Live News

Didier Sam-Fat : «La cybermenace ne connaît pas de frontières géographiques ou morales»

Le consultant en cybersécurité et réseau, Didier Sam-Fat, a récemment été nommé président du National Cybersecurity Committee. Il exprime sa préoccupation croissante face à l’ampleur grandissante des cyberattaques à l’échelle mondiale et insiste sur la nécessité urgente de développer des mécanismes pour contrer les plans des pirates.

Publicité

Didier Samfat, on dirait que vous êtes « the right person in the right place »…
Effectivement. Ma nomination en tant que président du National Cybersecurity Committee est le résultat direct de mes compétences et de mon parcours professionnel. Titulaire d’un Doctorat en Cybersécurité effectué dans le cadre d’un projet d’IBM Zurich et obtenu en 1996 à Telecom Paris, la première Grande École spécialisée dans la digitalisation en France, je figure parmi les pionniers de ce domaine à Maurice. 

Ma carrière est jalonnée d’expériences significatives. J’ai œuvré au sein de Mauritius Telecom, pour divers grands conglomérats mauriciens, et actuellement en tant que spécialiste en audit de cybersécurité et en tests de pénétration chez Baker Tilly.

Ma position chez Baker Tilly, qui se classe parmi les dix premiers cabinets de conseil au monde, n’est pas anodine : j’ai eu l’honneur de représenter l’entreprise au sein du Baker Tilly Global Cybersecurity Board, qui est composé d’une dizaine d’experts de plusieurs pays tels que les États Unis, l’Allemagne, la France, le Royaume Unis et les Pays-Bas. Cette fonction consiste à définir les politiques de sécurité pour l’ensemble du groupe et à recommander des technologies adaptées aux 143 filiales disséminées à travers le monde. 

De plus, ma précédente présidence de l’ICT Advisory Council pour le gouvernement mauricien m’a permis d’acquérir une vision globale et stratégique, essentielle pour fédérer les efforts du secteur privé et du secteur public dans la lutte contre les cybermenaces. Cette confluence d’expériences et de responsabilités fait de moi un acteur engagé et compétent, pleinement dédié à la sécurité numérique de Maurice.

Il est essentiel que chaque citoyen comprenne son rôle dans la protection de ses données personnelles et celles des autres»

Que représente cette nomination à vos yeux ?
Cette nomination est pour moi un immense honneur, autant qu’un défi stimulant. Elle symbolise la reconnaissance de mon expertise et de mon engagement envers la cybersécurité, non seulement par mes pairs mais aussi à l’échelle nationale. Collaborer avec des membres du Comité, qui sont eux-mêmes des experts éminents dans leurs domaines respectifs, représente une opportunité inestimable d’échange de savoir et d’expériences diversifiées. Ces interactions enrichissantes sont fondamentales pour élaborer des stratégies de cybersécurité innovantes et efficaces au profit de notre nation.

Au niveau professionnel, cette nomination introduit un nouveau défi passionnant. Elle me demande d’élargir ma perspective habituelle de consultant pour les organisations privées, afin de penser la cybersécurité à une échelle beaucoup plus vaste : celle de l’ensemble du pays. Cela implique de développer des approches globales et inclusives, adaptées aux spécificités et aux besoins de Maurice, et de recommander leur mise en œuvre effective. Cette responsabilité, tout en étant ardue, est motivante, car elle offre l’opportunité de contribuer de manière significative à la protection et au renforcement de la résilience numérique de notre nation.

Quels sont les grands projets que vous envisagez de mettre sur pied ?
Notre ambition principale est d’ancrer le principe de « Cybersecurity by Design » dans l’ensemble des sphères constituant la nation mauricienne. Cette approche holistique prendra en compte les quatre piliers fondamentaux : les individus (People), les processus (Processes), les politiques (Policies) et les technologies (Technologies). Pour mener à bien cette mission, nous envisageons plusieurs grands projets, articulés autour des questions cruciales suivantes : 

(a)    Formation et sensibilisation : Nous comptons initier un vaste programme de formation et de sensibilisation à la cybersécurité, destiné à l’ensemble de la population mauricienne, enfants et adultes inclus. L’objectif est de cultiver une compréhension profonde des risques liés aux cyberattaques et de développer les compétences nécessaires pour s’en protéger efficacement.

a)    Protection des infrastructures critiques : Voir dans quelle mesure on pourrait entreprendre un audit complet de la sécurité des infrastructures critiques du pays, telles que les réseaux d’électricité, d’eau, de télécommunication, le métro, l’aéroport, les hôpitaux, etc. Cela nous permettra d’identifier les vulnérabilités existantes et de renforcer les mesures de protection contre toute forme d’attaque potentielle.

b)    Vérification de la sécurité des équipements et logiciels : Nous recommanderons une évaluation rigoureuse de la sécurité des équipements et logiciels en usage au sein des institutions publiques et privées, pour détecter et corriger les failles de sécurité qui pourraient être exploitées par des acteurs malveillants.

c)    Planification de la réponse aux incidents : La recommandation de pratiques internationales en termes de protocole de réponse immédiate et efficace en cas de cyberattaque est essentielle. Il s’agira de connaître à l’avance les étapes à suivre pour contenir l’attaque, évaluer les dommages, restaurer les systèmes affectés et communiquer de manière transparente avec le public.

Cela signifie que des garde-fous seront placés dans les institutions telles que le ministère de la Santé et du Bien-être, ou encore Mauritius Telecom ?
La mise en place de garde-fous au sein des institutions clés en général est indéniablement une priorité dans notre démarche de sécurisation du cyberespace mauricien. Toutefois, il est primordial de reconnaître que chaque secteur présente des défis et complexités uniques, rendant l’application de telles mesures à la fois longue et exigeante. 

Avant d’engager des actions concrètes, une évaluation exhaustive de l’état actuel des pratiques de cybersécurité au sein de chaque domaine est indispensable. Cette démarche nous permettra de comprendre les spécificités sectorielles et d’élaborer un cadre de cybersécurité sur mesure, adapté aux besoins et aux risques inhérents à chaque domaine d’activité. 

Le secteur financier mauricien illustre déjà un modèle de réussite en matière de cybersécurité. Grâce aux directives émises par la Banque de Maurice et la Financial Services Commission, les institutions financières, y compris les banques, les sociétés de gestion offshore et les bureaux de change, sont tenues de se conformer à des lignes directrices strictes. Celles-ci comprennent la réalisation régulière d’audits de sécurité, de tests de pénétration, et d’évaluations techniques de vulnérabilité, le tout aligné sur les normes internationales.

Notre objectif est d’étendre cette rigueur et cette méthodologie à d’autres secteurs vitaux, en adaptant chaque cadre de cybersécurité aux spécificités de chaque domaine. Cela implique une collaboration étroite avec les acteurs concernés pour assurer une mise en œuvre efficace et durable, tout en veillant à ce que nos initiatives soient évolutives et capables de s’adapter aux menaces cybernétiques en constante évolution.

Avec l’essor des achats en ligne, la sécurisation des comptes et de la carte de crédit devient cruciale»

Quels sont les défis qui nous attendent étant donné la démocratisation et l’accessibilité de l’Internet ?
L’avènement de l’Internet accessible à tous a, sans aucun doute, transformé notre société, offrant des opportunités inédites de connexion, d’apprentissage et d’innovation. Cependant, cette ouverture a également engendré une expansion sans précédent de la surface d’attaque accessible aux cybercriminels. 

Les hackers, armés de temps, de ressources et d’une détermination sans faille, représentent une menace constante. Comme le souligne l’adage, les professionnels de la cybersécurité doivent toujours être vigilants et infaillibles, tandis que les hackers n’ont besoin de réussir qu’une seule fois pour causer des dommages considérables. 

Dans ce contexte, les individus se trouvent également exposés aux risques au même titre que les organisations, voire plus étant donné leur moindre capacité à se défendre. Ce phénomène souligne l’importance cruciale de la sensibilisation et de la formation en matière de cybersécurité pour le grand public.

Sans oublier le fait que des pirates nous menacent, surtout que les cyberattaques sont une réalité…
Les cyberattaques restent une menace omniprésente et croissante, illustrée par des statistiques récentes qui soulignent l’ampleur et la diversité des attaques. En 2023, nous avons observé une augmentation significative du paiement moyen des rançons dues aux attaques par « ransomware », passant de $ 812 380 en 2022 à $ 1 542 333 en 2023. Le nombre de victimes de « ransomware » en mars 2023 a presque doublé par rapport à l’année précédente, soulignant l’escalade continue des cybermenaces. 

En plus des attaques par « ransomware », les statistiques révèlent que près de la moitié du trafic internet en 2022 provenait de bots, avec une augmentation de 5,1 % par rapport à 2021, ce qui indique une activité malveillante importante en ligne. De plus, 94 % des logiciels malveillants sont livrés par courriel, ce qui souligne l’importance de la sensibilisation et de la formation en matière de sécurité des emails pour les utilisateurs. 

Les attaques visant les applications Microsoft Office représentent 70 % des exploitations les plus courantes, démontrant la nécessité d’une vigilance constante et de mises à jour régulières des logiciels pour contrer les vulnérabilités. En outre, les tentatives de « phishing » restent un vecteur d’attaque majeur, avec 57 % des organisations faisant état de tentatives hebdomadaires ou quotidiennes. 

Ces statistiques mettent en lumière non seulement la sophistication croissante des cyberattaques mais aussi la nécessité impérieuse pour les organisations de toutes tailles d’adopter des mesures de cybersécurité robustes et proactives. La formation continue, la mise à jour régulière des systèmes, l’adoption de politiques de sécurité strictes et la sensibilisation des utilisateurs sont des éléments clés pour naviguer dans ce paysage menaçant.

Comment prendre les taureaux par les cornes ?
La lutte contre les cybermenaces nécessite une stratégie robuste, impliquant un engagement et un effort soutenus sur plusieurs années. Comme vous l’avez justement souligné, l’éducation et la formation représentent les premiers pas cruciaux dans cette bataille de longue haleine. Le cœur de notre stratégie à court terme repose sur l’élaboration et la mise en œuvre d’un programme de formation en cybersécurité, spécifiquement adapté aux groupes les plus vulnérables de notre société : les enfants et les personnes âgées.

Ce programme devrait viser à démystifier la cybersécurité en éliminant le jargon technique, rendant le contenu accessible et pertinent pour chaque public. L’accent sera mis sur les bonnes pratiques et les précautions élémentaires, telles que l’utilisation de mots de passe robustes et uniques, l’importance de l’authentification à deux facteurs, la capacité à identifier les courriels frauduleux, ainsi que la nécessité de limiter la diffusion d’informations personnelles sur les réseaux sociaux.

Par cette initiative, nous visons non seulement à renforcer les connaissances individuelles en matière de cybersécurité, mais aussi à développer une culture de vigilance et de responsabilité numérique à travers toute la population. Il est essentiel que chaque citoyen comprenne son rôle dans la protection de ses données personnelles et celles des autres, contribuant ainsi à une société numérique plus sûre pour tous.

La disponibilité du Wi-Fi et une couverture 4G étendue contribuent à une large surface d’attaque potentielle pour les cybermenaces»

Vous être toujours d’avis qu’il faut redouter non seulement les pirates étrangers que les pirates mauriciens ?
Votre perspective met en évidence une réalité incontournable de la cybersécurité contemporaine : la menace ne connaît pas de frontières, qu’elles soient géographiques ou morales. La facilité d’accès à des ressources et outils de piratage sur Internet a effectivement nivelé le terrain de jeu, permettant à quiconque, quelles que soient ses intentions, d’acquérir les compétences nécessaires pour lancer des attaques informatiques. Cette universalité de l’accès transforme chaque individu en un acteur potentiel dans le cyberespace, qu’il soit étranger ou mauricien.

La démocratisation des connaissances en matière de « hacking », combinée à la perspective d’un gain facile, crée un environnement où la vigilance est de mise pour tous. Les manuels, vidéos tutoriels, et outils de piratage disponibles gratuitement en ligne constituent un couteau à double tranchant. D’une part, ils peuvent servir à des fins éducatives pour les professionnels de la cybersécurité cherchant à renforcer leurs défenses. D’autre part, ils fournissent également aux acteurs malveillants les moyens de nuire. 

Cela implique une stratégie de cybersécurité qui englobe à la fois la prévention, à travers la formation et la sensibilisation, et la réaction, avec des mesures de réponse aux incidents robustes et efficaces. Il est également crucial de promouvoir une culture de la sécurité informatique, où la responsabilité individuelle et collective est mise en avant. 

En fin de compte, la sécurité de notre espace numérique dépend de la contribution de chacun, et chaque maillon faible peut avoir des conséquences sur la chaîne tout entière. Ainsi, la lutte contre les cybermenaces doit être envisagée comme un effort collectif, transcendant les clivages géographiques et sociaux, pour bâtir un environnement numérique sûr et résilient pour tous.

Doit-on craindre ces « petits joueurs » ?
Les « Script Kiddies » représentent effectivement une catégorie d’acteurs dans le paysage de la cybersécurité. Bien qu’ils puissent ne pas posséder une compréhension profonde des techniques de « hacking », leur capacité à utiliser des outils et des scripts préfabriqués pour mener des attaques les rend potentiellement dangereux. Ces individus, souvent motivés par la curiosité, le désir de reconnaissance ou simplement pour le défi, peuvent causer des dommages considérables malgré leur manque de sophistication technique.

Leur dangerosité réside dans le fait qu’ils peuvent facilement accéder et déployer une variété d’outils malveillants disponibles sur Internet. Ces outils peuvent être utilisés pour exploiter des vulnérabilités connues dans des systèmes qui ne sont pas correctement sécurisés ou mis à jour. Ainsi, même sans une compréhension approfondie du fonctionnement sous-jacent de ces outils, les « Script Kiddies » sont capables de lancer des attaques qui peuvent perturber les services, voler des données ou compromettre la sécurité des systèmes informatiques.

Il est important de ne pas sous-estimer la menace que ces acteurs peuvent représenter. Bien qu’ils ne soient pas aussi avancés que d’autres cybercriminels, les dommages causés par leurs actions peuvent être considérables, surtout si les cibles ne maintiennent pas une posture de sécurité robuste. Cela souligne l’importance pour les organisations de toutes tailles de mettre en œuvre des mesures de sécurité de base. 

Bien que les « Script Kiddies » ne soient peut-être pas les cybermenaces les plus avancées techniquement, leur capacité à causer des perturbations et des dommages à l’aide d’outils facilement accessibles rend nécessaire une vigilance et une préparation constantes de la part des défenseurs en cybersécurité.

À quel point les Mauriciens sont-ils connectés à l’Internet, voire au reste du monde ?
Selon Data Reportal, les dernières statistiques officielles indiquent qu’à Maurice, début 2023, il y avait 1,95 million de connexions mobiles cellulaires, ce qui équivaut à 150,3 % de la population totale. De plus, avec 878,7 mille utilisateurs d’Internet à Maurice, soit un taux de pénétration internet de 67,6 %, cela montre que les Mauriciens sont très connectés à Internet avec une présence notable sur les réseaux sociaux. La disponibilité du Wi-Fi et une couverture 4G étendue contribuent à une large surface d’attaque potentielle pour les cybermenaces.

N’oublions pas que les achats en ligne sont devenus un phénomène très tendance… Mais avec l’essor des achats en ligne, la protection des comptes est essentielle, n’est-ce pas ?
Avec l’essor des achats en ligne, la sécurisation des comptes et de la carte de crédit devient cruciale. Il est essentiel d’adopter des mots de passe solides, d’utiliser l’authentification à deux facteurs, et de rester vigilant face aux tentatives de « phishing ». La reconnaissance des sites marchands légitimes, la surveillance régulière des transactions et l’utilisation de solutions de paiement sécurisées contribuent également à protéger les utilisateurs contre les fraudes et les vols d’identité.

En guise de conclusion, quelques mots sur le manque de professionnels qualifiés dans le domaine de la cybersécurité et surtout comment y remédier ?
Le défi majeur que nous affrontons actuellement est l’escalade des cyberattaques dans un contexte de pénurie aiguë de talents en cybersécurité. L’estimation actuelle indique un déficit mondial de 4 millions de professionnels en cybersécurité nécessaires pour protéger adéquatement les actifs numériques, malgré un effectif record de 5,5 millions de personnes. Cette information est mise en évidence dans l’étude sur la main-d’œuvre en cybersécurité de 2023 par ISC2. Maurice n’est pas épargné par cette pénurie.

Il y a donc un déséquilibre préoccupant entre la demande de compétences en sécurité informatique et l’offre disponible. Ce manque de professionnels qualifiés limite notre capacité collective à anticiper, prévenir et répondre efficacement aux cybermenaces, exacerbant ainsi la vulnérabilité des systèmes et des infrastructures critiques.

Pour remédier à cette pénurie de professionnels qualifiés en cybersécurité, il est crucial de renforcer l’éducation et la formation dans ce domaine dès le plus jeune âge et au sein de l’enseignement supérieur. Des cursus spécialisés et reconnus internationalement en cybersécurité, ainsi que l’intégration de modules de cybersécurité approfondis dans les programmes informatiques existants, sont essentiels pour préparer une nouvelle génération capable de répondre aux défis actuels et futurs de la sécurité numérique.

 

Notre service WhatsApp. Vous êtes témoins d`un événement d`actualité ou d`une scène insolite? Envoyez-nous vos photos ou vidéos sur le 5 259 82 00 !