De la cybersécurité dépend la survie des entreprises. N’GANZA Christian Hermann, directeur des infrastructures, des systèmes d’information et des télécommunications à GS2E, a accordé une interview exclusive à Digitalmag.ci. Les erreurs à ne pas commettre, les risques critiques et les solutions accessibles…
En termes de cybersécurité, quelles sont les erreurs à ne pas commettre ?
La principale erreur à ne pas commettre, c’est de penser que la cybersécurité, la protection des actifs des entreprises, n’est pas utile. On entend certains dire : « Ça n’arrive qu’aux autres ». D’autres disent : « Nous avons un minimum en termes de sécurité, donc, on n’a pas besoin d’investir beaucoup d’argent dans la cybersécurité ». Mais, ce qu’on entend le plus, c’est même ce qui est répandu en entreprises, c’est : « Est-ce que la cybersécurité nous rapporte quelque chose ? »
Il est important de comprendre que la cybersécurité n’est pas forcément rentable. Mais, il faut se poser la question au sens des assurances : pourquoi est-ce qu’aujourd’hui on prend une assurance ? On ne prend pas une assurance parce qu’on est malade, mais pour anticiper, en cas de sinistre. C’est pareil pour la cybersécurité. On investit dans la cybersécurité parce qu’on veut prévenir un dégât potentiel.
Comment une PME peut-elle s’engager dans la démarche de cybersécurité sans disposer de ressources ?
Une PME ne disposant pas d’assez de ressources doit d’abord démarrer par ce qu’on appelle une approche par évaluation des risques. Il faut savoir quels sont vos risques. Après l’évaluation des risques qui aboutit à la cartographie des risques, il faut faire la cartographie de vos actifs. Et sur ça, aujourd’hui, une PME peut s’offrir les services d’une entreprise, d’un consultant pour élaborer cette cartographie des risques-là. Puis, il faut démarrer de manière progressive.
On n’est pas obligé d’y aller à fond. Mais, on peut commencer par les risques les plus critiques et puis avancer tout doucement jusqu’à couvrir l’entièreté des risques.
Quelques exemples de risques les plus critiques ?
Les risques dépendent du type d’entreprise que nous avons. Quand il s’agit d’une PME qui n’offre pas des services grand public à l’extérieur, il y a une approche. Pour une PME qui offre des services grand public, il y a d’autres approches. Mais, le plus important, c’est de sécuriser l’accès au système d’information. Ensuite, si cette PME offre des services au grand public, il faut penser à sécuriser l’endroit où sont publiés ses services. Cet endroit peut être en local dans l’entreprise ou dans le cloud. Il faut s’assurer que ces services dans le cloud sont safes ou bien ces services-là, en interne, sont suffisamment sécurisés.
Quelles technologies ou outils de cybersécurité considérez-vous comme incontournables ?
Tout dépend, toujours, du type d’entreprise parce qu’il n’y a pas de solution miracle pour une entreprise à qui on va dire, pour une cybersécurité résiliente, voilà ce qu’il faut mettre en place. Tout dépend du type d’entreprise, de sa taille et des services qu’elle fournit à ses consommateurs. Donc, comme je l’ai déjà dit, il faut sécuriser l’accès, mettre des outils d’authentification à double facteur.
Le premier facteur, c’est le nom d’utilisateur et le mot de passe. Le deuxième facteur, lui, peut cumuler pass, biométrie ou quelque chose de propre à l’utilisateur. De sorte que, si le mot de passe et le nom d’utilisateur, donc le login, ont été volés, le deuxième facteur d’authentification reste assez personnel à l’utilisateur. Ainsi, il devient difficile, voire impossible, de voler ces informations qui sont disponibles sur le dark web, ce qui permet aux hackers d’avoir accès soit à la messagerie, soit au système d’information de ces entreprises. Clairement, je dirais, de manière incontournable, l’authentification à double facteur.
Après, il y a plusieurs autres d’éléments tels que l’antivirus, les EDR sur les préfixes de terminaux qui permettent d’assurer un mouvement. Aujourd’hui, on ne parle plus d’antivirus en tant que tel, on parle d’EDR, donc de « Endpoint Detection and Response ». Ce n’est plus le comportement normal d’un antivirus, c’est plutôt un équipement, une solution qui analyse le comportement de l’utilisateur et qui permet de prédire les attaques qui arrivent. Donc, l’authentification à double facteur et un EDR sont les classiques que je recommande en termes de cybersécurité.
Avez-vous observé une prise de conscience autour de la cybersécurité ?
Oui ! Aujourd’hui, ce sont des thématiques qui sont abordées dans la plupart des conférences. Cybersécurité et intelligence artificielle sont abordés lors des événements publics. Je fais, moi-même, partie du Club des DSI. Et dans ce club, la plupart des événements auxquels nous participons, la cybersécurité est abordée. Cela démontre une prise de conscience des professionnels, notamment des DSI.
Le deuxième point, c’est que, je crois qu’en 2022, un décret a été signé. C’est le décret portant référence à ce qu’on appelle le RGSSI (Référentiel Général de Sécurité des Systèmes d’Information). Ce décret a été publié par l’ARTCI. Cela témoigne également de la volonté de l’État de Côte d’Ivoire de prendre en compte la question de la cybersécurité, notamment pour ce qu’on appelle les OIV (Organisme d’Importance Vitale). Donc, je pense que, réellement, il y a une prise de conscience. Mais après, il faut passer de la prise de conscience à l’action.
Quel message pour les jeunes qui s’intéressent à la cybersécurité ?
Aujourd’hui, en termes de profil, l’expert en cybersécurité, c’est quelque chose de très rare. Donc, les jeunes qui voudraient s’intéresser à l’informatique, en général, et particulièrement à la cybersécurité, je leur dirais qu’il faut y aller. Mais, il faut savoir que c’est une activité chronophage, elle demande du temps et l’expertise est véritablement pointue. Dans certains domaines d’activité, on n’a pas besoin d’expertise pointue. Mais lorsqu’il s’agit de cybersécurité, il faut une expertise pointue.
Donc, je recommande aux jeunes qui veulent s’engager dans la cybersécurité d’être disponibles et de prendre ce métier avec sérieux et de développer leur expertise pour avoir une finesse dans ce domaine de compétences qui est fort demandé. Aujourd’hui, moi, je suis à GS2E, on va dire, CIE et SODECI. Les recrutements d’experts en cybersécurité, c’est très rare. Lorsqu’on trouve des compétences dedans, elles ne durent pas avec nous parce qu’elles sont prisées et elles partent.
Interviewée réalisée par Emmanuella Godé
