75% des organisations sondées par PwC disposaient d’un responsable de la sécurité des systèmes d’information (RSSI) en 2017. Mais 21% seulement estiment la fonction mature. Au Maroc, le RSSI est très majoritairement (62%) rattaché à la DSI, la Direction des systèmes d’information. Alors que les entreprises mondiales préfèrent le rattacher à la Direction générale

Il faut l’admettre, les cyberattaques font aujourd’hui partie du paysage, que l’on soit citoyen, entreprise privée ou administration publique. Rien ni personne n’est épargné. Avec le développement du numérique, se développent aussi les tactiques des cybercriminels.

Des menaces par logiciels malveillants externes, ils se tournent aujourd’hui vers les cyberattaques «sans fichier», comme CactusTorch, qui exécute des scripts simples et shellcode en mémoire via des outils déjà installés sur des ordinateurs. Dans son dernier rapport, McAfee Labs parle d’une augmentation de 432%, entre 2017 et 2018, de ces cyberattaques «sans fichier». Le Ponemon Institute enfonce le clou en affirmant qu’elles ont 10 fois plus de chances de réussir que les attaques traditionnelles.

Les chercheurs de Kaspersky Lab prévoient pour 2019 que les auteurs de menaces vont redoubler d’imagination pour lancer des attaques dévastatrices. Son chercheur en sécurité, Vicente Diaz, affirme que «en 2018, les acteurs malveillants ont suscité des changements de paradigme.

Le phénomène loin d’être maîtrisé

Le public est davantage sensibilisé et les investigations des experts ont mis en évidence de vastes cyber-opérations, faisant la une des médias partout dans le monde. Cela aura pour effet de transformer le paysage du cyberespace, tandis que les auteurs malveillants de menaces complexes vont rechercher le silence et l’obscurité pour mener leurs attaques de façon à accroître leurs chances de succès. Cette évolution rendra très improbable la découverte de nouvelles opérations élaborées de grande ampleur, faisant ainsi résolument franchir un nouveau palier à l’art de la détection et de l’attribution des menaces»

Le Maroc est outillé sur le plan réglementaire, avec des cursus de formation dédiés et des campagnes de sensibilisation du grand public. Pourtant, le phénomène est loin d’être maîtrisé. Particulièrement au sein des PME et TPE qui peinent à suivre en termes de budgets alloués à la sécurité des systèmes d’information et de protection des données personnelles et professionnelles.

«Les banques, très dépendantes des SI, sont les plus avancées sur ce sujet. Elles sont à la fois les plus matures, les plus exposées et les plus soumises à la pression réglementaire», observe Nabil Kettani, associé digital et expérience chez PwC au Maroc.

Mais il ajoute que «si les bonnes pratiques existent s’agissant de la sécurité, il n’y a pas de science exacte». Encore selon Kaspersky, le Maroc était, en juin 2018, le 3e pays à enregistrer le plus d’attaques sur les ordinateurs des systèmes de contrôle industriel (ICS), après le Vietnam et l’Algérie.

Le canal d’infection le plus important étant interne à l’entreprise. Autre étude permettant de dessiner le paysage national, celle signée Ausim/Dataprotect, qui montre que la majorité des organisations consultées ont 1, voire 2 employés affecté(s) à la cybersécurité. Et ce, à temps partiel. Dans bien des cas, le RSSI est un employé des TI à qui on a affecté la cybersécurité comme responsabilité additionnelle.

S’agissant du recrutement, la moitié des chefs d’entreprise sondés expriment des difficultés à trouver des profils adéquats, quand 25% parlent de salaires exigés trop élevés. Cette question renvoie à celle plus fondamentale de l’engagement de l’organisation vis-à-vis de la sécurité, encore trop considérée comme un poste de dépenses parmi d’autres.

Résultat, «depuis deux ans, nous assistons à un exode des cerveaux marocains. La pression de la demande étrangère est forte, d’autant que la quantité de nos ingénieurs formés reste relativement faible», explique Kettani. Reste donc à voir évoluer la culture de l’entreprise vers un impératif: le «security by design», ou en français, l’intégration de la sécurité dès la phase de conception.

Joséphine ADAM