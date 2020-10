Kassataya - Spécialisé en cybersécurité, M. Ibrahima Bass qui a débuté sa carrière dans l’administration et la gestion des infrastructures informatique s’est très rapidement orienté vers la cybersécurité après une Master dans ce domaine à ESD Cybersecurity Academy et ASTON l’Ecole informatique de Paris.



Après une expérience au Gret-Mauritanie en tant que responsable Systèmes d’Information, ce natif de Méderdra rejoint la société EAS-Industries (France) pour occuper le poste d’adjoint RSSI (Responsable Sécurité des Systèmes d’Information) chargé des projets techniques.



Un temps consultant dans différents ESN en région Parisienne, M. Bass se lance de nouveaux défis avec l’ESEC (European Security Expertise Center) de SOGETI – Capgemini où il s’occupe du pilotage des centres de service cybersécurité pour différents clients Grand Compte et pour le groupe Capgemini.



Aujourd’hui M. Bass, qui parle aussi bien l’arabe, le français et l’anglais est le Chieif Cybersecurity Officer pour Capgemini Financial Service en France et formateur en gouvernance de la cybersecurité et management des risques à ESD Cybersecurity Academy Paris, accorde cet entretien à kassataya pour évoquer les enjeux de la cybersécurité en Mauritanie, au-delà de la question des fuites des résultats du baccalauréat.



1- Quelle lecture faites-vous de la publication des résultats du baccalauréat par un site inconnu ?



Il s’agit d’un incident de Cybersécurité puisqu’on parle d’une exposition publique non désirée des données du ministère de l’Éducation nationale. Je ne saurai vous dire si c’est un utilisateur interne à l’organisation qui est à l’origine de l’incident ou s’il s’agit d’une cyberattaque externe. Dans les deux cas, cela est alarmant, car il est révélateur au moins d’une faille dans le dispositif de sécurité qu’elle soit technique ou organisationnelle.



Si une cellule de crise a été mise en place très rapidement au sein du ministère, conformément aux bonnes pratiques en matière de gestion des incidents cybersécurité, celle-ci aurait produit un rapport détaillant le déroulement de l’incident. Et à partir des conclusions, l’autorité apporterait les réponses adéquates.



Mais, vous savez le risque zéro, c’est un mythe. C’est à la fois un objectif et une illusion. La question n’est donc plus de savoir si les données peuvent fuiter (intentionnellement ou non) ou être exfiltrées et par qui, mais plutôt de savoir comment les sécuriser en amont afin de limiter les impacts en cas de fuite.



Quelles sont les mesures organisationnelles et techniques que le ministère a mis en place pour assurer la sécurité de ses systèmes d’informations ? Voilà la question que l’État, au plus haut niveau, devrait se poser.



2. Qu’est-ce que ce genre de pratique révèle t’il en matière de gouvernance des données ?



Le fait que des données soient le moteur et le carburant du XXIe siècle n’est un secret pour personne. Le fait qu’elles soient de plus en plus exposées ne l’est pas non plus.



Il devient alors nécessaire pour les organismes, publics ou privés, de mettre en place une gouvernance de la sécurité de l’information, centrée sur les données, tout en adoptant une approche stratégique de la sécurité visant à protéger l’ensemble de leurs actifs informationnels. Cette posture impose une gestion des risques rigoureuse et une prise en compte des questions de sécurité de l’information au plus haut niveau de l’organisation.



Il faut savoir qu’il ne se passe pratiquement pas une journée sans que l’on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de grands organismes publics ou privés. À l’échelle mondiale, la cybercriminalité représente un marché florissant, dont le chiffre d’affaires s’élève à plusieurs milliards de dollars.



3. Comment se manifeste les problèmes de cybersécurité aujourd’hui ?



Il y’a un réel changement de paradigmes tant dans la compréhension de ces nouvelles menaces de cybersécurité que dans les réponses à apporter.



Et ce changement de paradigmes doit être intégré dans les politiques publiques de gouvernance par la classe politique dirigeante. Malheureusement, on observe qu’il y a fossé entre notre compréhension des enjeux de la cybersécurité et celle que se font nos dirigeants.



Par exemple le cyberespace, qui échappe largement aux États en se jouant des frontières physiques a remis en cause la notion de la souveraineté, traditionnellement définie comme un pouvoir suprême exercé sur un territoire, à l’égard d’une population, par un État indépendant, libre de s’autodéterminer. Les cyberattaques étatiques, c’est-à-dire des offensives sponsorisées par un État tiers visant les réseaux informatiques d’un autre État, sont en pleine évolution.



Les cibles sont aujourd’hui bien plus diversifiées : les entreprises, de toutes tailles et de tous secteurs dans le but de perturber le fonctionnement des activités, services et installations d’un territoire, et de fait, son économie. Et aucun pays, y compris la Mauritanie, n’échappe à cette nouvelle forme d’ingérence dans les affaires internes. Ce phénomène s’est accentué avec l’anonymat du cyberespace qui rend par ailleurs ces attaques difficilement attribuables contrairement à ce qu’avancent certains experts informatiques en Mauritanie.



4. La Mauritanie est-elle vulnérable ou elle est à l’abri de la cybercriminalité ou des cyberattaques ?



Vous savez, la Mauritanie comme tout État moderne entretient des relations diplomatiques, commerciales et économiques avec le reste du monde et à partir de ces éléments elle est exposée pour différentes raisons aux cyberattaques.



La Mauritanie à l’instar d’autres pays africains est très vulnérable face aux cybermenaces.



La vulnérabilité est d’abord organisationnelle. Elle est engendrée par le manque de sensibilisation et prise de conscience des enjeux des cybermenaces au niveau des institutions de l’État.



Cette vulnérabilité est également liée au manque d’expertise dans le domaine de la cybersécurité et l’accès à la formation et l’absence ou très faible niveau de protection des infrastructures hébergeant les systèmes d’information. Face à l’augmentation en quantité et en sophistication des attaques Cyber, et à leurs impacts potentiellement destructeurs, il est nécessaire de se préparer et d’avoir une réflexion sur la notion d’infrastructure critique, les systèmes d’information et d’activités d’importance vitale pour le pays.



5. Mais comment des États comme les nôtres avec d’autres défis prioritaires peuvent-ils investir pour contenir des menaces virtuelles ?



Vous savez, du virtuel au réel il suffit d’un clic ! Un clic pour perturber tout un pan d’une économie, un clic pour siphonner des données bancaires, ternir l’image d’un pays, attaquer ses institutions, son état-civil et j’en passe…



Et aucun politologue ne peut vous dire les conséquences de telles menaces sur la stabilité politique d’un pays.



La cybersécurité reste avant tout une question de souveraineté nationale et il n’y a pas de prix pour la sauvegarde de la souveraineté nationale.



D’ailleurs, c’est conscient de ces enjeux qu’en Décembre 2018, un atelier de préparation du processus d’adhésion de la Mauritanie à la Convention de Budapest sur la Cybercriminalité, que le ministère de l’enseignement supérieur, de la recherche scientifique et des technologies de l’information et de la communication a indiqué que le gouvernement travaillait sur la mise en place d’une stratégie nationale de cybersécurité. Et on ne peut que saluer cette initiative.



Cela dit, n’ayant pas eu connaissance des conclusions de ces travaux, je ne peux m’exprimer sur la pertinence de cette stratégie.



Cependant, la cybersécurité étant un sujet transverse, un projet d’élaboration d’une stratégie nationale, couvrant aussi bien la sécurité extérieure que la sécurité intérieure, les moyens militaires comme les moyens civils, économiques ou diplomatiques et prenant en compte tous les phénomènes, risques et menaces susceptibles de porter atteinte à la vie de la nation, doit s’inscrire dans une dynamique de coordination de l’action gouvernementale et ne peut pas être porté pas un ministère spécifique.



6.Quelles sont vos recommandations pour améliorer le niveau de la préparation de la Mauritanie face aux cybermenaces ?



Il convient d’abord, si ce n’est déjà fait, de finaliser le projet d’élaboration d’une stratégie nationale de cybersécurité et de la publier , puis de définir et appliquer une politique de sécurité des systèmes d’information qui fixe les règles de protection applicables à tous les systèmes d’information des administrations de l’État : ministères, établissements publics sous tutelle et autorités administratives indépendantes. Cette politique doit insuffler une véritable culture de la cybersécurité, il n’est pas rare que des cadres travaillant dans des administrations et sociétés publiques utilisent des adresses e-mail se terminant par « @gmail.com », « @yahoo.com »…



J’ai noté avec intérêt que le gouvernement à lancer un avis d’appel d’offre relatif à la construction d’un data center de type tier-3 à Nouakchott, cela démontre une volonté d’accélérer la transformation digitale de l’administration public, et il est nécessaire d’intégrer la dimension cybersécurité dans cette transformation, et ce, en amont des projets (security by design).



Et ce n’est qu’à travers cette approche que l’État pourra mieux se préparer face aux cybermenaces et augmenter son niveau résilience cyber.



Par ailleurs, le dispositif doit comprendre nécessairement un CERT (Computer Emergency Response Team) qui est une structure d’alerte et d’assistance sur l’Internet chargée d’une mission de veille et de réponse aux attaques informatiques et coordonner la lutte contre les intrusions dans les systèmes informatiques des administrations de l’État.



Afin de concilier efficacité et efficience, on peut envisager la mise en place d’un Centre de cybersécurité au niveau des pays du G5 Sahel ou de renforcer la coopération dans ce domaine avec certains pays de la sous-région, qui semblent prendre en compte l’importance de la formation et de la sensibilisation dans le domaine de la cybersécurité. Ceci permettra de poser les bases d’une meilleure cybersécurité.



Propos recueillis par D.S













Les articles, commentaires et propos sont la propriété de leur(s) auteur(s) et n'engagent que leur avis, opinion et responsabilité