Une entreprise qui se modernise mise nécessairement sur un système d'information (SI) performant. Revers de la médaille, comme toute technologie un SI est forcément vulnérable à un moment ou à un autre. Il faut donc constamment surveiller les risques encourus. Pas de la responsabilité des seuls Directeurs des SI (DSI). « La sécurité des systèmes d'information, l'affaire de tous ». C'est autour de ce thème et d'autres que le Club DSI Algérie du cabinet Ernst & Young consacre une journée d'information qui a lieu aujourd'hui à l'hôtel Sofitel. Dans cet entretien, Ouarda Deramchi, Senior Manager IT Advisory au bureau d'Alger d'E&Y, fait le tour de la question.

Maghreb Emergent : Quels sont les objectifs de la rencontre sur les Systèmes d'information ?

Ouarda Deramchi : L'objectif majeur de cette rencontre c'est d'apporter des éclairages sur la responsabilité de chaque acteur de l'entreprise dans la sécurité du Système d'Information (SI), mais également de permettre aux participants de partager leurs expériences sur ces sujets.

Le Club DSI d'aujourd'hui sera organisé en deux parties. Une première pour aborder le plan de continuité : pourquoi investir dans un plan de continuité, quels sont les facteurs critiques pour le mettre en place, etc.

Une deuxième pour traiter de la prévention des risques de sécurité. Nous nous appuierons sur un film qui sensibilise aux risques de sécurité et présenterons les résultats de la 14e enquête sécurité qu'Ernst & Young vient de publier récemment.

Où en est le niveau de prévention des risques informatiques dans les entreprises algériennes avec lesquelles vous avez eu l'occasion de travailler ?

En matière de gouvernance, on commence à trouver dans les organigrammes un poste de RSSI (responsable de sécurité des systèmes d'information). Peut-être pas souvent une politique de sécurité informatique bien claire et bien formalisée, mais on retrouve quand même les grands axes. La pratique la plus courante est assurer la continuité de service. C'est-à-dire la nécessité d'avoir un site nominal, qui est le site de production, et un site backup. Il existe une prise de conscience par rapport à cette continuité de service. On sait que le serveur n'est pas sûr à 100% et qu'en cas de panne il faudrait qu'il y est un autre pour le remplacer.

En termes de bases de données (BD) aussi. Les pratiques sont assez évoluées. Les entreprises qui ont des SI assez développés arrivent à faire des réplications de BD et des sauvegardes régulières.

Les entreprises qui sont dans ce cas optimal sont-elles nombreuses en Algérie ?

Cela dépend du secteur d'activité. Si vous prenez la banque et les assurances, le SI c'est le corps du métier. Là, les pratiques de sécurité sont plus matures que ce qu'on pourrait imaginer dans un secteur industriel. La sécurité doit être alignée sur les enjeux de l'entreprise, comme un SI doit être aligné sur une stratégie.

Mais là où il y a encore des choses à parfaire dans les entreprises, c'est en matière de pratiques liées à la confidentialité des informations, notamment par la gestion des accès, et de traçabilité de leur cheminement depuis la source de saisie jusqu'à la diffusion. A ce niveau il y a encore des pratiques à mettre en place.

Un SI est vulnérable par rapport à la qualité de ses équipements, de son soft ou de ses gestionnaires ?

C'est un tout. La vulnérabilité peut aussi venir de l'intérieur de l'entreprise. Des personnes qui vont avoir des informations qui sont hors de leur périmètre, voire même des informations confidentielles ou classées top secret. Une attaque interne peut se traduire par l'utilisation de supports contenant des virus ou par l'accès à des sites Web pouvant véhiculer des menaces. Pour prévenir cela, il faut notamment interdire l'accès (en entreprise) à certains sites Web et avoir une politique de paramétrage de sécurité qui permet d'éviter des accidents.

Il y a aussi une faille que l'on a tendance à négliger, c'est toute la documentation papier qui contient aussi de l'information, qui nécessite elle aussi une bonne pratique de diffusion.

Est-ce qu'il ne faudrait pas séparer le site Web d'une entreprise du serveur contenant les informations sensibles ?

Bien sûr qu'il faut séparer. Ça sert à cela les firewall. Il s'agit de mettre un mur entre votre SI et ce que vous allez ouvrir à l'extérieur. Il n'est pas du tout recommandé de regrouper les deux.

Quelles sont les autres formes d'attaques des systèmes d'information d'entreprises ?

Elles sont de natures très différentes, et il ne faut pas négliger les risques liés à l'internet.

Parmi ces formes, il y a le déni de service (rendre indisponible le site ou le système en l'inondant de milliers de requêtes depuis des milliers d'ordinateurs infectés), l'altération de données plus ou moins sensibles, les «faux» site web, avec téléchargement d'un programme qui contient un cheval de Troie (trojan) ou un logiciel espion (spyware), via un email contenant une pièce jointe vérolée pouvant inclure un virus, un ver ou autre trojan, ou via un réseau, une machine infectée tente de contaminer les autres ordinateurs interconnectés.

Quelles sont les données les plus prisées dans les cyber-attaques ?

Données personnelles (nom, prénom, adresse, coordonnées bancaires), données commerciales ou confidentielles des entreprises. Au delà des données, le risque d'image est très important.

Les AET «Advanced Evasion Techniques» sont-elles plus virulentes que les virus ? Pourquoi ?

Il est important de comprendre que ce ne sont pas des attaques en tant que telles, mais des méthodes de transport des menaces par le firewall et les IPS - Les évasions aident simplement le pirate à contourner le système de prévention des intrusions (IPS) ou les NextGen Firewalls (NGFW).

Une particularité est qu'elles sont par définition difficilement détectables - Pour le reste, les solutions sont les mêmes : évaluez les éléments les plus essentiels de l'entreprise ; réévaluez la gestion de correctifs de sécurité périodiquement ; réévaluez périodiquement les solutions de prévention des intrusions.

Existe-il des «bonnes pratiques» pour éviter les attaques et les pertes d'informations ?

Oui bien sûr. D'abord, les entreprises doivent aborder les sujets liés à la sécurité au niveau global de l'entreprise, les rendre plus visibles avec une stratégie clairement définie qui protège l'activité tout en créant de la valeur en s'alignant avec les besoins des métiers.

Elles doivent faire de la sécurité une étape à part entière dans la chaîne de valeur d'un service ou produit et l'ancrer dans l'esprit des salariés au quotidien.

En matière de sécurité, il apparaît nécessaire de se concentrer sur les données clients et les problématiques liées à la propriété intellectuelle

Enfin, il est important d'avoir une vision globale et complète de l'ensemble des risques informatiques, pour pouvoir les anticiper, les identifier et les gérer.

Ensuite, les entreprises doivent déterminer les zones de fuite de données auxquelles elles peuvent potentiellement être confrontées.

Enfin elles doivent procéder à des tests d'attaques et de pénétration pour évaluer leurs dispositifs.

Il est nécessaire de définir une «politique de sécurité » qui détermine les grandes orientations et les procédures techniques ou opératoires concernant des environnements informatiques ciblés.

La sensibilisation doit être importante : mot de passe de qualité, avoir des systèmes d'exploitation et des logiciels à jour, effectuer des sauvegardes régulières, contrôler la diffusion de données confidentielles, faire attention aux comptes administrateurs, etc.

La sécurité informatique est-elle du seul ressort des DSI ? Sinon, qui sont les véritables responsables de la sécurité des données ?

Il existe beaucoup de débats sur le sujet et les responsables de la sécurité des données sont à la fois les métiers et la DSI. La création d'un rôle de RSSI est une bonne pratique qui permet de faire le lien entre compréhension des données importantes pour l'entreprise et dispositifs de sécurité à mettre en place pour les protéger.

En l'état il s'agit d'une problématique d'entreprise qu'il ne faut pas cantonner à la DSI dont le rôle est, toutefois, de proposer des solutions techniques et d'anticiper sur des menaces.