Karim Koundi, Associé chez Deloitte Afrique
Dans son rapport « Tendances technologiques en 2017 », le cabinet Deloitte a prévenu que l’un des défis majeurs que vont rencontrer les entreprises est la sécurité de l’information. Pour comprendre les tenants et les aboutissants de cette question, nous sommes allés à la rencontre de Karim Koundi, associé chez Deloitte Afrique, pour le secteur des technologies, médias et télécoms en Afrique francophone et ancien directeur central des systèmes d’information chez Tunisie Télécom. Entretien.
Que faut-il entendre par sécurité de l’information ?
On a tendance à restreindre la sécurité à l’aspect informatique, or elle est beaucoup plus large. C’est un sujet transverse qui ne concerne pas que l’IT. D’ailleurs, généralement, dans les entreprises le responsable de la sécurité des systèmes d’information (RSSI) fait partie de la direction informatique alors qu’il devrait être rattaché à la direction générale.
Les incidents de sécurité ne sont pas que techniques ou liés à l’IT. Ils peuvent être d’ordre physique, occasionnés par un système d’accès défaillant, à des failles dans la gestion des entrées et des sorties dans les bâtiments, à des employés qui ont certains accès alors qu’il n’y a pas de raison à cela, etc.
Quelle approche conseilleriez- vous aux entreprises ?
En premier lieu, il est primordial d’aborder la sécurité au niveau de la stratégie. C’est du ressort de la direction générale de mettre en place une politique de sécurité de l’information dont elle définira le cadre et permettant de fixer les règles générales.
Viennent ensuite, la mise en place des règles qui seront traduites en processus et procédures de sécurité opérationnelle. Celles-ci se déclinent dans chacun des départements, notamment la direction informatique, où on s’assure que les accès aux systèmes sont sécurisés. J’ajouterais que le département RH est au cœur de ces procédures car il sera le premier à appliquer les règles vu que la première cause des incidents de sécurité provient de l’élément humain que ce soit volontairement ou non.
En second lieu, les entreprises doivent être plus proactives, considérer la sécurité de l’information comme une opportunité et non pas comme une charge additionnelle ou une simple réglementation à respecter. Ce n’est souvent pas le cas aujourd’hui, les entreprises sont plutôt dans une démarche réactive.
En général, elles s’y investissent soit par obligation réglementaire ou parce qu’elles ont dû faire face à des incidents de sécurité majeurs. Par exemple, les banques s’y mettent de plus en plus vu que la Banque centrale leur impose d’avoir un plan de continuité d’activité en place et opérationnel. Pour les autres, les audits se font par obligation réglementaire. Les investissements dans la sécurité, si investissement il y a, ne sont pas motivés par la conviction que cet investissement leur permet de préserver et même de créer davantage de la valeur.
Véritablement, il n’y a pas le même niveau de maturité d’un secteur à un autre. Les entreprises les plus avancées sont les banques et les opérateurs Télécom. Certains ont acquis cette maturité pour en faire un élément de notoriété, c’est une question de brand et de différenciation.
Cette valeur aurait–elle pour origine l’amélioration de la qualité et de la confiance ?
Tout à fait, la sécurité de l’information est indéniablement liée à la qualité et à la confiance. D’ailleurs, dans certaines entreprises, le département de sécurité est sous la chapelle de la direction de la sécurité, de la qualité et des risques qui sont trois composantes indissociables.
Les synergies sont manifestes. Une amélioration de la qualité via un perfectionnement et une documentation des process permet l’identification des tâches et des attributions de chacun, ce qui minimise automatiquement les risques et alimente la confiance. A l’inverse, un problème de sécurité peut avoir des incidences sur la qualité des services et dramatiquement sur la confiance. La confiance devenant le tout premier élément de rétention des clients et des marchés de nos jours.
Quels sont les enjeux liés à la sécurité de l’information ?
Aujourd’hui, le sujet est très important au niveau des entreprises et à celui national. Nous constatons une augmentation de la fréquence mais surtout de la taille des attaques cyber. En 2016, la taille moyenne d’une attaque était de 500 Mb. En 2017, il y a au moins une attaque par mois en moyenne dont le volume dépasse le Téra.
Le monde est de plus en plus connecté et les bandes passantes gagnent de l’importance, ce qui implique de plus en plus d’informations critiques naviguant dans l’espace numérique. De même, les logiques de centralisation des données via les clouds ou centres de données augmentent l’impact en cas d’attaque cybernétique. Le Libéria en 2016 a subi une cyber-attaque géante qui a ciblé pendant 3 jours l’unique câble internet du pays et qui a paralysé une bonne partie de l’économie. Une étude Deloitte a révélé que les cyberattaques dans le monde coûtent en moyenne 0,3% du PIB, et nous nous attendons à dépasser le 1% l’année prochaine.
C’est donc un sujet qui devient d’intérêt national. Pour ce qui est des entreprises, l’absence de sécurité a un impact de l’ordre de 13% en moyenne sur le chiffre d’affaires avec un écart de seulement 2 % entre les petites et grandes entreprises. Dans notre région, les choses vont plus vite, le taux de connexion augmentant rapidement et nos données sont de plus en plus digitales et donc vulnérables.
Comment procédez-vous chez Deloitte en cas d’attaque ?
Il existe deux volets d’intervention et de mise en place des mécanismes. D’abord en amont, à travers la mise en place de la politique de sécurité de l’information et les procédures associées, en support à l’activité opérationnelle en mettant en place les mécanismes de supervision et de protection et ensuite en aval en déroulant les procédures adéquates pour rétablir le service en cas d’incident dans les délais voulus et en réduisant au maximum l’impact de l’incident en question.
A ce dernier niveau, il faut identifier l’infrastructure qui fait fonctionner chaque service et hiérarchiser les services selon leur type allant du très critique au moins critique. C’est ce qu’on appelle un plan de continuité d’activité (PCA). Les premiers doivent être rétablis en urgence, souvent en moins d’une heure avec un coût associé pour l’entreprise. Une bonne planification permet justement de réduire les coûts de rétablissement et assurer une continuité de service acceptable. Pour les incidents moins critiques, le rétablissement peut être adapté au niveau de l’impact de l’incident pouvant prendre même plusieurs jours pour les moins critiques.
Aujourd’hui, on fait appel de plus en plus à la sous-traitance auprès de ce qu’on appelle des SOC « Security Operation System » qui font de la veille et assurent une supervision continue et dont leur métier est d’intervenir en cas d’attaque pour alerter et sécuriser le service. Deloitte offre ce type de service aussi via son « Security Lab» de la région EMEA qui concentre les technologies et les procédures les plus avancées de gestion de la sécurité de l’information et qui offre ces services à nos clients 7jours/7 et 24h/24.
Que recommanderiez-vous au niveau national pour plus d’efficience ?
Aujourd’hui, il y a besoin d’avoir des organismes de gouvernance de la sécurité de l’information ayant un niveau d’autorité et de sanction suffisants pour pouvoir aborder efficacement cette problématique. L’ANSI, étant la première agence de ce type dans la région, fixe les règles mais a peu de pouvoir de sanction. Il en est de même pour l’Agence de protection des données personnelles (INPDP).
Si on veut avoir de l’internet partout et des accès libres, il est impératif de mettre en place des mécanismes de gouvernance de la sécurité de l’information et de de protection des données à caractère personnel ayant le niveau adéquat d’autorité transversale et de sanction. Il faut donc renforcer le pouvoir de sanction de ces agences. Il faut qu’on ait à la fois une autorité de réglementation et de sanction au niveau sectoriel, telle que la Banque centrale pour le secteur bancaire par exemple et des mécanismes de gouvernance au niveau national.
Le mot de la fin ?
Le projet de loi régissant le cadre de la cybercriminalité est en cours. C’est bon signe ! Il y a une prise de conscience progressive, la mentalité de gestion des risques est en train d’évoluer dans le bon sens. Il faut réellement appréhender la sécurité comme une opportunité, comme un élément différenciateur et non pas une obligation ou une charge additionnelle. En investissant dans la sécurité de ses informations, l’entreprise ne se portera que mieux et préservera sa valeur pour le plus grand bien de notre économie dans un monde de plus en plus numérisé.
