Sécurité informatique et gouvernance numérique Par Abraham BADJI

Les technologies de l’information et de la communication communément appelées TICs sont devenues incontournables dans le quotidien des citoyens du monde en général et des Sénégalais en particulier. Elles envahissent nos quotidiens, changent nos comportements et bouleversent notre être de manière fulgurante et rapide. Il apparaît donc nécessaire de mener une réflexion poussée afin de faire de ces outils des vecteurs d’épanouissement social dans tous les domaines et non une arme de destruction du socle social et de l’économie nationale, sous-régionale ou continentale.

Les TICs aujourd’hui regroupent des domaines divers et très variés et nous avons tendance à les réduire à la simple utilisation d’Internet. Au-delà de cette diversité, elles transcendent tous les domaines d’activités d’une société moderne. Fort de ce constat, nous nous proposons de nous pencher sur un élément fondamental des TICs à savoir : la SECURITE liée à l’utilisation de ces TICs.

Une étude tirée du site web du journal Jeune Afrique nous informe que « chaque seconde dans le monde, 18 personnes sont victimes d'une escroquerie sur internet[P1] . Ils seront plus de 1,5 million à la fin de cette journée, soit l'équivalent de la population du Gabon. Cette année, quelque 550 millions de victimes perdront au total, comme ce fut le cas en 2011, la bagatelle de 110 milliards de dollars (83,3 milliards d'euros). Ce qui représente plus que le produit intérieur brut (PIB) du Maroc. L'Afrique n'est pas étrangère au phénomène. Bien qu'en retard en termes de connexion internet, le continent est montré du doigt, notamment par le FBI, qui a placé, en 2010, trois pays africains parmi les dix premières sources de cyberarnaques. Les « heureux élus » sont : le Nigeria (3e), le Ghana (7e), et le Cameroun (9e) dont le nom de domaine « .cm » fait partie selon un rapport publié en 2011 par la société de sécurité informatique McAfee, des cinq noms les plus « risqués » de la planète. » www.jeuneafrique.com/ Article/JA2718p026-033.xml0/ »

Tout ceci nous montre, si nous sommes encore réticents, combien il est urgent de prendre à bras le corps ce fléau car comme l’adage le dit si bien : « L’eau est en train de nous envahir de partout ».

Le gouvernement et les services administratifs de l’Etat sont plus que jamais vulnérables au vu des fuites d’informations relayées par la presse et autres canaux[P2] . Les vols de machines et autres accessoires[P3]  de données des autorités administratives, des membres du gouvernement sont récurrents. Les infiltrations de pirates dans les sites web du gouvernement sont plus que jamais d’actualité. Autant d’agressions qui plombent le bon fonctionnement de l’Etat. Un cadre juridique de la gouvernance numérique a été élaboré et en vigueur. Il est malheureusement très mal connu des utilisateurs, des décideurs politiques et même des personnes chargées de son application. A-t-on évalué ces pertes en termes de temps de reconstitution des données perdues ? Le coût financier généré ? Ou encore  le temps de reprise de stratégies après une fuite? Malgré l’absence de données chiffrées nous pouvons affirmer sans grand risque de nous tromper que l’exécution de la stratégie du gouvernement pour mettre ce pays sur les rampes[P4]  de l’émergence a été ralentie.

Les entreprises sont confrontées de manière récurrente à un souci de préservation de leur patrimoine informationnelle. Elles sont sans cesse aux prises avec des problématiques comme : la gestion des supports de données, l’ouverture des systèmes d’information aux sites distants sans risque d’infiltration, l’utilisation des services tiers sans avoir la maîtrise des stratégies de sécurité mises en place, l’accès aux commodités individuelles des employés (email, réseaux sociaux, sites d’information…). La gestion quotidienne de ces paramètres est lourde tant sur les plans financier, matériel, qu’humain. L’entreprise se retrouve donc à sous exploiter les opportunités que pourraient lui offrir son  département TIC. Comment prendre en compte tous ces facteurs de risques pour faire des TICs un accélérateur de croissance dans l’entreprise?

Des pistes de solutions peuvent être dégagées comme suit :

-         Devrait-on tout faire en entreprise ou déléguer certaines tâches aux prestataires ? Que devrait-on déléguer? A qui déléguer, dispose t-il des compétences nécessaires pour assurer ces tâches qui lui sont confiées ? Quelle est le niveau de confiance à accorder à ce prestataire ? 

-         Sensibiliser les employés sur les outils mis à leur disposition et les meilleures pratiques en matière de sécurité : Il est prouvé que le premier facteur de risque provient toujours des utilisateurs internes à l’entreprise.

-         La mise en place de systèmes d’exploitation utilisateur à jour et originaux

-         La mise en place de systèmes d’exploitation serveurs à jour et originaux

-         La mise en place d’infrastructures robustes, certifiées et mises à jour

-         La mise en place de systèmes protections logiciels et/ou physiques

-         La formation et la veille technologiques des acteurs du système d’information (DSI, ingénieurs, techniciens)

-         Le choix de la technologie à utiliser pour la protection des données à travers des outils  modernes de cryptologie, d’authentification et de gestion des certificats en veillant à ce que tous ces processus soient transparents pour l’utilisateur final.

-         Le libre ou non libre en entreprise qui débouche sur l’utilisation frauduleuse de manière consciente ou inconsciente de logiciels sous licence et le rôle des fournisseurs dans cette chaîne.

-         Que dire de ce débat cloud ou non cloud et que devrait-on « clouder », qu’est ce qui garantie la disponibilité permanente des données et qui y a accès? La liste est loin d’être exhaustive.

Autant de pistes qui doivent être prises en compte par nos entreprises mais les coûts financiers souvent jugés lourds par celle-ci entrainent une sous évaluation des risques liés à la sécurité qui s’accroissent.

Les citoyens utilisent beaucoup internet à travers les réseaux sociaux, l’accès aux mails, les sites d’information et toutes autres espaces offerts par la magie de la technologie. Cette utilisation d’internet combinée à celle du téléphone portable offre à chacun le monde à portée de main mais accroisse également les risques d’insécurité économique et sociale. Combien de personnes se sont plaintes d’avoir perdu l’accès à leur compte e-mail ou réseaux sociaux ? Quelles sont les utilisations qui ont été faites de ces comptes usurpés ? Sollicitation d’argent voilée dans un mail teinté en SOS envoyé par des proches ou contacts du carnet d’adresses. D’aucuns sont tombés dans le piège en envoyant les sommes demandées ou en envoyant des numéros de comptes et des identités permettant aux faussaires d’affiner leur stratégie et soutirer le maximum d’argent aux victimes. Bien évidement la perte d’identité conduit forcément à une détérioration des relations sociales (chantages, publications d’information ou d’images compromettantes biaisant les rapports humains de confiance). D’aucun partagent leur désespoir et mésaventure, d’autres préfèrent se taire. 

Que dire des périphériques liés à la téléphonie de plus en plus sophistiqués qui se perdent et qui sont à la merci de faussaires ou malfaiteurs ? Les réseaux sociaux sont devenus un piège dangereux pour la plupart des citoyens peu ou mal informés. Le citoyen ne sait pas quoi partager, quelle est la portée de ce qu’il met dans sont espace qu’il croit très privé et personnel alors qu’il n’en est rien. La vulgarisation des réseaux sans fil (WIFI) accroit le vol d’information et le piratage des utilisateurs non avertis. Pourquoi nous nous inquiétons tant de la détérioration des mœurs ; c’est parce que consciemment ou inconsciemment, nous savons que c’est en parti l’ouverture de notre société au monde à travers ces technologies. Ne devrait-on pas trouver un système d’évaluation de toutes ces pertes, ces dégâts collatéraux pour mieux édifier les citoyens de l’impact économique négatif de ce fléau ?

Force est de reconnaître que des compatriotes se battent chaque jour pour informer les citoyens de la nécessité d’avoir des comportements de sécurité dans l’utilisation des TICs. Comment parler de sécurité, d’information et de sensibilisation sans citer le vaillant et permanent Olivier SAGNA de l’Observatoire sur les Systèmes d'Information, les Réseaux et les Inforoutes au Sénégal (OSIRIS) qui fait un travail remarquable à travers son bulletin mensuel « Batik » et qui mérite soutien et accompagnement. Je me suis demandé comment on a pu oublier de nommer un représentant de ce secteur aussi transversal au Conseil Economique, Social et Environnemental. Une très belle initiative est en train d’être mise en œuvre par le jeune M. Chérif Aïdara de KUBUK Consulting qui consiste à réunir les sommités de la Sécurité au point de vue technique et juridique du Sénégal et du monde pour informer, conseiller, sensibiliser, proposer des solutions au gouvernement, à l’administration, aux entreprises et aux acteurs des TICs en général. Ce premier salon annuel qui aura lieu du 4 au 6 juillet 2013 aura le mérite de capter l’attention de tous les citoyens du monde sur les enjeux et les mesures à prendre pour réduire les risques liés à la sécurité informatique. L’Etat devrait intégrer ce volet sécuritaire dans la direction de la protection civile et se saisir de cette opportunité pour faire de ce salon annuel l’épine dorsale de la veille sécuritaire en matière de Tics au Sénégal.

Abraham BADJI

Ingénieur Informaticien