À l’heure où les cybermenaces se multiplient et ciblent autant les grandes institutions que les PME, intégrer la cybersécurité au cœur des stratégies d’entreprise est devenu une priorité. TransNumerik, un one-stop basé dans 6 pays, accompagne les organisations africaines dans leurs transformations, en matière de cybersécurité, transformation digitale et intelligence artificielle. Son directeur adjoint, SouleymanSidibe, partage les bonnes pratiques pour bâtir une cybersécurité résiliente, inclusive et adaptée aux nouveaux défis numériques.
Selon votre expérience dans le métier, quel est le type le plus fréquemment observé en matière de menace en cybersécurité chez vos clients?
Aujourd’hui, la cybersécurité devient un véritable problème, à tous les niveaux. Tout le monde est concerné. Ce que nous constatons de la part de nos clients le plus souvent est le problème lié au phishing, soit la messagerie. Il s’agit de la menace la plus fréquente, de surcroît face à des attaquants qui utilisent des méthodes de plus en plus sophistiquées, notamment avec l’intelligence artificielle. Ils réussissent ainsi à tenter les employés d’une entreprise et obtenir de ce fait des accès aux données confidentielles et sensibles. Le deuxième élément qui revient souvent est les ransomwares à travers lesquels les attaquants chiffrent les données d’une entreprise pour demander une rançon. À titre d’exemple, un client est venu nous voir après avoir reçu un message indiquant que ses données ont été cryptées et qu’il doit verser une rançon pour les faire restituer. Il faut savoir qu’il n’y a aucune garantie que cela soit fait. Vient ensuite en tant que troisième facteur: l’humain, c’est-à-dire les erreurs humaines. Il peut même se produire que des employés envoient des données confidentielles à l’extérieur de l’entreprise. Cela peut être simplement accidentel ou bien de mauvaise foi, essentiellement lié à de la manipulation et à la configuration de données. L’humain est donc un maillon très faible de cette chaîne.
Quels sont aujourd’hui les leviers que vous proposez aux entreprises en Afrique afin d’intégrer la cybersécurité dans leur stratégie, leur priorité, dans le but de renforcer leur résilience mais surtout en vue d’éviter certains risques pouvant être par moments à fort impact?
Les leviers sont généralement définis en fonction des priorités de chaque entreprise. Mais, le plus souvent, celui sur lequel nous agissons en premier est l’humain. Cela passe d’abord et principalement par une sensibilisation des employés quant à l’importance de la sécurité. Nous assurons un accompagnement à travers une formation continue de l’équipe. Le deuxième levier est un diagnostic de l’environnement et de l’infrastructure de défense de l’entreprise. En fait, il s’agit du même principe que quand vous êtes chez vous et qu’il y a une porte ouverte par laquelle un voleur peut se faufiler. Ainsi, nous détectons les failles qui existent dans l’infrastructure ou le système de défense. Quant au troisième levier, il est relatif à l’apprentissage de la surveillance que nous proposons à nos clients. Nous optons pour la surveillance proactive, rendue possible grâce à l’IA, car la surveillance réactive n’est plus tout à fait d’actualité et ne reflète pas une réelle efficacité. Ce qui est important pour nous, ce n’est pas uniquement l’aspect technique de la solution que nous proposons, car il est possible d’avoir le meilleur système de surveillance au monde, cela ne suffit pas de se protéger contre les cyberattaques s’il existe des failles qui n’ont pas été rectifiées. Nous accordons davantage d’importance à la gouvernance, à la résilience et à la formation que simplement à la partie technique de la solution.
Des trois grandes menaces, laquelle est la plus dangereuse?
C’est le ransomware qui est le plus dangereux, car il y a de l’argent en jeu. Imaginez que vous ayez une grande entreprise dont on crypte les données pour 10 ou 15 années sans qu’elle ne détienne aucun backup. Le hacker demande une rançon de deux millions de dollars que vous n’avez pas et même la banque ne pourra pas vous les prêter. Vous vous retrouvez donc sans aucune solution. L’enjeu est vraiment à ce niveau.
Précisément, est-ce que vous prodiguez des conseils ou donnez des recommandations aux collaborateurs afin qu’ils puissent éviter certaines erreurs?
Oui, absolument! À titre d’exemple, il y a des emails qui sont envoyés à partir de sources non fiables et non vérifiées. Ce que nous faisons, c’est la sensibilisation des employés pour qu’ils puissent reconnaître ces sources et éviter de tomber dans le piège du phishing. Si le mail paraît suspect, comportant un lien sur lequel il faut cliquer et qui mène vers une source compromise, il faut que l’employé sache le reconnaître. Nous sensibilisons par rapport à cela mais également au fait que si cet incident s’est produit, il faut le signaler dans l’immédiat en vue d’éviter une aggravation du problème.
Vous avez évoqué la possibilité de l’utilisation de l’intelligence artificielle par les entreprises dans le but de devenir proactives. Pourriez-vous développer un peu plus?
En effet, il existe des outils qui permettent aux entreprises d’examiner tous les éléments liés à la cybersécurité de manière proactive. De la même manière qu’un hacker qui va utiliser l’IA pour attaquer des entreprises, celles-ci vont en faire un usage qui leur permet de se protéger et de renforcer leur sécurité. À titre d’exemple, les outils machine e-learning et IA fonctionnent à tout moment pour bloquer une cyberattaque sans avoir besoin de l’intervention de l’humain. Aujourd’hui, c’est une guerre machine contre machine.
Y a-t-il des entreprises qui sont particulièrement ciblées?
Oui, tout à fait. Si l’on prend par exemple le ransomware, on va trouver davantage de banques, les gouvernements et les grandes structures comme victimes de ces attaques, car disposant de fonds importants. S’agissant du phishing, ce sont généralement toutes les entreprises qui sont ciblées mais les hackers s’attaquent beaucoup plus à des entreprises de petite ou moyenne taille, car ils savent que les grandes entreprises sont plutôt averties et ont une certaine maturité par rapport à la question de la cybersécurité.
Dans les solutions que vous avez proposées, y a-t-il une dimension infra?
Oui, absolument! Ce que nous proposons à nos clients est une solution de cybersécurité légère ou évolutive en fonction de la maturité de l’entreprise. Cela dépend également du budget dont dispose la structure. Pour cela, il existe des outils simples comme ceux proposés par Microsoft qui ne sont pas coûteux mais qui permettent au moins de sécuriser l’entreprise. Chez nous, il existe une solution basée sur une autre approche, à savoir la cybersécurité par étapes. Nous établissons une feuille de route sur une période de deux à trois ans et nous sécurisons chaque fois qu’il y a une faille. Par ailleurs, pour les PME en croissance, les entreprises qui existent déjà, nous pouvons effectuer une évaluation de la maturité en matière de cybersécurité. Nous réalisons un test de pénétration en faisant une simulation d’entrée dans le système permettant de détecter les failles; à la suite de quoi, nous donnons nos recommandations en matière de gouvernance et d’outils de protection contre les failles en question.
Quel serait votre mot clé ou votre appel à l’action pour les managers?
Ce que je peux leur dire, c’est d’intégrer la cybersécurité dans leur stratégie. Il ne faut pas la considérer uniquement comme un simple terme technique mais elle doit être au cœur de la stratégie de façon globale. Il faut toujours se dire qu’il y a une faille qui peut se produire au niveau du système et contre laquelle il faut se protéger. Il faut un accompagnement stratégique au niveau de la cyber-résilience consistant à sensibiliser les employés et à mettre à leur disposition des outils adaptés à la structure. Le coût de cette opération doit être considéré comme un investissement aidant à renforcer la veille stratégique et à mettre l’IA au cœur de tout cela afin d’accélérer la croissance.
