Connexion
Les cyberattaques, désormais récurrentes et d’une inquiétante similitude, frappent tour à tour des sites d’organismes privés et publics marocains (ministères, agences, offices...), sans compter ceux qui ont préféré le taire ou encore décidé par eux-mêmes de restreindre l’accès ou suspendre des services à distance.
La multiplication de ces attaques amène à se poser la question sur la prise de conscience de nos dirigeants du caractère structurel, évolutif et à fort impact négatif de ces menaces, et sur la robustesse et l’efficience des dispositifs de protection des données et les plans de continuité des activités de nos entreprises et administrations. Ce questionnement est légitime au regard des impératifs ci-après :
Selon le Global Risk report du World Economic Forum, les principales menaces identifiées par les chefs des plus grandes entreprises du monde sont en premier lieu les risques économiques (ralentissement, récession, instabilité des marchés) et en deuxième position les cybermenaces. Quelques statistiques :
• Phishing (technique consistant à tromper la victime pour obtenir son mot de passe ou pour extorsion de fonds en se passant pour un tiers de confiance comme la banque) : 3,4 milliards d’e-mails malveillants envoyés par jour.
• Ransomware (piratage des données ou leur cryptage avec demande de rançon pour les restaurer ou les restituer) : plus de 600.000 attaques par mois (soit ~20.000/jour).
• Attaques DDoS (envoi de requêtes par millions jusqu’à faire tomber le système) : des milliers d’incidents quotidiens.
• Malwares (installation d’un code malveillant) : plus de 560.000 nouveaux logiciels malveillants détectés chaque jour.
La cybercriminalité a désormais sa Marketplace (le Darkweb) où se négocient des deals. Des bases de données de cartes bancaires, d’adresses e-mails et des fichiers de toutes natures s’y négocient en cryptomonnaies. Il y a même des contrats lancés par des organisations avec des sous-traitants qui s’activent. Rien n’empêche par exemple un État ou une organisation de lancer un contrat sur des organismes d’un État ennemi cible, soit pour le paralyser, soit pour ralentir ou empêcher ses projets, discréditer ses dirigeants, etc. Nous sommes face à un nouvel univers où des guerres d’un tout autre genre sont menées.
La principale conclusion est que la cybercriminalité est une menace très sérieuse, permanente, évolutive, systémique et systématique, opérée par des spécialistes aussi forts que ceux qui sont censés protéger leurs systèmes et leurs données. Le corollaire de cette situation est qu’on ne peut pas baisser la garde et qu’il faut rester attentif en permanence aux nouvelles menaces.
Le point inquiétant est que beaucoup d’entités marocaines semblent avoir des failles béantes dans leurs systèmes sans qu’elles n’aient pris la peine de les sécuriser. Et avec l’interconnexion des établissements pour l’échange des données, une faille chez l’un peut compromettre tout l’écosystème. De plus, chez certaines administrations et entreprises, la culture de la sécurité n’est pas ancrée. Il en va ainsi de la mise en place par leur personnel de mots de passe «naïfs», de l’accès à des connexions WiFi gratuites ou non sécurisées dans des lieux publics (cafés, aéroports, etc.), de la confusion entre antivirus et protection des systèmes.
Or la technique des cybercriminels est de pénétrer un système via une faille dans un device ou chez un utilisateur, comme une cellule cancéreuse silencieuse, de s’y installer pendant des semaines, voire des mois, le temps de «siphonner» le maximum de données, de dupliquer l’architecture du système, de comprendre la valeur des données pour l’entreprise, ses points de vulnérabilité, en somme faire un diagnostic criminel. Les experts en cybersécurité parlent du principe «72» qui signifie que si une intrusion n’est pas détectée dans les 72 heures, le cybercriminel a toutes les chances de prendre le contrôle de tout le système d’une entité quelle qu’elle soit. Vient ensuite l’étape de la méthode à utiliser pour extorquer le maximum de revenu et le timing du déclenchement de l’action. Il y a toute une panoplie de choix : crypter toutes les données, les exporter et les revendre si elles ont une valeur marchande, les publier, etc.
Lorsque c’est une attaque commanditée par une puissance étrangère, dont le but n’est pas d’en tirer un bénéfice pécuniaire, ce sera la divulgation de données sensibles, confidentielles, de plusieurs entités, distillées au compte-goutte avec un savant dosage sur la durée, au point de créer une psychose et saper la confiance des populations dans toute l’architecture informatique de l’État concerné, voire dans ses institutions. La question est d’autant plus sensible que sont touchées les catégories de population formant les élites, celles qui ont le plus recours aux services à distance ou digitaux à valeur ajoutée comme les personnes bancarisées, les propriétaires, ceux à revenu déclaré comme les salariés, etc.
Comme le rappelle l’adage, une chaîne n’est forte que par son maillon le plus faible. Les cybercriminels savent que de grandes entreprises sont à la pointe en matière de cybersécurité et sont inattaquables de front. Ils vont alors chercher leurs points de vulnérabilité. Ces points de vulnérabilité vont se trouver chez ceux qui sont appelés «les latéraux». Ce sera une entreprise qui traite la paie d’un grand groupe. C’est par le biais de ce sous-traitant, peu protégé mais qui a un accès aux systèmes de cette grande entreprise, que le cybercriminel va pénétrer ! Dans le cas de l’Agence nationale de la conservation foncière, il a suffi de s’attaquer aux quelque 600 notaires pour avoir des centaines de milliers de contrats notariés et de certificats de propriété. C’est ce qui est appelé une porte dérobée. La protection d’une entité sensible ne se cantonne jamais à sa propre organisation, elle doit toucher tout son écosystème, c’est-à-dire toute entité qui a un accès à tout ou partie de ses systèmes.
La question à un million de dollars est : combien de nos entreprises ont déjà fait l’objet d’une intrusion silencieuse avec vol de données sans qu’elles s’en rendent compte et que les hackers n’ont pas encore déclenchée ? Combien d’entre elles, à l’heure où cette tribune est rédigée, sont sous le coup d’une intrusion silencieuse et leurs données rapatriées à chaque fin de journée dans les serveurs des hackers ? Tout device (smartphone, PC, tablette, serveur, etc.) qui peut accéder à distance à un système est une menace et doit faire l’objet d’un protocole de surveillance et d’alerte. Les deux milliards d’objets connectés comme les voitures autonomes, les feux-rouges des villes, les caméras de vidéo-surveillance, les rideaux du salon que l’on actionne à distance, sont autant de menaces potentielles.
À cela s’ajoute un besoin pressant de formation continue et de sensibilisation, tant pour les cadres dirigeants que pour les utilisateurs au quotidien. Car un système, aussi sécurisé soit-il, peut être contourné par une simple imprudence humaine. La cybersécurité, avant d’être une affaire d’algorithmes, est d’abord une question de comportements.
Il faudrait impérativement élargir le spectre à leurs filiales et participations, leurs sous-traitants et tout l’écosystème autour, qui peut constituer une cybermenace, y compris les fameux latéraux. Il est temps de considérer la cyberdéfense comme un métier à part entière, avec ses femmes et ses hommes, sa gouvernance, ses outils, ses tableaux de bord, ses audits, etc. Il est temps que les conseils d’administration mettent à l’ordre du jour de leur réunions périodiques un point relatif à la cybersécurité comme risque opérationnel majeur.
Il est temps de repenser l’architecture du dispositif global de la cyberdéfense nationale en érigeant celle-ci au statut d’enjeu de sécurité nationale et en redéfinissant les rôles respectifs de la Direction générale de la sécurité des systèmes d’information (DGSSI), de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et du ministère de la Transition numérique et pourquoi pas, de créer une agence nationale de la cyberdéfense tout en harmonisant les complémentarités entre les différents acteurs. La question des ressources et des moyens se pose avec insistance. De quelle cybersécurité avons-nous besoin, auquel cas, quels moyens déployer pour ?
Il est temps de revoir la loi 05-20 sur la cybersécurité en rendant obligatoire la déclaration à une instance ad hoc (la DGSSI par exemple) de toute attaque, aboutie ou non, afin de cartographier les menaces et partager les alertes. Certaines organisations, les banques notamment, ne veulent pas que les attaques dont elles font l’objet soient connues du public, de peur pour leur réputation. Il faudrait qu’un mécanisme d’alerte et de remontée puisse être mis en place.
Si toutes ces mesures sont déjà en cours, nous ne pouvons que les applaudir. Mais si tel n’est pas le cas, alors il y a urgence. Car face à une menace aussi systémique, aussi silencieuse qu’efficace, s’installer dans le déni ou l’inaction reviendrait, littéralement, à se tirer une balle dans les pieds. Il ne s’agit plus d’un simple risque technique, mais d’un enjeu de souveraineté, de confiance et de crédibilité. La cybersécurité ne peut plus être reléguée au second plan. Elle doit devenir un réflexe collectif, une culture partagée, une priorité stratégique. Car dans cette guerre invisible, ce n’est pas la technologie qui fait la différence, mais notre capacité à anticiper, coopérer et résister.
La multiplication de ces attaques amène à se poser la question sur la prise de conscience de nos dirigeants du caractère structurel, évolutif et à fort impact négatif de ces menaces, et sur la robustesse et l’efficience des dispositifs de protection des données et les plans de continuité des activités de nos entreprises et administrations. Ce questionnement est légitime au regard des impératifs ci-après :
- En tant qu’usager, client ou bénéficiaire de prestations, tout citoyen est en droit de se préoccuper du degré de protection de ses données. Son salaire, son dossier médical, ses titres de propriété fonciers ou de véhicules, ses antécédents judiciaires, les notes scolaires de ses enfants, son compte bancaire... sont-ils en lieu sûr ? Ceux qui en sont les dépositaires ont-ils pris toutes les dispositions raisonnables pour les protéger ?
- En tant que citoyen, ces intrusions et divulgations n’entachent-ils pas la confiance dans les structures de l’État et sa capacité à protéger la société contre de tels actes malveillants ?
- Quid des enjeux sécuritaires liés à la protection des hauts responsables et des infrastructures sensibles et vitales ?
Comprendre la cybercriminalité
Le fameux cliché du hacker, photographié de dos, cachant sa tête sous un capuchon, pianotant seul face à un PC, n’est qu’une piètre caricature de la cybercriminalité telle qu’elle sévit aujourd’hui. Ce sont maintenant des organisations structurées, transnationales avec des plans d’action, des modes opératoires sophistiqués et un engineering d’intrusion et de piratage éprouvé. Le préjudice causé par la cybercriminalité dans le monde a atteint 9.500 milliards de dollars en 2024 et devrait atteindre 10.500 milliards en 2025. Ceci est favorisé par la sophistication des menaces, grâce ou plutôt à cause notamment de la mauvaise utilisation de l’IA à des fins criminelles et la multiplication des surfaces d’attaques (IoT ou internet des objets, le cloud et la 5G).Selon le Global Risk report du World Economic Forum, les principales menaces identifiées par les chefs des plus grandes entreprises du monde sont en premier lieu les risques économiques (ralentissement, récession, instabilité des marchés) et en deuxième position les cybermenaces. Quelques statistiques :
• Phishing (technique consistant à tromper la victime pour obtenir son mot de passe ou pour extorsion de fonds en se passant pour un tiers de confiance comme la banque) : 3,4 milliards d’e-mails malveillants envoyés par jour.
• Ransomware (piratage des données ou leur cryptage avec demande de rançon pour les restaurer ou les restituer) : plus de 600.000 attaques par mois (soit ~20.000/jour).
• Attaques DDoS (envoi de requêtes par millions jusqu’à faire tomber le système) : des milliers d’incidents quotidiens.
• Malwares (installation d’un code malveillant) : plus de 560.000 nouveaux logiciels malveillants détectés chaque jour.
La cybercriminalité a désormais sa Marketplace (le Darkweb) où se négocient des deals. Des bases de données de cartes bancaires, d’adresses e-mails et des fichiers de toutes natures s’y négocient en cryptomonnaies. Il y a même des contrats lancés par des organisations avec des sous-traitants qui s’activent. Rien n’empêche par exemple un État ou une organisation de lancer un contrat sur des organismes d’un État ennemi cible, soit pour le paralyser, soit pour ralentir ou empêcher ses projets, discréditer ses dirigeants, etc. Nous sommes face à un nouvel univers où des guerres d’un tout autre genre sont menées.
La principale conclusion est que la cybercriminalité est une menace très sérieuse, permanente, évolutive, systémique et systématique, opérée par des spécialistes aussi forts que ceux qui sont censés protéger leurs systèmes et leurs données. Le corollaire de cette situation est qu’on ne peut pas baisser la garde et qu’il faut rester attentif en permanence aux nouvelles menaces.
Le point inquiétant est que beaucoup d’entités marocaines semblent avoir des failles béantes dans leurs systèmes sans qu’elles n’aient pris la peine de les sécuriser. Et avec l’interconnexion des établissements pour l’échange des données, une faille chez l’un peut compromettre tout l’écosystème. De plus, chez certaines administrations et entreprises, la culture de la sécurité n’est pas ancrée. Il en va ainsi de la mise en place par leur personnel de mots de passe «naïfs», de l’accès à des connexions WiFi gratuites ou non sécurisées dans des lieux publics (cafés, aéroports, etc.), de la confusion entre antivirus et protection des systèmes.
Or la technique des cybercriminels est de pénétrer un système via une faille dans un device ou chez un utilisateur, comme une cellule cancéreuse silencieuse, de s’y installer pendant des semaines, voire des mois, le temps de «siphonner» le maximum de données, de dupliquer l’architecture du système, de comprendre la valeur des données pour l’entreprise, ses points de vulnérabilité, en somme faire un diagnostic criminel. Les experts en cybersécurité parlent du principe «72» qui signifie que si une intrusion n’est pas détectée dans les 72 heures, le cybercriminel a toutes les chances de prendre le contrôle de tout le système d’une entité quelle qu’elle soit. Vient ensuite l’étape de la méthode à utiliser pour extorquer le maximum de revenu et le timing du déclenchement de l’action. Il y a toute une panoplie de choix : crypter toutes les données, les exporter et les revendre si elles ont une valeur marchande, les publier, etc.
Lorsque c’est une attaque commanditée par une puissance étrangère, dont le but n’est pas d’en tirer un bénéfice pécuniaire, ce sera la divulgation de données sensibles, confidentielles, de plusieurs entités, distillées au compte-goutte avec un savant dosage sur la durée, au point de créer une psychose et saper la confiance des populations dans toute l’architecture informatique de l’État concerné, voire dans ses institutions. La question est d’autant plus sensible que sont touchées les catégories de population formant les élites, celles qui ont le plus recours aux services à distance ou digitaux à valeur ajoutée comme les personnes bancarisées, les propriétaires, ceux à revenu déclaré comme les salariés, etc.
Comme le rappelle l’adage, une chaîne n’est forte que par son maillon le plus faible. Les cybercriminels savent que de grandes entreprises sont à la pointe en matière de cybersécurité et sont inattaquables de front. Ils vont alors chercher leurs points de vulnérabilité. Ces points de vulnérabilité vont se trouver chez ceux qui sont appelés «les latéraux». Ce sera une entreprise qui traite la paie d’un grand groupe. C’est par le biais de ce sous-traitant, peu protégé mais qui a un accès aux systèmes de cette grande entreprise, que le cybercriminel va pénétrer ! Dans le cas de l’Agence nationale de la conservation foncière, il a suffi de s’attaquer aux quelque 600 notaires pour avoir des centaines de milliers de contrats notariés et de certificats de propriété. C’est ce qui est appelé une porte dérobée. La protection d’une entité sensible ne se cantonne jamais à sa propre organisation, elle doit toucher tout son écosystème, c’est-à-dire toute entité qui a un accès à tout ou partie de ses systèmes.
La question à un million de dollars est : combien de nos entreprises ont déjà fait l’objet d’une intrusion silencieuse avec vol de données sans qu’elles s’en rendent compte et que les hackers n’ont pas encore déclenchée ? Combien d’entre elles, à l’heure où cette tribune est rédigée, sont sous le coup d’une intrusion silencieuse et leurs données rapatriées à chaque fin de journée dans les serveurs des hackers ? Tout device (smartphone, PC, tablette, serveur, etc.) qui peut accéder à distance à un système est une menace et doit faire l’objet d’un protocole de surveillance et d’alerte. Les deux milliards d’objets connectés comme les voitures autonomes, les feux-rouges des villes, les caméras de vidéo-surveillance, les rideaux du salon que l’on actionne à distance, sont autant de menaces potentielles.
La cybersécurité ne s’improvise pas
Une erreur courante chez beaucoup d’organisations consiste à confier la cybersécurité au responsable des systèmes d’information. C’est comme charger un pilote d’avion de gérer en même temps la tour de contrôle ! Cumuler les deux fonctions comporte des arbitrages parfois fatals. De plus, les directions générales ne sont pas toujours au fait de ces aspects très techniques et se contentent souvent de déclarations apaisantes.À cela s’ajoute un besoin pressant de formation continue et de sensibilisation, tant pour les cadres dirigeants que pour les utilisateurs au quotidien. Car un système, aussi sécurisé soit-il, peut être contourné par une simple imprudence humaine. La cybersécurité, avant d’être une affaire d’algorithmes, est d’abord une question de comportements.
Urgence signalée
Face à l’impossibilité de mesurer le niveau d’exposition de nos fleurons industriels, financiers, sociétés d’État, ministères et autres organismes, puisqu’ils ont déjà pu être attaqués et leurs données volées, il est plus qu’urgent de faire un diagnostic total de ces entités par une instance tierce ou une task force, en répondant à une question toute simple : au vu de l’état de leur dispositif de protection cyber, ont-elles pu faire l’objet d’une intrusion sans qu’elles s’en rendent compte ? Il faut ensuite cartographier ces entités selon des critères comme par exemple : risque très élevé d’intrusion, risque probable, risque moyen, risque faible.Il faudrait impérativement élargir le spectre à leurs filiales et participations, leurs sous-traitants et tout l’écosystème autour, qui peut constituer une cybermenace, y compris les fameux latéraux. Il est temps de considérer la cyberdéfense comme un métier à part entière, avec ses femmes et ses hommes, sa gouvernance, ses outils, ses tableaux de bord, ses audits, etc. Il est temps que les conseils d’administration mettent à l’ordre du jour de leur réunions périodiques un point relatif à la cybersécurité comme risque opérationnel majeur.
Il est temps de repenser l’architecture du dispositif global de la cyberdéfense nationale en érigeant celle-ci au statut d’enjeu de sécurité nationale et en redéfinissant les rôles respectifs de la Direction générale de la sécurité des systèmes d’information (DGSSI), de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et du ministère de la Transition numérique et pourquoi pas, de créer une agence nationale de la cyberdéfense tout en harmonisant les complémentarités entre les différents acteurs. La question des ressources et des moyens se pose avec insistance. De quelle cybersécurité avons-nous besoin, auquel cas, quels moyens déployer pour ?
Il est temps de revoir la loi 05-20 sur la cybersécurité en rendant obligatoire la déclaration à une instance ad hoc (la DGSSI par exemple) de toute attaque, aboutie ou non, afin de cartographier les menaces et partager les alertes. Certaines organisations, les banques notamment, ne veulent pas que les attaques dont elles font l’objet soient connues du public, de peur pour leur réputation. Il faudrait qu’un mécanisme d’alerte et de remontée puisse être mis en place.
Si toutes ces mesures sont déjà en cours, nous ne pouvons que les applaudir. Mais si tel n’est pas le cas, alors il y a urgence. Car face à une menace aussi systémique, aussi silencieuse qu’efficace, s’installer dans le déni ou l’inaction reviendrait, littéralement, à se tirer une balle dans les pieds. Il ne s’agit plus d’un simple risque technique, mais d’un enjeu de souveraineté, de confiance et de crédibilité. La cybersécurité ne peut plus être reléguée au second plan. Elle doit devenir un réflexe collectif, une culture partagée, une priorité stratégique. Car dans cette guerre invisible, ce n’est pas la technologie qui fait la différence, mais notre capacité à anticiper, coopérer et résister.
