Didier Simba : «À l’heure du tout numérique, les enjeux liés à la sécurité n’ont jamais été aussi importants»

Gabon Gabonmediatime Didier Simba Numérique Gabon
Le spécialiste gabonais de la sécurité informatique Didier Simba © GMT

A l’ère du tout numérique et de l’espionnage industriel, le débat sur la sécurité des données en entreprise est au cœur des stratégies de développement. Selon la Société pour l’attribution des noms de domaine et des numéros sur Internet (ICANN), des gouvernements et des entreprises étaient visés par des attaques informatiques d’envergure mondiale en février dernier. Au Gabon, en 2018, 70 sites institutionnels, dont ceux de plusieurs ministères avaient subi des attaques informatiques, sans grands dégâts, fort heureusement. Face à cette menace permanente de vol de données, de piratage, Didier Simba, spécialiste de la sécurité informatique et responsable de Sécurité des Systèmes d’Information (RSSI) et membre du Club d’Experts de la Sécurité de l’Information et du Numérique (CESIN), propose quelques pistes de solutions dans cette interview exclusive accordée à Gabon Media Time.


Gabon Media Time : Pouvez-vous vous présenter à nos lecteurs ?

Didier Simba : Je suis Didier SIMBA, originaire du Gabon où j’ai fait mon primaire, collège, lycée puis les classes préparatoires Maths Sup, avant de partir à l’étranger pour mes études supérieures. Après des études d’ingénieur en réseau télécom, je me suis spécialisé dans la sécurité des Systèmes d’Information, autrement dit la sécurité informatique depuis près de 8 ans.

J’exerce en France en tant que Responsable de la Sécurité des Systèmes d’Information (RSSI) depuis 2 ans, dans le secteur bancaire et je suis également Délégué à la protection des données personnelles (DPO), en rapport avec le Règlement Général sur la Protection des Données (RGPD), qui est entré en vigueur en Europe en mai 2018.

Aujourd’hui, beaucoup de gens parlent de cybersécurité  sans en maîtriser les contours. Qu’est-ce que la cybersécurité ?

Effectivement, il y a quelques années encore, nous parlions de « sécurité informatique ». Désormais on parle de « cybersécurité » et nous ne pouvons plus vivre sans. Avant de parler de cybersécurité, je préfère vous expliquer ce qu’est la « cyber-défense » par la même occasion, vous comprendrez le métier de RSSI, mon métier.

Parler de « cyber-défense » revient à parler de protection D.I.C.P, dans d’autres cas vous lirez D.I.C.T, mais ça revient au même. La sécurité de l’information nous amène à mettre les actions organisationnelles et techniques nécessaires pour protéger l’information en ce qui concerne le DICP ou DICT.

Que signifie D.I.C.T. ?

C’est un acronyme pour  Disponibilité, Intégrité, Confidentialité et Traçabilité. Dans le détail, cela donne:

Le D pour DISPONIBILITÉ. C’est donc tout ce que nous pouvons mettre en place, afin que l’information soit disponible. Autrement dit, faire en sorte que l’information soit disponible à chacun, pour chacun, que toute personne autorisée à aller vers cette information la trouve disponible. On parle donc de disponibilité du réseau par lequel transite l’information, disponibilité des serveurs qui portent cette information, disponibilité des terminaux qui affichent cette information, etc.

Puis vient le I d’INTÉGRITÉ. C’est donc s’assurer que l’information ne soit pas altérée, autrement dit, que l’information disponible soit celle qui a été envoyée de bout en bout, que ce soit durant son transite dans le réseau, une fois dans les serveurs, etc.

Le troisième mot clé c’est le C de CONFIDENTIALITÉ. Seules les personnes, les entités autorisées doivent avoir accès à ces informations. Un SMS que j’envoie à une personne ne devrait être adressé qu’à cette personne et à personne d’autre, par exemple.

Enfin, le T de TRAÇABILITÉ. C’est mettre tout en œuvre pour imputer les responsabilités, prouver à tout moment qui a eu accès à l’information et ce qu’il en a fait.

En résumé, la Cyber-Défense, c’est l’ensemble des moyens techniques et organisationnels qui permettent à toute entité (personne, entreprise, état, etc.) de se protéger contre toute attaque qui viendrait de l’extérieur ou de l’intérieur (car on pense que l’enfer c’est les autres alors que les statistiques montrent que 80% des attaques viennent de l’intérieur) et assurer le DICT de l’information. Et la CyberSécurité, c’est donc l’ensemble des outils, principes, processus, mode opératoire mis en place pour assurer cette défense. Voilà l’explication la plus simple que je pouvais donner.

Quels sont les enjeux de la cyber-sécurité aujourd’hui ?

À l’heure du tout numérique, les enjeux liés à la sécurité n’ont jamais été aussi importants. Une de mes missions consiste à sensibiliser les professionnels sur les risques et les menaces du cyberespace et comment s’en protéger.

La plupart des spécialistes s’accordent plus que jamais à dire que la sécurité numérique doit devenir une priorité absolue pour lutter contre des menaces de plus en plus diversifiées, complexes et difficiles à contrer. D’ailleurs, j’interviens dans des conférences et des tables rondes, afin de contribuer à cette sensibilisation mais aussi vulgariser le langage. 

Quels sont les dangers auxquels sont confrontées les entreprises dans le cyberespace ?

Le vol d’information ! À l’heure où nous parlons du « BIG DATA » (en français Grande donnée), plus j’en sais sur toi, mieux je peux te contrôler. A l’échelle d’une entreprise, plus j’en sais sur une entreprise, mieux je peux la faire tomber ; je connaitrais sa stratégie commerciale et je pourrais donc faire des contres propositions pour que les clients viennent chez moi et non chez le concurrent. Ce n’est qu’un exemple.

Depuis 3 ans environ « phishing » ou encore « maçonnage » est le vecteur d’attaque privilégié des pirates. Autrement dit, les faux mails ou messages que nous recevrons disant qu’une grande marque nous offre un service gratuitement et pour en bénéficier, il suffit de cliquer sur un lien. Cette méthode est de plus en plus difficile à contrer de par la qualité améliorée par les pirates, sans sensibilisation, nous sommes tous des cibles et donc de très belles failles pour nos entreprises.

Toutes les entreprises présentes dans le cyberespace sont-elles exposées à ces dangers ?

Dès lors que nous sommes collaborateurs d’une entreprise, nous sommes une cible pour cyber-attaquants et par conséquent, notre entreprise est exposée. En entreprise, on entend parler de BYOD une abréviation anglaise « Bring Your Own Device », en français, « prenez vos appareils personnels ». De plus en plus en entreprise, des collaborateurs utilisent leurs équipements personnels, smartphone, tablette, ordinateur, etc. Sans être conscients des risques qu’ils font encourir à l’entreprise.

Que faut-il faire pour s’en prémunir ?

L’attaquant n’exploite que les failles, si nous avons tous la même fibre, la même sensibilité à la sécurité, nous serons mieux protégés… mais si un de nous est en décalage… c’est par là que passe l’attaquant.

Aussi, tout part d’une bonne Politique de Sécurité des Systèmes d’Information (PSSI). Dans ce document, on retrouve la sensibilisation comme étant la clé d’une stratégie réussie pour se prémunir. Puis viennent les politiques d’usage d’outil informatique en entreprise, l’usage des mails, l’utilisation des équipements de l’entreprise uniquement, etc. Pour ne citer que ceux-là. La sécurité c’est l’affaire de tous, il faut sensibiliser le plus possible, multiplier ce genre d’intervention pour rappeler aux utilisateurs les bons réflexes.

Avez-vous l’impression que les entreprises ont compris l’intérêt de sécuriser leurs données aujourd’hui ?

Face à l’actualité qui parle régulièrement des entreprises qui se sont fait attaquer, personnellement, j’en suis à me demander si elles ont vraiment pris la mesure de l’urgence.

Je n’ai pas les chiffres sur les pays d’Afrique, mais je sais qu’en France, 77% des entreprises déclarent dépendre fortement de leur système d’information. Si elles se font attaquer, elles sont mal. D’un autre côté 62% d’entre elles disent avoir désigné un RSSI et 64% ont formalisé une Politique de Sécurité SI.

Comment parvenez-vous à les convaincre de miser sur la sécurité ?

Il n’y a pas de meilleur exemple que ce qui est déjà arrivé. On apprend vite de nos erreurs ou des erreurs des autres. Je ne cherche pas à convaincre. Je me contente de sensibiliser, de présenter les risques et les menaces. C’est donc aux décideurs de prendre leurs responsabilités, d’accepter les risques, les réduire, s’en protéger ou les transférer.

Un mot de fin ?

Merci de m’avoir donné cette tribune. Je pense que vous les médias devrez fortement contribuer à multiplier ce genre d’exercice qui permet de sensibiliser le plus grand nombre et donc aider à ce que nous soyons tous au même niveau d’information et limiter les risques.

Je suis disposé à intervenir dans les conférences et tout événement lié au digital ou numérique pour évoquer les sujets de sécurité.

Laissez votre commentaire