Chérif Ftouhi, manager infrastructure solutions à Adactim
Mesurer les enjeux, évaluer le risque, apprendre à le réduire n’est pas une mince tâche, c’est tout un métier. A cet effet, nous sommes allés à la rencontre de Chérif Ftouhi, manager — infrastructure solutions chez Adactim, un intégrateur infogéreur applicatif tunisien.
Il n’est aucune activité, à l’heure de la digitalisation, qui n’ait le souci d’assurer sa propre sécurité informatique. Certains secteurs sont peut-être plus exposés que d’autres ? Quel est votre marché cible et quels sont vos principaux clients ?
Nos clients figurent principalement dans le secteur financier, principalement des banques, certains assureurs et des institutions de microfinance. Ils représentent 90% de notre chiffre d’affaires pour l’activité Sécurité. Malheureusement, en fait de sécurité, les entreprises qui opèrent dans le secteur industriel et commercial ne s’en préoccupent pas outre mesure. Le sujet devrait réellement préoccuper les directeurs généraux. Au lieu de quoi, nous observons des réticences, probablement liées à l’insuffisance de ressources et de budget ou par manque de discernement. Il faut savoir qu’à la suite de la dernière alerte Wannacry, plusieurs entreprises industrielles ont dû subir une interruption de leur système d’information de 2 ou 3 jours.
Concrètement, quels risques encourent-elles ?
L’enjeu est incontestablement colossal. Le système d’information est la moelle épinière de l’entreprise. Les entreprises sont de fait responsables des données telles que le recouvrement, les contacts clients mais disposent également d’informations stratégiques. A ce titre, elles encourent deux types de risque : le premier est légal et le deuxième concerne la perte des données. Pour ce qui est du premier, les institutions financières peuvent être attaquées pour manque de traçabilité. Quant au deuxième risque, il se traduit par un coût pour l’entreprise. Lors des dernières alertes, certaines grandes entreprises ont perdu des données. Fort heureusement, elles détenaient des copies physiques, ce qui leur a coûté in fine quelques jours de travail pour reconstituer toutes les données.
Comment éviter ces risques ?
D’abord, il faut fondamentalement établir un plan d’action et non pas effectuer un achat. Il faut commencer par affecter un responsable sécurité, ce qu’on appelle dans notre jargon un RSI qui sera au cœur de la stratégie et son porte-drapeau. Il est le garant de la sécurité. Il aura notamment pour mission de faire de la veille ; j’entends bien technologique mais aussi en termes de vulnérabilités ou de failles. Il faut considérer le risque de pied en cap. Avant 2010, la Tunisie était exposée à un très faible risque de sécurité.
Aujourd’hui, le responsable risque est même censé prendre en considération les mouvements sociaux à répétition. En outre, les attaques sont de plus en plus virulentes et de plus en plus simples à réaliser. Aujourd’hui, un jeune de 14 ans est capable d’arrêter un achat en ligne. D’où l’importance de bien identifier les risques qui guettent l’entreprise. En Tunisie, généralement les entreprises focalisent sur l’audit technique pour ce qui est des réseaux et des équipements.
Il n’en reste pas moins que si on se positionne dans une démarche de sécurité de l’information — qu’elle soit en version papier ou digitale, on se rend compte que l’être humain est le vrai maillon faible. Il faut que l’entreprise arrive à assurer la sécurité de son personnel et la continuité de son activité.
Concrètement, comment appréhendez-vous la sécurité?
Fondamentalement, la sécurité est analysée selon trois axes : la confidentialité, l’intégrité et la disponibilité. C’est précisément cette dernière qui assure le plan de continuité de l’activité. L’entreprise doit alors être accompagnée par deux entités séparées : une entité d’audit qui identifie les failles et évalue les risques et une deuxième qui l’accompagne dans les actions qui ont émané du plan de sécurité.
La séparation des deux structures garantit une conformité aux bonnes pratiques afin que l’entreprise ne soit pas juge et partie. Le problème des entreprises tunisiennes est qu’elles procèdent à des actions ponctuelles. Généralement, des actions qui ne sont pas forcément liées à l’audit qui les a précédées. Le plus souvent, chacune de ces actions est réalisée par un fournisseur selon son approche personnelle. Résultat, l’ensemble manque de cohérence.
A quel niveau intervient Adactim précisément ?
Nous intervenons principalement dans l’accompagnement des clients, spécifiquement dans la réalisation des plans d’audit en termes d’implémentation de stratégie, de mise ne place de plan de continuité d’activité. Nous n’intervenons pas en amont justement pour ne pas être juge et partie.
Est-ce que les fournisseurs de services s’adaptent aux nouvelles alertes ?
Nous essayons d’abord de faire de la veille chez nous et de bénéficier des feedbacks de nos clients. En matière de sécurité, il y a certaines failles qui n’ont pas de correctifs, c’est-à-dire qu’il n’y a pas de solution en termes de veille. A ce titre, nous sommes en mesure d’assurer un échange d’informations pour aiguiser l’attention de l’ensemble de nos clients tout en respectant bien évidemment la confidentialité. Lors de l’attaque Wannacry, nous avons appelé tous nos clients, nous avons réussi à les protéger et à limiter l’impact de l’alerte.
Ces systèmes de sécurité sont-ils adaptés aux PME ?
Bien évidemment, la sécurité est en relation avec le risque. Un individu rationnel accepte le risque si la valeur de son traitement est supérieure au risque lui-même. Le budget est alors aligné sur le risque qu’encourt l’entreprise. Il faut que le responsable de l’entreprise soit conscient de la valeur du risque et du risque lui-même et que ceci justifie l’investissement.
Comment expliquez-vous cette relative indifférence des entreprises ?
Le manquement se situe d’abord au niveau réglementaire. Bien que nous soyons précurseurs en la matière, les lois n’ont pas évolué depuis. A dire vrai, les lois existantes ne prévoient aucune structure pour exiger l’application des décrets-lois et pour sanctionner. Et pour preuve, plusieurs structures étatiques n’appliquent pas l’audit annuel.
Les banques, elles-mêmes qui sont assujetties à Bâle 1 et prochainement à Bâle 2 ne l’appliquent qu’à un faible pourcentage. A ce propos, la Banque centrale n’a-t-elle pas le bras long pour auditer les banques en matière de sécurité grâce à des structures spécialisées de la sécurité informatique ? Il est clair que dans certaines situations, la sanction s’impose pour que les responsables réalisent que cette loi est dans leur propre intérêt.
Vous exportez en Afrique, comment évaluez-vous le marché africain ?
Tout à fait, 50% de notre chiffre d’affaires sur l’activité sécurité se fait à l’étranger, principalement en Afrique. Nous prenons acte tous les jours que le marché africain évolue très bien. Ce qui n’est pas pour nous déplaire car ils font confiance aux prestataires nord-africains. Malheureusement, la Tunisie n’est pas aussi présente que le Maroc.
De notre côté, on arrive à tracer notre voie et à traiter avec des clients matures et exigeants. Ils savent ce qu’ils veulent faire, ce qui fait que les projets soient très précis et très intéressants. La bonne nouvelle c’est qu’ils nous évaluent uniquement sur nos compétences et notre savoir-faire. De ce fait, nous sommes concurrentiels par rapport à des profils européens. Dans le domaine financier, leurs besoins sont assez sophistiqués car leurs banques sont en relation directe avec les banques internationales.
Avez-vous un message pour la fin ?
Je dirais aux directeurs généraux d’essayer de prendre conscience du risque encouru par l’entreprise et de s’approcher des responsables de sécurité. Autrement, ils ne peuvent pas évaluer le risque qu’ils encourent. A l’évidence, le challenge des responsables de sécurité est de présenter les vrais risques moyennant des tableaux de bord pour permettre aux premiers responsables de saisir s’il est intéressant d’investir dans la sécurité. Une fois les risques sont bien explicités et justifiés, les directeurs généraux déploient le budget nécessaire car ils seront les premiers impactés , ne serait-ce que le risque de perte de données.
