Société de l’information et cybersécurité

Comment assurer une sécurité des systèmes d’information alors que la terre est maillée de multiples réseaux de télécommunication de plus en plus ouverts ? « La cybersécurité » peut être définie comme un processus, et non une solution, qui englobe l’ensemble des moyens mis en place, en amont comme en aval, pour lutter contre les délits volontaires (comme les intrusions) ou involontaires (les failles par exemple) qui peuvent toucher les systèmes d’information ou les réseaux de télécoms. Elle se justifie plus que jamais dans les pays développés qui utilisent les systèmes d’information à grande échelle ; mais aussi dans les pays en voie de développement, comme le Maroc, où le taux de pénétration de l’internet progresse fortement et où entreprises et organisations optent de plus en plus pour la mise en réseau de leurs systèmes d’information. Enfin, ce processus devient impératif pour permettre l’adoption à grande échelle des services en ligne. La toile Internet est de plus en plus vulnérable aux diverses attaques. Selon la Commission Européenne, une entreprise européenne sur huit a déjà fait l’objet d’une attaque informatique, tandis que deux utilisateurs européens sur cinq en Europe ont déjà expérimenté un problème de sécurité. Toujours selon la Commission Européenne à fin 2020, le coût annuel de la cybercriminalité pour l’économie mondiale était estimé à 5.500 milliards d’euros, ce qui représente le double par rapport à 2015.

La cybercriminalité est en hausse depuis des années et ne montre aucun signe de ralentissement. Pour ne rien arranger, la pandémie COVID-19 en 2020 n’a fait qu’attiser la situation. Ceux qui s’attendaient à être soulagés de la terreur croissante des cyber criminels vont être déçus car le nombre d’attaques ne fait qu’augmenter jour après jour.  En juillet 2021, aux Etats Unis des hackers ont attaqué la société Kaseya qui regroupent plus de 1000 entreprises. D’où la nécessité d’améliorer la cybersécurité et de sensibiliser les décideurs à ces questions. Certes, l’ouverture électronique améliore l’efficacité, mais elle rend les entreprises et les institutions, non protégées, plus vulnérables aux codes malveillants.

Quelles solutions… en amont ? Tout le monde est concerné par la cybersécurité, et il n’existe pas de solutions toutes prêtes pour protéger l’ensemble des systèmes et réseaux télécoms. Ainsi, dans l’attente de solutions planétaires fiables, il est nécessaire de prendre des mesures dissuasives et préventives au niveau national et de décider de priorités dans la lutte contre les risques potentiels. En amont, les solutions envisagées, concernent, par exemple, la recherche sur les logiciels malveillants ou l’adoption, par voie législative ou réglementaire, de textes en lien avec la cybersécurité. Ainsi, en novembre 2001, de premières mesures ont été adoptées lors d’une convention sur les cyber-attaques à Budapest. Il s’agit du premier traité international sur les infractions pénales commises via internet et dont l’objectif principal est de poursuivre une politique pénale commune destinée à protéger la société contre les cyber-attaques. Le 22 mars 2021, le Conseil européen a adopté la stratégie de cybersécurité, soulignant que la cybersécurité est essentielle à l’édification d’une Europe résiliente, verte et numérique. Déjà en 2004, l’Union européenne avait créé l’ENISA, une agence de cybersécurité, qui prône une approche européenne commune en matière de sécurité des réseaux et des systèmes d’information. Cette agence a été aussi appelée à sensibiliser et à rendre intelligibles les problématiques liées à la sécurité informatique et à lutter contre toutes les formes d’attaques de réseaux. En 2013, la France en plus des autres actions, elle a imposé via une loi aux opérateurs d’importance vitale, le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent.  Au Maroc, une loi N°05-20 en matière de la cybersécurité a été adoptée par le Maroc en juillet 2020.  Déjà au Maroc une loi a été votée en novembre 2003 qui sanctionne les infractions des systèmes informatiques. En 2011, le Maroc a également créé des entités chargées de mettre en place tout un arsenal juridico-technique pour assurer la sécurité des systèmes d’information. Quelles solutions… en aval ? En aval, les solutions concernent généralement l’installation de techniques de filtrage et de sécurité comme le firewall, la gestion de la communication des incidents de sécurité, la gestion du risque, la confidentialité des données, la diffusion de chartes d’utilisation, l’élaboration d’actions de sensibilisation, en particulier pour les jeunes, proie facile pour les différents pirates ou le recrutement de hackers éthiques comme abordé dans l’article de Camille Wong. A long terme, le défi majeur pour les industriels du logiciel est de créer un modèle d’identification et d’authentification suffisamment fiable pour susciter un bon niveau de confiance chez les utilisateurs. Il s’agit peut-être d’étendre à toutes les applications cybernétiques, le modèle de cryptage en vigueur dans les plateformes de signature électronique et de déployer les efforts nécessaires pour protéger les données sensibles à travers la double clé (2).

Le réputé cabinet américain Gartner prévoit une croissance de plus de 12 % du marché mondial de la cybersécurité cette année, à quelque 150 milliards de dollars américains, après une hausse de 6,4 % en 2020.

A cet effet, le marché mondial de la cybersécurité croit de 12% par an, deux fois plus vite que l’ensemble du secteur des technologies de l’information selon le cabinet américain Gartner. Ce même cabinet estime le marché mondial de la cybersécurité en 2021, à quelque 150 milliards de dollars américains, après une hausse de 6,4 % par rapport à 2020. Par ailleurs et selon le Club des juristes en France les cyberattaques, qui vont coûter 6.000 milliards de dollars à l’économie mondiale en 2021.

(1) article actualisé qui a été publié dans la Revue de l’ARCEP, régulateur des télécoms en France.

(2) : Par exemple il est possible de crypter et de protéger les mails. La technique repose sur l’usage d’une clé publique détenu par l’expéditeur et d’une clé privée permettant l’identification de l’utilisateur. Cette solution est réalisée à travers le système de chiffrement dit Open Source : PGP (Pretry Good Privacy).  Selon le responsable de l’entreprise Cloudflare :  L’e-mail reste le maillon faible, la porte d’entrée la plus privilégiée des attaques. L’usage de la double clé est important pour les mails étant donné qu’actuellement le RGPD de mai 2018 est plus appliqué sur les WEBs que pour les mails.

(*) Ahmed Khaouja Ingénieur Télécom, Ex ANRT et Expert de l’UIT.