La première télé béninoise 100% Web

Cyberdéfense : bâtir une stratégie de défense basée sur une approche systémique

Expert-consultant en Stratégies et Innovations Technologiques,  Consultant en Sécurité Economique et Protection du Patrimoine, Aziz Da Silva, puisque c’est de lui qu’il s’agit vient de rendre publique sa toute nouvelle publication sur la « cyberdéfense ».

Riche de quinze ans d’expérience dans le domaine de l’Innovation Technologique (I.T), Aziz da Silva est devenu un véritable moteur d’innovation technologique adapté au contexte africain. Il a collaboré avec plusieurs grandes entreprises Américaines, Asiatiques et Africaines.

Stratège portant des compétences managériales pointues adaptées au contexte des I.T, Aziz Da Silva essai d’introduire une nouvelle vision sur la technologie, la cyber sécurité et la sécurité économique en totale rupture avec ce qui se pratique normalement en Afrique. Trouvez ci après sa nouvelle publication.

Cyberdéfense : bâtir une stratégie de défense basée sur une approche systémique :

Alors que le numérique fait partie intégrante de nos vies personnelles et professionnelles, la Cybersécurité est trop rarement prise en compte dans nos utilisations. Les nouvelles technologies, présentes à tous les niveaux de nos vies, sont pourtant porteuses de cyber-risques pesant lourdement sur les particuliers, les entreprises et les institutions.

Par exemple, les informations stratégiques et sensibles (fichiers clients, contrats, projets en cours…) peuvent être subtilisées par des pirates informatiques ou récupérées en cas de perte ou vol d’un smartphone, d’une tablette, d’un ordinateur portable. La Cybersécurité est aussi une prérogative pour la stabilité des systèmes industriels africains même si embryonnaires (création et fourniture d’électricité, distribution d’eau…). Une cyberattaque sur un système de commande industriel peut causer la perte de contrôle, l’arrêt ou la dégradation des installations.

Ces cyber-incidents ont souvent pour conséquences de graves répercussions en termes de sécurité, de pertes économiques et financières et de dégradation de l’image de l’entreprise ou de l’institution. Ces dangers peuvent cependant être énergiquement réduits par un ensemble de dispositions, peu dispendieuses, voire gratuites, et faciles à mettre en œuvre pour un particulier, une entreprise et une institution.

Les Sept principes de la Cybersécurité :

La sécurité n’est pas un acte ponctuel : c’est un processus. La protection contre les cyberattaques est devenue un enjeu décisif. Car, dans un monde de plus en plus connecté et virtualisé, elles peuvent irrémédiablement affecter des réseaux économiques et financiers, ainsi que des industries et systèmes gouvernementaux stratégiques.

Les trois types de cyberattaques :

Nous pouvons classer les cyberattaques en trois grandes catégories.

L’espionnage économique

Elle est pratiquée en générale par des services étatiques ou paraétatiques travaillant au profit d’industriels ou des états. Ils piratent les systèmes informatiques des entreprises et institutions visées pour récupérer des données classifiées confidentielles ou stratégiques. Il peut s’agir de programmes de R&D, de projets commerciaux, de futures lois de finances, de contrats ou encore des emails des personnes ressources. En général, les cyberattaques de type espionnage économique se manifestent par des actions très discrètes et plusieurs entreprises et institutions se font espionner sans s’en rendre compte, avec une conséquence directe sur leur niveau de compétitivité et leur capacité à anticiper.

Le sabotage

Elle est pratiquée en générale par des services secrets, des forces armées voire des organisations terroristes. Ces actes de guerre ou de terrorisme consistent à pénétrer des systèmes informatiques avec comme objectif de déstabiliser une industrie, un pays ou une force armée. Toutes les données stratégiques d’une nation reposant sur des systèmes informatiques sophistiqués sont théoriquement exposés aux attaques de type sabotage. Plus les systèmes sont connectés, plus ils sont susceptibles d’être victimes de «cyberarmes».

La cybercriminalité

Elle se manifeste par les fraudes bancaires, organisées par des réseaux de criminelles très organisés. D’autres phénomènes comme le rançonnage ont fait leur apparition en 2013. Ce phénomène consiste à chiffrer les données de tout ou d’une partie de du disque dur, d’un particulier, d’une PME, d’une grande entreprise ou d’une institution, pour lui exiger ensuite une somme d’argent en contrepartie du déchiffrement des données. C’est un véritable problème. En effet lorsque le système informatique est inaccessible, plus aucune donnée n’est accessible, par ricochet le système devient inopérant.

Pourquoi les cyberattaques vont bouleverser les rapports de force militaires traditionnels en Afrique ?:

L’une des particularités de la Cybermenace est qu’elle est très asymétrique, indétectable la plupart du temps et réalisable avec un minimum de moyens financiers. Avec quelques de spécialistes et quelques millions de francs, il est possible de mettre en place une véritable organisation dédiée aux cyberattaques hyper efficaces.

De plus il est ardu de localiser la provenance exacte de ces cyberattaques, qui passent la plupart du temps par des serveurs proxy (rebonds successifs sur les réseaux de différents pays) permettant ainsi soit de complexifier la trace soit de la perdre complétement. Nous avons donc affaire à une arme redoutable de nouvelle génération et peu couteuse donc accessible a des ennemis avec des moyens financiers inferieurs. Il faut comprendre qu’elle est très interconnectée et très digitalisée, donc très exposés. La Cybermenace change profondément le rapport de force traditionnel du faible au fort.

Comment les systèmes sont-ils pénétrés ?:

La pénétration des systèmes repose sur un certain nombre de principes. Le premier est le celui de l’interconnexion. Dès que votre système est connecté à un autre plus ouvert ou à Internet il accroit le risque d’être attaqué de façon exponentielle.

Ensuite il y’a le fait que les systèmes informatiques reposent sur des logiciels, malheureusement, conçu avec des vulnérabilités exploitables ensuite pour les pénétrer plus ou moins facilement.

Puis nous avons la mauvaise connaissance des systèmes utilises par les informaticiens qui conduisent à des erreurs de configuration ou de paramétrages. Ces erreurs permettent ensuite de les pénétrer très facilement.

Cyberstratégie : Comment mettre en place un dispositif de Cybersécurité/Cyberdéfense :

La Cybersécurité est un véritable processus et résulte d’une approche systémique.

Dès la phase de conception d’un nouveau système informatique, il faut mettre en place des architectures cyber-résilientes. Il s’agit de mettre en place plusieurs niveaux de sécurisation selon un concept de défense en profondeur. Première étape : la protection périmétrique et la segmentation des réseaux, qui consiste à compartimenter les systèmes afin de permettre de contenir les attaques par zone compartimentée. On réduit significativement ainsi le risque de compromettre l’ensemble du système.

Ensuite, pour traiter les attaques qui pourraient réussir à passer, il faut mettre en place des systèmes de monitoring et de détection d’intrusion sophistiqués a plusieurs niveaux. Au niveau des réseaux (équipements et transferts des données), des serveurs, des stations de travail importantes et les logiciels stratégiques (bases de données, applications métiers, services réseaux etc…). Leur objectif est de fournir une capacité opérationnelle d’anticipation et de réaction en détectant tout élément anormal et en permettant de neutraliser la menace.

Pour permettre de réduire les risques d’interruption des services en cas de réussite d’une attaque, il faut mettre en place, pour finir, un dispositif de continuité d’activité (cyber-résilience). Ce dispositif est composé de procédures de sauvegardes régulières et de restaurations des systèmes et des données ainsi que des mécanismes de redondances aussi bien au niveau des services que des équipements.

Au-delà de la mise en place des systèmes informatiques, Il faut contrôler leurs configurations et leurs modifications dans le temps via une surveillance proactive.

Il ne faut pas non plus sous-estimer la veille vulnérabilité/menace afin de se tenir au courant en temps réel des changements et réagir en conséquence le plus rapidement possible. Cela permettra de se doter d’une véritable capacité d’adaptation à l’évolution des mécanismes d’attaque et à l’apparition de nouvelles vulnérabilités.

Cyberdéfense : Bâtir une stratégie de défense basée sur une approche systémique :

Après l’annonce faite par Yahoo! sur les 500 millions de compte piratés en 2014, la Cybersécurité s’est hissée au centre des attentions chez les professionnels et les particuliers.

Si les entreprises et les particuliers savent se protéger et réagir une fois l’attaque de leurs données effectuées, beaucoup pèchent dans l’anticipation de ces attaques.

Face à la montée en puissance des cyber-risques et des cyber-menaces, les entreprises africaines commencent à renforcer la prévention et la sécurité de leur système d’information.

Cette démarche s’illustre par de nombreux colloques, des forums ainsi que des ateliers un peu partout sur le continent. D’un point de vue technologique et organisationnel, la protection des réseaux, le contrôle d’accès physique et logique, la protection des données et les plans de continuité ou de reprise d’activité commence à s’intégrer de plus en plus dans les stratégies à des niveaux élevés.

Pour autant, le risque zéro n’existe pas et les conséquences d’une cyber-attaque peuvent remettre en question la pérennité même de l’entreprise et de l’institution !

Ma note de ce mois va guider les lecteurs dans la conception d’une véritable stratégie de cyber protection à moindre cout et techniquement accessible au plus grand nombre.

Vous êtes un particulier, un journaliste, un professionnel, un fonctionnaire ou toute personne manipulant des informations pouvant devenir à tout moment compromettante, vous pouvez exploiter ce guide pour réduire de façon significative les cyber-risques et cyber-menaces auxquels vous êtes potentiellement exposés. Cette publication vous aidera à vous défendre de la surveillance, vos amis et vous-même, en utilisant des outils simples et en développant des pratiques prudentes.

Il est important de préciser que ces solutions, bien que très efficaces, ne sont pas inviolables. Le but ici est de fournir un dispositif de cyber protection globale facile à mettre en œuvre et peu couteux.

Si ces outils sont puissants, ils n’offrent pas de garantie contre la surveillance du gouvernement, surtout du fait de la possibilité de l’existence de « backdoors » encore inconnues dans le hardware et le software grand public.

Ils réduiront significativement les risques liés à la surveillance et améliorera de façon générale votre sécurité.

BENIN WEB TV
• Navigation simple et intuitive
• Ne manquez plus jamais une actualité
• Article disponible hors connexion...
• Les alertes ont été entièrement revues !
• Et bien d'autres encore...
* Application entièrement gratuite
Télécharger l'Application
4 commentaires
  1. Parades | Pearltrees

    […] Vladimir Poutine a multiplié depuis sa réélection en 2012 les lois renforçant le contrôle de l'Etat sur l'Internet sous couvert de lutte contre l'extrémisme. La doctrine a aussi pour objectif de "prévenir des conflits militaires que pourrait provoquer l'utilisation des technologies informatiques". Elle vise à "défendre la souveraineté, la stabilité politique et sociale, l'intégrité territoriale" de la Russie. Constatant la hausse de menaces informatiques contre la Russie, certaines poursuivant "des objectifs militaires", la doctrine doit permettre d'"améliorer la sécurité informatique de l'armée russe". Cyberdéfense : bâtir une stratégie de défense basée sur une approche systémique. […]

  2. […] Expert-consultant en Stratégies et Innovations Technologiques, Consultant en Sécurité Economique et Protection du Patrimoine, Aziz Da Silva, puisque c’est de lui qu’il s’agit vient de rendre publique sa…  […]

Laisser un commentaire

Votre adresse email ne sera pas publiée.