Adil Ait Omar: "Les hackers ciblent des collaborateurs d'entreprises mal informés"



Une vague de cyberattaques sans précédent frappe le Maroc ces derniers mois, affectant le fonctionnement de nombreuses entreprises et organisations privées, semi-publiques et publiques: Agences de voyages, la RAM, constructeurs automobiles… Ces cyberattaques causent parfois l’arrêt de l’activité de certaines entreprises.

Depuis quelques mois, le nombre de cyberattaques au Maroc a connu un essor considérable. Contrairement aux idées reçues, les entreprises marocaines ne sont donc pas à l’abri des attaques informatiques?
La cyber-sécurité n’est plus reléguée à la rubrique technique des journaux et sites web, elle s’offre la première page. Il s’agit même d’un sujet abordé dans le cadre des primaires américaines. Elle est associée aux pannes de courant nationales et la possible paralysie d’infrastructures critiques. De nos jours, la cyber- sécurité concerne tous les secteurs, pays et autres espaces sociaux importants. Souvent, nous citons les puissances mondiales (USA, Chine, Russie, Allemagne…) lors des cyberattaques. C’est la preuve que tout est possible et que le Maroc n’est pas à l’abri.

Pouvez-vous nous citer des cas concrets d’entreprises ayant subi ces attaques et les conséquences sur leur activité?
Samedi 13 mai 2017, suite à une cyberattaque mondiale massive via le ransomware Wanna- Cry, l’usine de Renault à Tanger a perdu une journée de production, soit l’équivalent d’environ un millier de véhicules. Ce programme malveillant crypte le contenu de l’ordinateur infecté. Pour maintenir la pression, les ravisseurs ont réclamé 300 dollars américains à chaque victime (pour obtenir la clé de décryptage), puis le double au bout de 3 jours avant de menacer de détruire les données après une semaine. Le 7 octobre 2017, plus de 50 agences de voyages marocaines ont été victimes d’un piratage à grande échelle. Leurs accès au système Amadeus, utilisé dans la gestion et l’émission de billets d’avion, ont été hackés.
Le mode opératoire des cyber attaquants utilisait une vieille technique d’email frauduleux pour mettre la main sur les identifiants des agents de voyage. L’email en question invitait ces derniers à mettre à jour leur système Amadeus. Les hackers ont pu vendre plusieurs billets acquis au nom des voyagistes piratés à prix bradés. Les pertes se chiffrent à 400.000 dirhams en moyenne par agence.
En novembre 2017, un pirate informatique, qui travaille dans une compagnie aérienne étrangère, est parvenu à accéder à la base de données des clients de la RAM, connue sous le nom de Safar Flyer. Il a effectué frauduleusement des modifications des données informatiques pour obtenir un grand nombre de billets d’avion gratuits et les revendre à des prix cassés. La DGSN a arrêté le suspect le 9 novembre et l’enquête est en cours.

Dans ces cas précis et dans d’autres, quelle est l’origine des failles?
L’origine des failles est multiple. Elle est d’abord technique, à cause des vulnérabilités dans la conception, l’implémentation, la configuration ou l’exploitation des équipements, des protocoles réseau, des architectures et des logiciels (OS et applications). Ensuite, elle est humaine du fait de l’exploitation de la crédulité des utilisateurs et leur manque de formation et d’information avec des techniques de plus en plus sophistiquées (Ingénierie sociale, Scam, Phishing, Hoax…).

Et pourtant, les entreprises investissent des millions de dirhams par an pour renforcer leur système d’information.
Dans le domaine de la sécurité des systèmes d’information, il faut prendre en considération deux principes fondamentaux. D’abord, la sécurité absolue n’existe pas. Par conséquent, il faut viser un niveau de risque acceptable. Pour ce faire, la gestion du risque, la maîtrise des techniques de sécurisation et la connaissance de l’environnement juridique deviennent des compétences indispensables pour toutes les organisations. Ensuite, la sécurité n’est pas un produit ou une solution, mais un processus. D’une part, l’investissement en équipement est souvent nécessaire mais jamais suffisant. Car souvent, nous occultons le maillon faible, à savoir la formation, la sensibilisation et l’accompagnement de l’utilisateur final. D’autre part, la sécurité n’est pas une action ponctuelle, mais un effort raisonné obligatoirement continu dans le temps.

Vous dites que les collaborateurs sont considérés par les hackers comme le maillon faible de la sécurité de l’entreprise. Concrètement, comment?
Aujourd’hui le poste client, outil de production de l’entreprise, est une richesse pour le cybercriminel. La réelle production d’une entreprise s’effectue au plus proche de l’utilisateur. Le pirate va chercher à l’atteindre. Mais le facteur aggravant est le comportement d’un utilisateur qui manque cruellement de formation et de sensibilisation!

Concrètement, que voulez-vous dire?
Les utilisateurs continueront d’utiliser des petits utilitaires, des “cracks”… Car sur un PC, on ne peut pas tout acheter. Ils continueront d’installer des logiciels malgré les avertissements de sécurité du système d’exploitation et de répondre à des offres promotionnelles, à donner leurs identités bancaires ou à ouvrir des fichiers joints suspects ou encore de payer en ligne sans pour autant se soucier de la sécurité! Ils accepteront que des sites sécurisés ne possèdent pas de certificats valides!

Quels conseils pouvez-vous donner aux entreprises ou à leurs collaborateurs?
Jens Tonke, vice-président exécutif des Services de cyber-sécurité F-Secure, a dit qu’«il existe 2 types d’entreprises: celles qui ont subi une violation de leur sécurité, et celles qui ne le savent pas encore». Face à cette réalité, nous recommandons aux entreprises de mettre en place une politique de sécurité informatique, basée sur un processus adaptatif en quatre étapes. La première est l’anticipation, en connaissant les risques encourus, et en instaurant une veille sécuritaire. La deuxième est la prévention, en réduisant la surface d’attaque, évitant les incidents, atténuant ou éliminant les failles techniques et humaines. La troisième est la détection, en identifiant les incidents et les menaces, les isoler et les circonscrire. Et enfin, en réagissant aux violations et en atténuant les dommages.

Pour les particuliers, l’inquiétude vient des achats en ligne par carte bancaire. Encourent-ils des risques à ce niveau ?
De nos jours, nous observons un boom des ventes en ligne qui passent par des sites d’e-commerce, sites d’enchères, applications mobiles et réseaux sociaux. Plus les gens achètent en ligne, plus les pirates se multiplient développant divers techniques pour atteindre leurs objectifs, qui sont soit de voler les données personnelles, soit d’obtenir un transfert d’argent. On croit souvent que taper son numéro de carte sur le clavier de son ordinateur nous met à la merci des fraudeurs. Alors qu’en fait, il est moins risqué de payer avec sa carte sur Internet qu’au restaurant ou dans une boutique ! Un serveur ou un commerçant indélicat peut relever toutes les informations de votre carte !.

Articles similaires