Photo DR
Il y a cinq ans, vous avez cosigné une tribune – publiée dans « L'Orient-Le Jour » du 17 octobre 2012 – dans laquelle vous souligniez notamment le manque de réactivité des banques libanaises suite à l'attaque du virus informatique Gauss. La situation a-t-elle évolué depuis ?
Nous étions en effet plusieurs spécialistes de la cybersécurité – avec Zouhair Abdallah, Élias Diab, Michel Ghanem et Jocelyn Ziadé – à avoir réagi après la découverte de Gauss. Opérationnel depuis septembre 2011, ce cheval de Troie avait été conçu pour espionner les transactions bancaires et avait eu le temps de se propager dans plusieurs pays du Moyen-Orient, dont le Liban, avant d'être identifié. Nous avions alors appelé les établissements bancaires libanais à faire preuve d'humilité vis-à-vis de cette menace et à se donner les moyens d'y faire face.
Cinq ans après, la situation n'a pas beaucoup évolué et les entrepreneurs locaux ont plus tendance à chercher à minimiser les pertes à chaque attaque plutôt que de renforcer la sécurité de leurs données en amont. Si les banques restent en avance dans ce domaine, il reste globalement beaucoup de chemin à faire pour que le Liban soit au niveau.
Les banques libanaises sont donc mieux loties que le reste des entreprises ?
Oui, du moins en termes de moyens humains et financiers. Le secteur bancaire dispose d'une réglementation très stricte avec des procédures bien rodées qui permettent de limiter les risques. Il y a par exemple des contrôles métier renforcés, assortis de plusieurs signatures exigées pour avaliser les opérations financières. De plus, les établissements bancaires investissent de plus en plus dans des formations pour leurs cadres et leurs employés, car elles sont conscientes du fait qu'une importante partie des brèches peut être provoquée par des comportements imprudents, comme visiter un site internet à risque, ou ouvrir un e-mail émanant d'un expéditeur inconnu, etc.
Il faut toutefois garder à l'esprit qu'il n'y a pas de protection parfaite ou de risque zéro. Même des pays comme la Suisse, où les banques remettent régulièrement ce sujet de la cybersécurité sur la table, ont récemment été la cible d'attaques cet été (NDLR : le cheval de Troie Retefe a visé en juillet les comptes en ligne d'une douzaine de banques suisses).
(Pour mémoire : Cyberattaque : la communication de la BDL pointée du doigt)
Quels sont les principaux types de cybercrimes auxquels les entreprises libanaises font généralement face ?
Ils sont déjà bien connus et identifiés. Il y a par exemple le ransomware (rançongiciel), comme le virus WannaCry qui a infecté au printemps 2017 plusieurs centaines de milliers d'ordinateurs dans environ 150 pays dans le monde. Ce type de ver informatique peut verrouiller les fichiers contenus sur un appareil pour obliger son propriétaire à verser une rançon pour les débloquer. Les dégâts de ce type d'attaque peuvent être maîtrisés, mais restent très conséquents.
Il y a également les destructeurs de données – à l'image de Petyaqui qui a été détecté fin juin, d'abord en Europe, puis dans le reste du monde. Ce virus informatique avait d'abord surpris les experts qui l'avaient pris pour un rançongiciel avant de réviser leur diagnostic, vu qu'il ne s'agissait pas d'exiger une rançon mais de détruire irrémédiablement les fichiers infectés. Les résultats de ce type d'attaque peuvent généralement être catastrophiques pour les entreprises qui n'ont pas convenablement sauvegardé leurs données ou qui n'ont pas pu proprement activer leurs plans de continuité d'activité et de gestion de crise.
Dans un autre registre, nous avons également la fraude au président (ou fraude aux faux ordres de virement, NDLR), qui est de plus en plus répandue dans le monde. Ce procédé consiste généralement à usurper l'identité d'un responsable d'entreprise en piratant son courrier électronique pour ordonner à l'un des employés de l'entreprise d'effectuer un ordre de virement, en urgence et à l'étranger, en utilisant un prétexte crédible. Là aussi, les conséquences peuvent être désastreuses pour la survie de l'entreprise.
Il n'existe pas non plus de statistiques globales qui permettent de mesurer avec exactitude les pertes liées aux cybercrimes. La majorité des chiffres qui existent émane en fait des éditeurs de logiciels de protection, et on conviendra qu'ils peuvent facilement être « orientés ». Mais une chose est certaine : le nombre de ces attaques est en progression constante et l'engouement pour le crime numérique gagne beaucoup de terrain.
Que doivent faire les entrepreneurs libanais pour se mettre à la page ?
Si le Liban n'est pas plus exposé que d'autres pays en ce qui concerne les attaques à l'échelle mondiale, son secteur bancaire reste néanmoins une cible intéressante pour les cybercriminels. Il le sera encore plus si le pays devient producteur d'hydrocarbures. Il faut aussi noter que les PME sont les plus vulnérables, parce qu'elles ne savent généralement pas comment investir dans la cybersécurité et que l'offre actuelle du marché ne leur est pas adaptée.
Il est difficile de définir un seuil minimal nécessaire pour investir dans du matériel et des logiciels de cybersécurité – la facture peut varier d'une entreprise à l'autre, et ce en fonction du secteur d'activité, de la taille de l'entreprise, des incidents informatiques qu'elle a déjà connus ainsi que de l'appétence aux risques de l'équipe dirigeante.
Il faut que le sujet de la sécurité numérique soit pleinement pris en compte dans la gouvernance des entreprises. Il y va de leur inévitable transformation numérique et, de surcroît, de leur survie.
Les autorités doivent également et pleinement contribuer à limiter les risques en sensibilisant l'opinion publique aux dangers de la cybercriminalité et surtout en renforçant la législation dans ce domaine. Un moyen efficace pour y parvenir serait par exemple de créer une autorité de prévention et de contrôle sur le modèle de l'Agence nationale de la sécurité des systèmes d'information en France (ANSSI).
Pour mémoire
Séminaire international sur les Big Data et la cybersécurité au Liban
Boutros Harb participe à Washington à une conférence moyen-orientale sur la cybersécurité
Nous étions en effet plusieurs spécialistes de la cybersécurité – avec Zouhair Abdallah, Élias Diab,...
commentaires (0)
Commenter