Sous cette ère d’évolution effrénée des technologies numériques et d’interconnexion des systèmes d’information, la cybercriminalité représente un enjeu majeur pour les pouvoirs publics, les entreprises de toute taille et les citoyens. Ces dernières années, les criminels utilisent des méthodes plus sophistiquées pour perpétrer des attaques plus diversifiées et complexes. Entre les dégâts qu’engendre la survenue d’une cyberattaque et les stratégies de récupération des systèmes d’information et des données, exemple croisé d’approches à adopter entre une agence gouvernementale et une entreprise.
Dans le rapport Interpol 2024 sur l’évolution des cybermenaces en Afrique, il ressort que l’environnement des cybermenaces sur le continent est resté très dynamique, avec des attaques à évolution rapide en termes de sophistication et de portée. L’intensification de la cybercriminalité en Afrique a été possible grâce aux rançongiciels, aux escroqueries aux faux ordres de virement et toutes autres formes d’escroquerie en ligne. Celles-ci ont permis aux cybercriminels de faire recours aux réseaux sociaux, à l’intelligence artificielle et au perfectionnement des techniques d’ingénierie sociale pour mieux appâter leurs cibles.
Le rapport indique qu’en 2023, le nombre moyen de cyberattaques hebdomadaires par organisation a augmenté de 23 % en glissement annuel. Et c’était la moyenne la plus élevée au monde. De même, le nombre d’arrestations, d’interventions et d’enquêtes a augmenté grâce au développement des ressources en matière de lutte contre la cybercriminalité. À titre d’exemple, 19 pays membres ont recensé un total cumulé de 10 490 arrestations en lien avec la cybercriminalité entre janvier et décembre 2023. Étant donné que ces pays ne représentent que 35 % du continent, le nombre total d’arrestations en lien avec la cybercriminalité est probablement beaucoup plus élevé.
Par ailleurs, chez ESET Research, un rapport en date du second semestre 2023 fait état de blocage de plus de 650 000 tentatives d’accès à des domaines malveillants avec des noms ressemblant à « ChatGPT ». En effet, la période a été marquée par d’importants incidents de cybersécurité. Notamment, Cl0p, un groupe de cybercriminels mondialement connu pour mener des attaques de rançongiciels à grande échelle, a attiré l’attention par l’exploitation de « MOVEit », qui n’impliquait étonnamment pas le déploiement de rançongiciels. Dans la foulée, les logiciels espions se sont accrus de manière significative.
« Destruction de données confidentielles »
L’évolution de la technologie induit de nouvelles attaques ; et la performance des systèmes d’information engendre des cybermenaces encore plus coriaces aussi bien pour les citoyens, à la fois victimes et cibles finales, les entreprises de toutes tailles et les systèmes d’information des pouvoirs publics. La survenance d’une cyberattaque sur une infrastructure numérique d’une entité étatique peut entraîner des préjudices de divers ordres. Les plus alarmants, à en croire Sabin Sogan, Responsable de la sécurité des systèmes d’information (RSSI) de l’Agence des systèmes d’information et du numérique (ASIN) du Bénin, sont : la perte de données sensibles, l’interruption des services, l’atteinte à la réputation et la compromission de la sécurité publique.
« Il peut s’agir d’exfiltration ou de destruction de données confidentielles, personnelles ou critiques pour les populations ou pour l’Etat lui-même. La réputation des entités publiques peut s’en trouver écorchée entraînant la perte de confiance des citoyens et des partenaires. Il peut résulter d’une cyberattaque une perturbation des services publics dématérialisés, impactant les citoyens et paralysant toute l’administration », explique-t-il.
Il n’occulte pas les coûts financiers de récupération et de communication que peut engendrer une cyberattaque, de même que l’exposition de l’Etat à des poursuites judiciaires suite aux conséquences de cyberattaques sur les populations ou ses partenaires.
D’après Kamlesh Seetohul, Senior regional manager – EMEA de Catalyst Business Partners : « Les cyberattaques peuvent avoir un impact dévastateur sur les entreprises, touchant divers aspects de leurs opérations et entraînant des conséquences néfastes allant de pertes financières substantielles à des atteintes à la réputation et à la perte des clients. Cela peut également conduire à la non-conformité avec les réglementations sur la protection des données telles que RGPD, HIPAA et d’autres. Ce qui peut entraîner des lourdes amendes et des répercussions juridiques. »
Riposter à une cyberattaque
Le rapport Interpol 2024 sur l’évolution des cybermenaces en Afrique rapporte qu’un article publié par le Centre pour la cybersécurité du Forum économique mondial indique que « près de la moitié des entreprises sont touchées par la criminalité économique, dont la cybercriminalité constitue la plus grave menace ». Par ailleurs, les estimations issues des Market Insights de Statista évaluent le coût total de la cybercriminalité dans le monde au-delà de 8000 milliards de dollars en 2023, une hausse de 15 % sur un an. Les prévisions des analystes du marché de la cybersécurité prévoient que ce chiffre devrait continuer à croître au même rythme en 2024, pour atteindre plus de 9000 milliards de dollars.
Lorsqu’une attaque survient, Catalyst Business Solutions fournit : « Des services pour la récupération des cyber incidents, depuis la détection précoce et l’endiguement jusqu’à la restauration des données et l’amélioration de la posture de sécurité. En intégrant nos services dans les processus de réponse aux incidents, nos clients augmentent leurs chances d’une récupération complète et réussie », informe Kamlesh Seetohul.
Cependant, énonce-t-il, les étapes d’un recouvrement complet après une cyberattaque passent par l’identification de la nature et de l’ampleur de l’attaque. Cela permet d’éliminer la présence de l’attaquant du système en supprimant les malwares, en corrigeant les vulnérabilités exploitées lors de l’attaque et modifier les identifiants compromis. S’en suit la restauration des données critiques à partir de sauvegardes, l’analyse de l’attaque et l’identification des faiblesses et les simulations de sécurité pour tester votre plan de réponse aux incidents
Au niveau du Bénin, Sabin Sogan estime qu’il faut en plus mettre l’accent sur la communication en informant les parties prenantes internes et externes selon les exigences légales et de transparence. Il conseille de collaborer avec les autorités compétentes et les agences de cybersécurité de l’État et œuvrer à une amélioration continue. Celle-ci passe par : « La mise en œuvre des leçons apprises pour renforcer les défenses et la mise à jour des plans de réponse aux incidents et les politiques de sécurité. »
Prévenir et protéger les SI et les données
Peu importe l’entité concernée, la réponse à une cyberattaque nécessite du temps, de la méthode et des compétences adéquates pour parvenir à une récupération complète. Pendant ce temps, un plan de continuité d’activités est nécessaire pour donner le service minimum en attendant la reprise des activités. Cependant, il est plus précautionneux de prévenir et protéger les systèmes d’information et les données que de riposter à une cyberattaque.
Au Bénin, « le gouvernement s’est donné le pari de protéger à la fois les systèmes d’information des entités publiques (Ministères, institutions de la République, Agences, Sociétés et organismes publics ainsi que leurs structures déconcentrées et décentralisées). Alors, un certain nombre de mécanismes sont proposés pour prévenir les cyberattaques et protéger les systèmes d’informations des entités étatiques suivant une approche dite de la « défense en profondeur » pour la cybersécurité pour donner une assurance raisonnable d’un niveau adapté de confidentialité, d’intégrité et de disponibilité », précise Sabin Sogan. Ceci résulte d’une volonté politique de l’Etat béninois à faire du numérique, un véritable socle de développement.
A cet effet, plusieurs mesures techniques ou non sont mises en place à savoir : définir et mettre en œuvre une politique de sécurité des systèmes d’information (PSSI) spécifique alignée sur la politique de sécurité des systèmes d’information de l’Etat (PSSIE), assurer la mise à jour régulière des politiques de sécurité pour répondre aux nouvelles menaces et établir une cartographie des actifs informationnels numériques. Il faut aussi réaliser des analyses de risques pour identifier les vulnérabilités et les menaces potentielles, former les employés à reconnaître les tentatives de phishing et les autres attaques d’ingénierie sociales, ou organiser des sessions de sensibilisation régulières sur la cybersécurité.
« Comme nous le disons toujours à nos clients, on ne peut protéger que ce dont on est conscient. Les organisations ne peuvent pas suivre les attaquants en utilisant des outils traditionnels. L’automatisation est indispensable pour l’analyse et l’amélioration de la posture de cybersécurité, car ces tâches dépassent désormais les capacités humaines. Au-delà des solutions antivirus traditionnelles, notre offre de cybersécurité propose une valeur ajoutée en sécurisant l’ensemble de l’infrastructure informatique, y compris les données sensibles. Elle renforce les défenses, améliore la détection des menaces et la réactivité, et réduit considérablement les cyber-risques pour protéger les actifs critiques des organisations », déclare Kamlesh Seetohul.
Rôle des DSI en cas d’attaques
Arrive-t-on à récupérer toutes les données perdues ou volées lors d’une cyberattaque ? « Les données volées sont plus difficiles à récupérer une fois exfiltrées, c’est pourquoi le focus est souvent sur la limitation des dégâts et la prévention de futures fuites. Toutefois, ce n’est pas impossible si les dispositions appropriées (techniques et organisationnelles) sont en place pour anticiper les incidents de sécurité numérique. Il s’agira d’avoir en place un plan de sauvegarde de données à jour et régulièrement testé et tenant compte de la durée maximale acceptable de la perte de données (RPO) et de la durée maximale acceptable pour l’indisponibilité des services (RTO). Ces éléments sont issus de l’analyse d’impact sur les affaires (BIA) », répond Sabin Sogan.
Pour Kamlesh Seetohul, la possibilité de récupérer ces données dépend du type d’attaque, des mesures de sécurité en place et de la rapidité de la réponse à l’incident. Dans le meilleur des cas, avec une préparation adéquate et une réponse rapide, il est possible de récupérer la quasi-totalité des données compromises. Cependant dans certains cas comme les attaques par effacement ou chiffrement de données ou en cas d’absence de sauvegarde, la récupération peut être partielle ou même impossible. Il ajoute : « Un bon plan de récupération est essentiel, mais ça doit être la dernière ligne de défense parce que la récupération des données après une cyberattaque peut être un processus long, coûteux et complexe. »
Le plan de récupération ne se déploie pas sans l’expertise du directeur du système d’information. En effet, il est le pilier de la transformation numérique en étant le garant de la sécurité des données d’entreprises et le gestionnaire stratégique des ressources IT. A ce titre, « les DSI jouent un rôle crucial dans la gestion de l’incident, la prise de décisions stratégiques et la communication interne et externe en cas de cyberattaque pour la sécurité de l’entreprise. Ils sont souvent considérés comme le commandant en chef lorsqu’il s’agit de sauvegarder les actifs numériques de l’organisation et de naviguer dans le processus complexe de récupération », fait savoir le Senior regional manager – EMEA de Catalyst Business Partners.
Dans le contexte béninois en revanche, la prise en charge d’une cyberattaque est du ressort de plusieurs acteurs à l’instar du directeur des systèmes d’information (DSI), le responsable de la sécurité des systèmes d’information (RSSI) et de l’Agence des systèmes d’information et du numérique (ASIN). Leurs actions combinées permettent de réduire les risques et de limiter les impacts. Avant tout, il y a le sponsorship de la haute direction de chacune des entités pour accompagner la mise en œuvre des actions de cybersécurité.
De toute évidence, conclut Sabin Sogan, « la protection des systèmes d’information et des données publiques nécessite une approche holistique englobant la prévention, la détection, la réponse et la récupération. Les DSI, RSSI et l’ASIN jouent tous des rôles essentiels et complémentaires dans ce cadre. »