi, «la DGSSI, fait un travail remarquable en termes de veille, de réponse aux incidents et de sensibilisation, mais ne peut à elle seule répondre à toutes les problématiques de sécurité à l’échelle nationale».
