Certaines entités (mieux préparées) ont pu endiguer l’attaque ou limiter les impacts dans les meilleurs délais tandis que d’autres (non ou moins bien préparées) ont perdu des données et/ou cédé à la panique. Heureusement aucun cas n’a été signalé par le CIRT au BF, donc plus de peur que de mal. Mais cette énième cyberattaque mondiale doit être considérée comme le dernier coup de semonce pour notre pays et nos entreprises qui exploitent des systèmes informatiques et les inciter à mettre en place le plus tôt possible un programme de cyber sécurité.

La sécurité économique et nationale de notre pays repose sur la fourniture des services critiques. Ces derniers sont assurés grâce à des infrastructures critiques dont certaines sont pilotées à l’aide de systèmes informatiques (comme le transport de l’électricité, les centrales électriques, les télécoms, etc.). Les menaces utilisant les vulnérabilités de ces systèmes pour les empêcher de fonctionner correctement sont nombreuses et multiformes. Malgré cette situation, la délivrance de ces services doit être garantie pour permettre à notre Etat de fonctionner. Cette garantie passe nécessairement par la protection, le maintien en condition opérationnelle des infrastructures critiques ainsi que l’augmentation du niveau de leur résilience.

Du fait, de l’utilisation des systèmes informatiques, cette protection doit obligatoirement prendre en compte l’aspect de la cyber sécurité car il est clairement établi qu’une cyberattaque pourrait causer les mêmes effets néfastes qu’une attaque militaire. Par exemple, en décembre 2015, en Ukraine, une cyberattaque a interrompu durant plusieurs heures la fourniture de l’énergie sur une partie de son réseau électrique malgré la protection militaire des centrales électriques. Cet exemple n’est pas unique car bien d’autres d’incidents ont déjà eu lieu dans plusieurs pays et ont concerné différents secteurs (eau, énergie, télécoms, sites stratégiques, etc.).

La mise en place d’un programme de cyber sécurité pour protéger nos infrastructures n’est donc plus à démontrer. Elle a besoin nécessairement de l’implication forte des autorités de notre Etat. Dans certains pays comme les USA, l’amélioration de la cyber sécurité des infrastructures critiques a fait l’objet d’un « Executive Order », signé par le Président Barak Obama le 12 février 2013. Cela signifie que leur programme de cyber sécurité n’est pas l’apanage des seuls professionnels et revêt une importance vitale pour le pays.

Par conséquent, pour garantir notre sécurité nationale et économique et affirmer notre souveraineté, il est temps de développer notre outil stratégique avec l’implication des hautes autorités. Il permettra de définir, élaborer et implémenter les mesures organisationnelles et techniques pour prévenir, détecter ou répondre à une cyberattaque ciblant nos services critiques et établir un cadre de coopération indispensable avec d’autres entités.

Quant aux entreprises locales, elles utilisent pratiquement toutes des systèmes informatiques connectés à internet pour diverses raisons. Internet est un environnement hostile où pullulent une multitude de menaces et d’agents de menaces, prêts à exploiter les vulnérabilités de votre système. Une cyberattaque pourrait causer des pertes financières (coût d’arrêt, coût de recherches sur les procédés), des charges élevées (coût de réparation, coût des investigations, amendes potentielles etc.), ternir leur réputation ou impacter durablement le niveau de leur business.

Ces facteurs peuvent compromettre leurs activités ou significativement leur compétitivité et leur faire perdre des parts de marchés au profit de leurs concurrents qui auront eu l’intelligence de développer un programme de cyber sécurité.

Chaque année des attaques font perdre des milliards de dollars aux entreprises et selon les enquêtes menées par le cabinet Grant Thorton, les coûts liés à la cybercriminalité étaient estimés en 2014 à :
USA : 61,3 Milliards de dollars US ;
ASIE PACIFIQUE : 81,3 Milliards de dollars US ;
EUROPE :62,3 Milliards de dollars US ;
MONDE : 315 milliards de dollars US.
Ce cabinet a également mené des sondages qui lui ont permis de déduire que si une entreprise refuse d’investir un (1) franc dans sa sécurité ; elle dépensera le quadruple pour réparer les dégâts d’une attaque.

Le groupe Harjavec (www.herjavecgroup.com), spécialiste en cyber sécurité, estime que les coûts mondiaux liés aux cyberattaques étaient de 3000 milliards de dollars en 2015 et atteindront probablement 6000 milliards de dollars par an à l’horizon 2021.

Chaque seconde, en moyenne, douze personnes (morales ou physiques) sont victimes de la cybercriminalité selon le cabinet Cybersecurity Ventures.
La moyenne annuelle d’incidents significatifs de cyber sécurité dont les entreprises font face est de quatorze(14) pour les petites entreprises, cent quatre dix-neuf(199) pour les moyennes entreprises et quatre cent soixante-six (466) pour les grandes entreprises.

A travers ces chiffres, la cybercriminalité est la plus grande menace pour chaque profession, chaque industrie et chaque entreprise dans le monde.

Au regard de ces constats, il sera difficile pour une entreprise de rester rentable (maîtrise des charges), de façon pérenne (activités sur le long terme) et ambitieuse (accroitre sa part de marchés et innover) sans un programme de cyber sécurité. Celui-ci sera, à n’en pas douter, un investissement pour protéger ses actifs et son business et sera une arme de compétitivité contre ses concurrents.

Seydou BARRA
Lead Cybersecurity Manager
Risk Manager
Email : barratum@gmail.com