L’Agence Nationale de la Sécurité Informatique (ANSI) a organisé le 27 aout dernier dans un hôtel à Gammart, la 5ème édition des rencontres des professionnels de la sécurité des systèmes d’information sous le thème : «La sécurité informatique au service de l’Economie numérique». Cette rencontre tombe bien avec les préparatifs du ministère des TIC et de l’Economie numérique d’un nouveau code du numérique qui va substituer l’actuel code des télécoms.
L’Agence Nationale de la Sécurité Informatique (ANSI) a organisé le 27 aout dernier dans un hôtel à Gammart, la 5ème édition des rencontres des professionnels de la sécurité des systèmes d’information sous le thème : «La sécurité informatique au service de l’Economie numérique». Cette rencontre tombe bien avec les préparatifs du ministère des TIC et de l’Economie numérique d’un nouveau code du numérique qui va substituer l’actuel code des télécoms.
«2014 était une année critique pour la sécurité informatique», a fait remarqué l’Enseignante universitaire Yemina Mathlouthi lors de sa présentation. «Quand on a fait l’enquête sur terrain, on a trouvé que chez les ménages, les télécommunications sont devenues aussi importantes que l’eau et l’électricité. C’est dire l’importance de la pace qu’occupe l’information dans notre quotidien. Du coup, on doit parler dorénavant de souveraineté nationale quant aux réseaux télécoms, de leur gestion ainsi que de leur sécurisation».
Mais Mme Mathlouthi ne se leurre pas quant à la difficulté d’introduire la notion de sécurité dans la stratégie d’Etat. Et pour cause, le coût de la cybersécurité est plus grand que l’investissement informatique en lui même. «Nous avons une explosion des données qui ont doublé en moins de 2 années. En contre partie, le coût de traitement et de stockage a baissé de 20 dollars en 2005 à 0,6 dollars en 2015. Mais il y a un actif de données à sécuriser encore plus énorme», a-t-elle rajouté.
«Les estimations indépendantes indiquent que les impacts financiers sont en hausse pour une donnée piratée. Son coût moyen en France est de 122€ en 2013 avec une augmentation annuelle de 13%. Les estimations du coût total moyen d’une interruption des opérations due à une faille de sécurité, donnent entre 700 mille et 10 millions d’euros selon la gravité de l’acte de piratage». C’est dire l’importance de l’impact économique sur une entreprise et le contribuable. C’est ce qui explique, par ailleurs, qu’aux Etats Unis, la sécurisation des SI est rattachée, carrément à la Défense américaine.
Karim Ahres (INFOTICA) critique le manque de stratégie du gouvernement sur la cybersécurité
Fayçal Ajina, ex vice président de l’Instance Nationale des Télécommunications (INT) et actuel conseillé du ministre de la Justice, a présenté, pour sa part, les différents textes de loi existants dans la législation tunisienne et qui traitent du volet sécuritaire en informatique. «Les textes législatifs concernant la cybersécurité sont très éparpillés et présentent quelques ambiguïtés ou contradictions entre elles», a-t-il conclut à la fin de sa présentation. Mais il a fini par ouvrir le débat par une question fort intéressante sur la confiance numérique : «Je voudrais poser une question aux auditeurs informatique. Est ce que un audit peut-il nous assurer que le SI est devenu de confiance ?». Et pour cause, et selon la loi, les audits donnent le degré de sécurisation d’un système d’information (SI) mais ne peut nous assurer qu’il est dans les normes.
«Quand on a eu la loi sur l’audit en 2004 on était content. En 2011, on a assisté impuissants à voir s’envoler des milliers de données à cause des mouvements sociaux où des usines et des administrations ont été saccagées et incendiées. Là, on a réalisé qu’on était loin de la sécurité informatique», a constaté amèrement Karim Ahres, président de l’INFOTICA (rattaché au patronat tunisien UTICA). «En mai 2014, y’a eu un workshop sur la cybersecuité nationale et on a développé un plan d’action sur 5 axes. On a créé des groupes de travail pour développer ce plan. Mais à ce que je vois, tout est resté au stade théorique. Il est temps de passer à la pratique !», a-t-il martelé.
«Pis : réalisez-vous que nous avons maintenant un sport national appelé “El système tayah” (le système est en panne, ndlr) ? On entend cette phrase pratiquement tous les jours dans beaucoup d’administrations et parfois même chez les entreprises privées. Avez vous calculé le coût de ce chômage technique sur l’activité d’une entreprise et d’un pays ?»
En plus clair, le président de l’INFOTICA a mis le doigt sur un point qui fait mal : la cybersécurité passe par une étape primordiale qu’est la sécuriTé des SI contre les mauvaises manipulations et le manque de professionnalisme.
«Chez un opérateur comme Deutsch Telekom, il y a 250 mille attaques par jour. Quid de chez nous ?», s’est demandé M. Ahres. «Nous avons de très bonnes compétences dans la sécurisation des données. Ils ont été formés ici et ont étudié en Tunisie. Ils ont tellement monté en compétence qu’on leur propose des contrats à l’étranger où leur salaire est le triple de ce que nous proposons ici. Nous avons les compétences, mais nous n’avons pas de stratégie pour pouvoir les retenir».
Le président de l’INFOTICA a évoqué par la suite la disponibilité des centres de veille en cas de panne Informatique : «A quoi ça sert d’avoir des centres de sécurité et de veille 24h/24 si à minuit on appelle et personne ne répond en cas de panne car les salaires ne sont pas à la hauteur ou que l’entreprise fait des économies de bouts de chandelle ? Donc, oui la sécurité a un coup qui dépasse l’aspect hardware et software».
Welid Naffati
N.B : Pour voir l’ensemble des présentations, elles sont disponibles en ligne sur le site de l’ANSI. Nous vous recommandons également de lire notre couverture sur la présentation du Président de l’Instance Nationale de Protection des Données Privées lors de ce Workshop et qui a créé la polémique (Vie privée: Un an de prison pour les gérants et directeurs de sociétés/administrations hors la loi).
