Un document de 42 pages, pour aider à comprendre comment on est exposé aux risques de piratage numérique, et quelles sont les formes d’attaques que l’on peut subir, a été lancé, le mercredi 25 juin, à Sofitel hôtel à Cotonou, par l’Agence des systèmes d’information et du numérique (ASIN). Ce condensé d’informations d’exposition aux menaces du numérique et de remèdes a été baptisé « Rapport de vulnérabilités et d’incidents ».
Vadim QUIRIN
Le danger est là et il ne faut plus l’ignorer. Le tout numérique ou la dématérialisation des actes n’est pas sans risques. Le fait banal d’avoir et d’exploiter une adresse électronique, d’envoyer et de recevoir de l’argent par son portable expose déjà à des attaques numériques. Tel est le message que véhiculent les 42 pages du premier « Rapport de vulnérabilités et d’incidents » lancé, le mercredi 25 juin, à Sofitel hôtel à Cotonou, par l’Agence des systèmes d’information et du numérique (ASIN). Selon ledit rapport, tous les secteurs sont exposés aux failles liées à la mauvaise gestion du numérique. Qu’il s’agisse des finances, des services publics et privés, des secteurs du tourisme ou de l’agriculture, de la santé ou de l’eau, tous sont assujettis aux malveillances qui ont pour nom : la fuite des mots de passe et des données confidentielles, l’usurpation d’identité ou le contournement d’accès aux systèmes d’informations, la modification ou la suppression des données de manière non autorisée. Classiquement, précise Marc André Loko, directeur général de l’ASIN, ces « malveillances sont constituées par la fraude, le détournement, le vol, l’endommagement, l’utilisation non autorisée et le refus de service ». Et comme cela peut se lire aisément, alerte le rapport, « la moindre faille ou cyberattaque peut avoir des conséquences graves sur la confidentialité, l’intégrité et la disponibilité des données (sans oublier) sur la continuité des activités et la confiance des citoyens ».
Les catégories de risques numériques
De 2021 à 2024, au terme de l’étude des failles, le rapport constate que les différents utilisateurs du numérique sont exposés à quatre catégories de risques. En premier lieu, aux risques dits faibles. Ce sont ceux qui font cracher les sites, entraînent le changement du contenu d’une image sans altérer les données. A côté, il y a les risques modérés. Eux, font référence aux risques pouvant perturber le bon fonctionnement des serveurs et des données qu’ils hébergent. En dernier ressort, il y a les risques élevés et critiques. Il s’agit des risques aux conséquences négatives et graves sur la confidentialité, l’intégrité, la disponibilité des données sensibles. Ces risques proviennent d’un attaquant expérimenté qui cible les plateformes. Au cours de la même période, affiche le document, il a été observé « une augmentation flagrante des vulnérabilités ». Ces menaces sont passées de 159 cas en 2021 à 375 cas en 2024. Les raisons sont énumérées ci-après : manque de ressources pour la gestion de la sécurité, aucun responsable commis à la sécurité des systèmes d’information, non maintenance des applications et des serveurs, vétusté des systèmes et multiplication des plateformes. Le rapport est allé loin en soulignant que des systèmes d’information ont été menacés, et que certains ont même subi des attaques sans que les victimes ne s’en aperçoivent.
Les pistes de solutions pour mieux se protéger
Heureusement qu’il y a cette étude de l’ASIN qui vient mettre le doigt sur ces dangers, salue Aristide Adjinacou, Directeur général de l’Agence nationale d’identification des personnes (ANIP). Ce dernier se confond en reconnaissances : « Merci à l’ASIN. A maintes reprises, elle m’a sauvé la vie avec les défis sécuritaires auxquels l’ANIP doit faire face ». En tout cas, « pour palier ou faire efficacement face aux éventuels cyber incidents (…) ce rapport vise à informer, à sensibiliser sur l’existence réelle de cyber menaces, leur typologie, les premiers reflexes à avoir (…) enfin la possibilité de recourir à de l’expertise » notamment à celle de l’ASIN via l’équipe nationale de réponse aux incidents de sécurité informatique. De plus, il faut s’approprier les outils comme la « Politique de protection des infrastructures d’information critiques » (PPIIC), la « Politique de sécurité des systèmes d’information de l’Etat » (PSSIE), penser à recruter un responsable de la sécurité des systèmes d’information (RSSI) qui se chargera de la mise à jour systématique des logiciels, de la mise en place de dispositifs de surveillance, du maintien à jour des systèmes et infrastructures. Pour l’heure, en attendant que chacun se décide et opte pour la protection, l’ASIN passe d’institutions en services publics pour ouvrir les yeux sur les dangers du numérique en dépit de ses bienfaits.
