Pour mieux comprendre la politique et les engagements cyber-sécuritaires de la Tunisie, CIO Mag a effectué une interview avec un spécialiste tunisien de cybersécurité de l’Agence Nationale de la Sécurité Informatique (ANSI).
Par Faouzi Moussa
CIO Mag : Monsieur Fadhel GHAJATI, pouvez-vous vous présenter aux lectures de CIO Mag ?
Fadhel GHAJATI : Je suis ingénieur Télécom. Ingénieur en cybersécurité à l’Agence Nationale de la Sécurité Informatique (ANSI), Responsable SMSI (Système de Management de la Sécurité de l’Information) et chef de projet de la mise en place d’une solution nationale de la détection des attaques de déni de service distribuées DDoS.
Quelle est l’histoire de la cybersécurité ?
La notion de cybersécurité a vu le jour aux états unis avec l’apparition du premier virus et c’était dans les années 90 à l’époque des architectures client-serveur. Le Département de la défense a conçu, alors, un Framework et une approche pour la sécurité informatique. Ensuite, le concept évolue et on parle de sécurité des systèmes d’information. A la fin des années 90 et au début des années 2000 on commence à parler, d’une manière plus générale, de sécurité de l’information ou de cybersécurité.
Comment définir la cybersécurité par rapport à l’échelle d’un pays, qui doit s’en occuper ? Le ministère de la Défense, de l’Intérieur, la présidence, quel degré d’importance, quel budget ?
Chaque état a sa propre conscience de la notion de cybersécurité. En effet, il s’agit principalement de sécuriser le cyber espace national. C’est un enjeu et un critère de souveraineté. Donc, chaque état placera, selon sa vision sécuritaire, la cybersécurité du pays sous tutelle de la défense ou de la présidence ou encore de l’intérieur, etc.
Comment et autour de qui est organisée la cybersécurité en Tunisie ? C’est une notion dont on ne parle quasiment jamais ouvertement au sommet de l’Etat ?
La Tunisie suit des axes de stratégie sécuritaire. Mais cette stratégie n’est pas l’exclusivité d’un ministère ou d’un organisme particulier. C’est peut-être une vision à développer dans l’avenir. Même si depuis 2004, l’Agence Nationale de Sécurité Informatique (ANSI) chapeaute et veille sur la cybersécurité de la Tunisie.
Y a-t-il d’autres organismes qui collaborent dans la sécurisation du cyber espace tunisien ?
Oui bien sûr, on peut parler d’entité de gouvernance du cyber espace national Tunisien dont l’Agence Nationale de Certification Electronique (ANCE), l’Instance Nationale de la Protection des Données Personnelles (INPDP) qui a du pain sur la planche avec l’entrée en vigueur depuis le 25 Mai 2018 de la loi Européenne « Règlement Général sur la Protection des Données » (RGPD), le Centre d’Etudes et de Recherche des Télécommunications (CERT) qui s’occupe du volet homologation, certification et validation des produits sécuritaires. Il y a aussi d’une façon indirecte l’Instance Nationale des Télécommunications (INT), et enfin l’Agence Technique des Télécommunications (ATT).
Comment collaborent ces différents organismes ? D’une manière horizontale ou sont-ils sous tutelle d’un ministère ?
Mise à part l’INPDP qui est indépendant, les autres organismes sont rattachés au Ministère des technologies de communication et de l’économie numérique.
Pouvez-vous nous donner une idée sur le rôle que joue l’ANSI dans la sécurisation de l’espace cybernétique tunisien ?
Le rôle essentiel de l’ANSI c’est d’offrir un contrôle général des systèmes informatiques et des réseaux des divers organismes privés et publics via des procédures bien établies. Ceci étant, il y a deux axes fondamentaux (i) l’obligation de la déclaration d’un incident suite à une attaque cybernétique qui impacte un organisme et (ii) l’audit réglementaire qui renvoie à l’audit de la sécurité du système d’information (SI) pour prendre note de la maturité de la sécurité du SI.
En cas d’attaque subie, les sociétés qu’elles soient publiques ou privées peuvent-t-elles s’adresser à l’ANSI, organisme étatique, pour les aider ? Et est-ce que c’est gratuit ou payant ?
Qu’elles soient des personnes morales ou physiques, toute personne victime d’une attaque peut trouver du conseil et de l’aide gratuitement auprès de l’ANSI. Les services offerts sont basés sur le Computer Emergency Response Team (CERT), c’est un modèle international et chaque pays l’adapte selon ses besoins ce qu’a fait la Tunisie depuis 2004. Ces services peuvent être proactifs, comme l’audit, la veille technologique, la détection des intrusions, la détection des Attaques par Déni de Service Distribuées DDoS (projet national en partenariat avec les opérateurs Télécoms), etc. Pour les services réactifs, suite à un incident, on s’occupe du « comment la victime va être traitée » ? Il existe une équipe CERT dédiée à la gestion et au traitement de ces incidents gratuitement. Ajoutant à ces deux pôles l’activité de management et en particulier la sensibilisation et le renforcement des compétences dans la cybersécurité.
La Tunisie peut-elle faire face à une attaque malveillante d’échelle internationale ? La Tunisie est-elle protégée ? Avons-nous un niveau de sécurité comparable au pays développés et aux pays africains en croissance technologique forte ?
Nous avons besoin d’être en progression continue et en évaluation périodique qui décèlent des points forts et des points à améliorer, ce qui est à même de renforcer les capacités sécuritaires du pays. C’est l’essentiel. Puis il y a la coopération nationale et internationale. A l’échelle du pays, nous venons de signer une convention avec le Centre Tunisien pour l’étude de la sécurité globale afin d’appliquer des actions de sensibilisation destinées aux jeunes et aux enfants. A l’échelle internationale, je cite la dernière convention de collaboration et d’échange avec l’Agence Nationale de la Sécurité des Systèmes d’Information de la France.
Coté Africain, est ce qu’il y a des collaborations et comment on se positionne en termes de sécurité par rapport à ces pays ?
Cela dépend des pays, par rapport à certains, nous sommes meilleurs, par rapport à d’autres, comme le Sénégal, qui est en cours de développer une bonne stratégie et une bonne plateforme d’application de la cybersécurité, nous avons encore des avancées à faire. Pareil pour les pays Arabes. Le niveau s’améliore grâce à la mise à disposition des ressources. La création de CERT sectoriels (santé, finance, social,…) peuvent également perfectionner le travail de veille et de sécurité.
Quel est aujourd’hui le rempart de la Tunisie en cas d’attaque malveillante d’envergure?
C’est l’ANSI bien sûr ! C’est son rôle.
Mais l’ANSI a-t-il les moyens et les ressources nécessaires pour remplir ce rôle critique ?
Oui, mais nous avons toujours besoin de plus ! Et c’est avec la collaboration et la coopération des différents intervenants qu’on arrivera à être plus efficace.
Interview parue dans CIO MAG N53 de Juillet/Août 2018
