[Enquête El Watan] Sécurité informatique et cybercriminalité en Algérie

[1ère Partie]

Sécurité informatique et cybercriminalité

L’Algérie déconnectée

De nombreux pays luttent, souvent avec efficacité, contre la cybercriminalité en renforçant leur sécurité informatique l C’est loin d’être le cas en Algérie où les pouvoirs publics sont moins soucieux de développer et de sécuriser l’internet.

N’importe quel militaire vous le dira : pour remporter une guerre, il faut avoir le sens de l’anticipation. Alors que les premières batailles de conquête de territoires se déroulent actuellement sur le net, l’Algérie fait mine de ne pas être concernée. Le fait est que notre pays est peu connecté au réseau internet, le programme e-Algérie n’est encore qu’à ses balbutiements, l’introduction de la 3G se fait attendre et qu’à peine 15% des entreprises algériennes sont connectées au réseau internet. Les factures, les fiches de paie et les bons de commande ne sont toujours pas dématérialisés. Cela n’empêche pas l’Algérie de figurer dans la liste des pays les plus vulnérables en matière de sécurité informatique. Elle se situe à la 5e place des pays les plus exposés au risque informatique en Afrique, selon Symantec. Au classement mondial, elle passe de la 13e place des pays les plus vulnérables à la 61e place. On pourrait croire que l’Algérie a fait des progrès mais, en réalité, ce recul n’est dû qu’à l’utilisation non massive d’internet. Un pays peu connecté ne peut logiquement être exposé à une menace informatique.

Un crime bien réel

Solange Ghernaouti, directrice du Swiss Cybersecurity and Advisory Research Group, insiste sur l’importance pour les petite et moyenne entreprises de se prémunir contre les attaques informatiques, précisant que les risques ne sont pas virtuels et que le crime est bien réel. «Il existe chaque jour de nouveaux moyens pour nuire, déstabiliser, influencer, conquérir et faire la guerre», a-t-elle souligné lors du dernier Symposium international sur la cybercriminalité tenu à Alger. «Les acteurs de la cybercriminalité peuvent être des compagnies légales et licites ou même des Etats. L’affaire Prism est l’un des exemples qui illustrent le mieux ces propos. La conquête de territoire se déroule aujourd’hui sur le monde virtuel. C’est la loi du plus fort qui prime.» Aussi est-il nécessaire de prendre des dispositions de prévention pour être en mesure de réagir. Quelles sont les dispositions prises par l’Algérie pour contrer les menaces intérieures et extérieures ? A première vue, il apparaît que les autorités algériennes ont apporté une réponse légale et judiciaire à la cybercriminalité. L’arsenal judiciaire s’articule autour de deux textes de loi (loi 04-15 du 10 novembre 2004 et la loi 09-04 du 5 août 2009) pénalisant les atteintes aux systèmes de traitement automatisé des données ainsi que la cybercriminalité. Des efforts ont été entrepris en matière de mise en place d’unités spécialisées au niveau de la Sûreté nationale et de la Gendarmerie nationale, disposant d’instituts d’expertise et d’analyse.

A y voir de plus près, il apparaît qu’il reste de nombreuses failles à combler. La création, prévue par la loi d’un organe de veille au nom imprononçable de ONPLCILTIC, devait permettre la dynamisation et la coordination des opérations de prévention et de lutte, l’assistance des autorités judiciaires et des services de la police judiciaire ainsi que l’échange d’informations avec les entités étrangères. Les appels à rendre cet organe opérationnel sont restés lettre morte. Les entreprises algériennes restent, par ailleurs, spectatrices dans le domaine de la sécurité. Avec la numérisation des informations, il est essentiel, selon l’avocate Hind Benmiloud, de mettre en place une nouvelle typologie des risques. Maître Benmiloud considère que le magistrat doit avoir une idée très précise de la menace informatique même s’il n’en maîtrise pas les techniques. «Les magistrats, dit-elle, doivent être au premier plan de la lutte contre la cybercriminalité. A Alger, on peut encore déposer une plainte sur ce fléau, mais ailleurs, il est presque impossible de traiter ce type d’information, car le juge ne peut pas la qualifier.» Abderazak Bensalem, juge d’instruction, considère, de son côté, que les magistrats ne peuvent être spécialistes dans tous les domaines : «Le juge n’est pas censé maîtriser toutes les techniques. On fait appel à des experts qui sont plus au fait de ces choses pour nous éclairer.» Il souligne, à ce propos, qu’un hacker peut être récupéré : «Nous l’avons fait avec un ancien hacker à l’est du pays qui a vu sa condamnation par le tribunal transformée en travaux d’intérêt général afin de faire profiter les juges de ses connaissances.»

Formations cycliques

Des formations cycliques sont tenues régulièrement pour les agents placés au premier plan de la lutte contre ce fléau, à l’exemple des agents de la DGSN, de la gendarmerie et des magistrats. Mais cela reste bien insuffisant au regard de l’importance des menaces. Abdelkrim Djadi, directeur régional de la prospective au ministère de la Justice, s’interroge s’il faut, dès maintenant, se mobiliser pour la sécurité informatique, alors que le réseau internet n’est pas encore très développé dans notre pays. «Doit-on suivre ou ne pas suivre, sachant qu’internet n’est pas très développé, qu’on n’est pas à jour au niveau du e-commerce ?», s’interroge-t-il en soulignant la difficulté d’une telle mission pour les agents de la police judiciaire et des magistrats. «La difficulté réside dans le fait qu’il n’y a pas de preuves matérielles. Il n’y a pas de cadavre. Il n’y a pas de personnes identifiées. Les preuves peuvent être détruites d’un simple clic.» Pour l’heure, même si bon nombre de hackers algériens officient sur le net (les cibles sont principalement étrangères), les services de sécurité traitent des infractions classiques telles que l’usurpation d’identité et les atteintes à la vie privée. Il existe aussi quelques affaires de fraude et de vol de données économiques.

«En quittant l’entreprise dans laquelle ils travaillaient, relate Me Hind Benmiloud, des employés prennent un maximum d’informations pour les revendre aux concurrents.» Cette situation est d’autant plus récurrente qu’il n’est pas dans la culture des entreprises algériennes de faire signer à leurs employés un document garantissant la confidentialité. «Nous ne sommes pas encore à l’ère du e-commerce, raison pour laquelle nous ne sommes pas encore victimes de transactions commerciales, mais on y arrive, prévient-elle. Nous avons de très bons hackers, ils ne profitent pas seulement des failles du système, ce sont de brillants génies.» Les tribunaux ont traité 12 affaires de cybercriminalité en 2010 et 6 affaires en 2006. En tout et pour tout et depuis l’introduction d’internet en Algérie, les tribunaux algériens ont eu à traiter 82 affaires. Les victimes des attaques sont, en premier lieu, les administrations publiques suivies par les entreprises privées, les sociétés étrangères et les personnes privées. Les chiffres restent peu fiables du fait qu’il n’existe pas encore, dans notre pays, la culture de déposer une plainte pour une infraction numérique.

Source

[2ème Partie]

Philippe Ausseur. Associé d’Ernest and Young

La faible diffusion des technologies retarde le développement économique»

- Pourquoi est-il important de sécuriser un site ou des informations sur internet ?

Pour répondre à votre question, imaginons un grand magasin, une banque ou un service public ouverts à tous sans contrôle d’accès et où toutes les informations/données seraient accessibles et modifiables. Vous imaginez aisément les risques et les conséquences que cela entraînerait…

Et vous comprenez aisément que les clients ou les usagers fuiraient au plus vite ces services. Eh bien, c’est exactement la même chose si vous ne vous protégez pas sur le web.

De plus, internet a par nature un effet amplificateur considérable par rapport au monde réel. Accessible de partout, 24 heures sur 24 et instantanément, les risques sont multipliés. Si des personnes malintentionnées ont des visées malveillantes, elles pourraient le faire plus rapidement, massivement, voire anonymement que dans le monde réel.

Nos entreprises et organisations sont de gigantesques magasins de données et d’informations sensibles.

Et l’information est un actif qui, comme d’autres actifs commerciaux importants, a une valeur et doit par conséquent être protégé de manière appropriée. Si la transmission, l’intégrité et la disponibilité de l’information sont essentielles dans la conduite des affaires mondiales, sa protection est tout aussi importante.

- Quelles sont les motivations des auteurs de cyberattaques ?

Ces menaces ne sont pas un sujet nouveau, mais c’est toujours et surtout de plus en plus un sujet d’actualité et une priorité grandissante.

Les nouvelles technologies et la nouvelle organisation du travail sont des tendances de fond qui génèrent des changements extrêmement rapides dans le paysage de la sécurité informatique.

Ces changements induisent des menaces nouvelles qui sont diverses et graduelles en termes de niveaux de criminalité. Certains cyberpirates ne poursuivent qu’un objectif qu’on qualifiera de «narcissique» ou «idéaliste».

Il s’agit de prouver au plus grand nombre leur talent de pirates, de relever un challenge ou s’attaquer à des cibles emblématiques (entreprises ou institutions). Mais de plus en plus, derrière les cyberattaques, se cachent de vrais criminels, parfois même des organisations criminelles, dont les objectifs sont clairement définis : l’enrichissement frauduleux, les détournements, le chantage ou les fraudes sous toutes les formes et à une échelle la plus grande possible.

- L’Algérie est-il un pays exposé aux attaques des cybercriminels ? Les sites des institutions et entreprises algériennes sont-elles, d’après vous, bien protégés ?

Pourquoi voudriez-vous que l’Algérie ne soit pas exposée ? A partir du moment où une économie utilise les technologies de l’information est connectée à internet, elle est forcément une cible potentielle de cyberattaques. Les cybercriminels ne connaissent pas de frontières et peuvent depuis n’importe quel point du globe en attaquer un autre. De plus, les informations et les techniques circulent sans réelle contrainte ou strict contrôle sur la Toile et il est aisé de se les approprier. Ainsi, rien n’interdit de penser que des cyberpirates locaux ont déjà émergé ou émergeront forts des enseignements acquis auprès de leurs «collègues» du monde entier.

Sur la question de la protection, et faute d’enquêtes d’envergure, nous manquons de données statistiques suffisantes en Algérie pour exprimer un avis quantifié. On peut to^^^^ois s’appuyer sur nos retours d’expérience et nos échanges avec les directeurs des systèmes d’information algériens. Il apparaît clairement que de nombreux progrès restent à réaliser.

Le niveau d’ensemble n’est pas encore suffisant. En effet, le nombre d’organisations ou d’entreprises que nous avons rencontrées qui disposaient d’un plan de sécurité structuré et suffisant au regard des menaces potentielles s’est avéré très faible. Très peu de ces entreprises ou organisations ont mis en place un management de la sécurité des systèmes d’information et dans certains cas, les mesures élémentaires de contrôle, de test et d’identification n’étaient même pas mises en œuvre. Pour ces organismes, il y a urgence, car ces failles béantes ne resteront pas longtemps ignorées et inexploitées.

- A quels risques s’expose-t-on lorsqu’on ne met pas – comme c’est le cas en Algérie – en place une véritable stratégie de sécurité informatique ?

Les risques peuvent être considérables. Ils sont, bien entendu, d’ordre financier, mais pas seulement. On s’expose aussi à des risques tels que l’usurpation d’identité, la désinformation ou le dénigrement, le blocage ou le dysfonctionnement de tout ou partie d’une organisation… Mais tous les pays sont touchés ! Notre 15e enquête mondiale réalisée en août 2012 auprès de 1836 entreprises dans 62 pays nous alerte sur quelques faits majeurs. Ainsi, seulement 16% de nos répondants déclarent que la fonction sécurité de l’information répond pleinement à leurs besoins.

Dans le même temps, 31% voient augmenter les incidents liés à la sécurité de l’information. Enfin, ces mêmes entreprises ont mis en avant une augmentation des pertes de données, diffusées volontairement ou involontairement en dehors de l’entreprise.

Dans une économie moderne, de plus en plus connectée et digitalisée, l’atteinte à la réputation et la perte de confiance – avant même le risque financier direct – sont un risque considérable aux conséquences dévastatrices pour une entreprise, un organisme, voire un pan entier de l’économie.

- Peut-on parler de la sécurité de l’information, quand on sait que e-Algeria 2013, un programme de numérisation du pays lancé voilà cinq ans, a été un échec, que le dossier de la 3G traîne encore et que seulement 15% des nos entreprises sont connectées au réseau internet ?

Si vous permettez, votre question aborde deux sujets connexes, mais distincts. Le premier sujet est celui très direct et concret de la sécurité. Sur ce point, oui, on doit parler sécurité de l’information quand bien même on peut regretter la trop faible diffusion des technologies de l’information et de la communication dans l’économie algérienne. Cependant même exposée seulement à 15% de ses entreprises, une économie doit impérativement se préoccuper de la sécurité de l’information, ne serait-ce que pour rassurer et favoriser la diffusion de ces technologies. Nous en venons là au deuxième aspect de votre question qui a trait à la performance d’une économie en regard de son utilisation des TIC. Soyons clairs : les TIC sont déterminantes dans la performance d’une économie. Elles ont un impact direct sur la croissance. Il est démontré que l’utilisation efficace des TIC est un véritable accélérateur de compétitivité.

De nombreux rapports (FIEEC, Syntec Informatique, Afdel…) convergent pour démontrer qu’une économie développée comme la France, bien irriguée par les TIC, peut générer 1% au moins de croissance supplémentaire du PIB et plus de 500 000 emplois créés ou sauvegardés. Pour une économie comme l’Algérie, on peut raisonnablement penser que ces chiffres peuvent être doublés. C’est donc un véritable investissement capable de générer des retours importants et rapides.

- Le taux de piratage des logiciels informatiques en Algérie a atteint 84%, selon BSA. Quelles menaces cela peut-il entraîner ?

Votre question est totalement pertinente et au cœur du débat sur la sécurité de l’information. Penser que le piratage des logiciels est sans conséquence sur le niveau général du risque d’une entreprise est une grave erreur ! Ne pas être en conformité sur ce point, c’est inévitablement s’affaiblir et ouvrir grandes les portes à tous les pirates et fraudeurs. C’est la voie royale pour faciliter les malversations.

En effet, par définition, ces logiciels piratés ne sont ni conformes ni à jour en termes de protection et sécurité.

Leurs failles sont connues de tous, aisées à exploiter et les techniques d’attaque sont simplifiées. Enfin et peut-être surtout, comment promouvoir efficacement dans l’entreprise une politique de sécurité de l’information quand dans le même temps, on tolère l’utilisation de logiciels frauduleux !? C’est aussi un risque évident d’image et de réputation vis-à-vis des tiers, risque aggravé quand il s’agit d’entreprises ou organisations connectées avec des tiers externes, notamment internationaux. L’Algérie ne peut pas dans le même temps promouvoir les TIC et la sécurité de l’information tout en laissant «prospérer» ce piratage. Il en va de la crédibilité de l’économie algérienne.

Source