« La sécurité informatique, c’est encore un thème nouveau au Maroc », regrette Aziz Rhazlani, consultant à Nevo Technologies, qui, moins qu’un problème de compétences / ressources humaines, y voit un manque de sensibilisation aux enjeux des cyber-attaques. Si Nevo Technologies prêche sans doute un peu pour sa paroisse, puisque l’entreprise distribue en Afrique du Nord et subsaharienne francophone les solutions IT de la maison mère (américaine), notamment auprès de grandes entreprises marocaines, comme l’OCP, Maroc Télécom, Inwi et de plusieurs administrations publiques, le constat est le même pour Haythem El Mir, consultant responsable de l’Afrique du Nord et Proche-Orient pour l’entreprise britannique Positive Technologies, basé à Tunis :
Depuis deux ou trois ans, les attaques ne concernent plus que des cibles dans des pays occidentaux, mais cela arrive bel et bien chez nous.
Lire aussi : Goud.ma hacké par l’Electronic Islam Army
Une menace d’autant plus préoccupante que le niveau de sécurisation est généralement bien moindre que sur les sites européens ou américains : « Le gap technologique rend nos systèmes encore plus vulnérables », s’alarme Haythem El Mir. Le risque serait d’être aussi mal considéré que l’Afrique subsaharienne, où, précise-t-il, les serveurs, connus pour être mal sécurisés, sont souvent « black listés » : «Il arrive fréquemment qu’un email envoyé depuis un serveur là-bas soit directement classé en spam ». A titre d’illustration, le Maroc et l’Algérie figurent parmi le top 10 des pays les plus vulnérables quant à une faille identifiée sur le système Windows XP, a-t-on appris en juin dernier suite à une étude réalisée par la société Kaspersky.
Wi-Fi ouvert, données à découvert
Au-delà des écarts purement technologiques, la faille réside souvent dans le facteur humain, faute de culture de la protection des données sensibles. Youssef Ziza, technical account manager à Oxyliom, se plaît à raconter les coulisses de l’IT Security Convention Maghreb 2014, où tous ces professionnels de la cyber-sécurité se sont réunis le 23 et 24 octobre à Marrakech : « Pour l’inscription, ils nous ont demandé de leur envoyer nos données personnelles, dont nos numéros de carte bancaire, sur un fichier PDF à leur renvoyer par email, sans pouvoir me dire ce que deviendraient ces données ! ».
Les spots Wi-Fi ouverts, plus fréquents au Maroc que dans nombre de pays, sont une faille de sécurité majeure. Pour Julien Pulvirenti, directeur des ventes en Afrique du Nord de Kaspersky, « le Maroc est extrêmement bien connecté, d’où des possibilités d’attaques importantes », surtout avec des réflexes de protection autant à la traîne.
« Ce n’est pas que le Maroc ait spécialement mauvaise presse », nuance-t-il. « Simplement, le taux d’équipement, en smartphone notamment, fait que la probabilité de hack augmente. » Et de citer l’arnaque à la surfacturation des abonnements GSM : en téléchargeant une application malveillante, plusieurs mobinautes ont eu la surprise de découvrir que leur facture d’abonnement 3G explosait.
Or la vulnérabilité des particuliers et celle des entreprises sont directement reliées : « La frontière entre le privé et le professionnel devient de plus en fine, parce que les terminaux comme les smartphones et les tablettes servent au deux », explique-t-il, de plus en plus de salariés emportant du travail le soir ou le week-end, et détenant sur leurs appareils des données potentiellement sensibles.
Lire aussi : Des documents confidentiels de responsables marocains fuitent sur le web
Des failles qui coûtent
Des lacunes en termes de sensibilisation qui pourraient coûter cher aux sociétés marocaines. Pour Nicolas Bouzid, directeur des ventes du français Wallix en région Mena, les entreprises marocaines vont devoir se mettre à la page : « Depuis un an, on sent que les clients deviennent intraitables sur les exigences en matière de sécurité informatique. Une société marocaine qui souhaitera être prestataire pour une entreprise française par exemple risque d’être impactée : pour obtenir un contrat, il faut désormais remplir de plus en plus de conditions. ». D’ores et déjà, pour la gestion des données bancaires d’une base client, les principales entreprises de paiement par carte de crédit se sont mises d’accord sur une norme standard de sécurité, la norme PCI DSS.
Un durcissement rapide des attentes des clients qui a son explication, pour le commercial : « C’est l’affaire Snowden qui a ouvert les yeux à plein de gens : Edward Snowden n’était pas un fonctionnaire de la NSA, c’était un prestataire externe, mais il avait accès à toute une série de documents sensibles, qu’il a fait fuiter. Et des affaires comparables, on en voit tous les jours, à moindre échelle. »
Reste que les solutions de sécurisation ont un coût, que toutes les entreprises ne pourront pas s’offrir.
Vous dites n’importe quoi, Edward Snowden n’était pas un prestataire <>