Jamais les Systèmes d'Information n'ont dû faire face à des menaces. Du vandalisme à la fraude, la malveillance informatique génère des pertes estimées à plusieurs dizaines de milliards de dinars par an, et ne cessent d'augmenter d'une année à une autre. Dans le nouvel ordre économique mondial d'aujourd'hui marqué par l'engouement pour le e-commerce, vecteur de force pour certaines économies, mettre en place une politique efficace d'analyse des risques et de gestion de la sécurité s'impose ainsi comme un défi réel à relever et un choix à optimiser par les entreprises tunisiennes voulant s'insérer dans l'économie mondiale. A cet effet, tous les acteurs économiques interconnectés au réseau international sont appelés plus que jamais à développer leur stratégie de sécurité de systèmes d'information tout en procédant conformément aux notions de sécurité produites par l'Agence nationale de sécurité d'informatique. Ce nouvel organisme doté des meilleures technologies de sécurité met à la disposition aussi bien des entreprises que des simples internautes, des services gratuits et un centre d'assistance et de soutien en matière de sécurité informatique (Cert- Tcc). D'après les propos de M. Didier Lamouche, PDG d'un leader européen de la sécurité des systèmes d'information, 1,5 milliard d'utilisateurs seraient interconnectés au travers d'Internet et des réseaux en 2008. A cette même date, le commerce électronique devrait approcher les 2000 milliards de dollars. Si cette révolution offre de formidables perspectives en matière de nouveaux services et de productivité, elle génère aussi de nouvelles menaces. Vandalisme, sabotage, cyber piratage, attaques virus: le coût annuel des attaques double chaque année et atteindrait déjà les 100 milliards de dollars. Selon le dernier rapport de FBI, pour 2006, les pertes de quelques entreprises américaines sondées (seules 313) ont quadruplé à 52.5 Millions de dollars. Mais force est de remarquer que les 313 entreprises sondées sont les seules qui ont déclaré l'état de leur perte alors que les autres ont voulu garder l'information là-dessus confidentielle risquant d'avoir une mauvaise réputation en cas de cyber attaque de leurs systèmes d'information. Les entreprises à vocation universelle et celles notamment qui effectuent plusieurs transactions par l'interconnexion au réseau sont les plus concernées. Une moyenne de 3 à 6 nouvelles variantes de virus sont diffusées par jour sur le réseau. Avec le développement du commerce international et des échanges qui sont opérés essentiellement à distance par l'entreprise de la technologie de l'information, l'interconnexion des systèmes d'informations des entreprises est en évolution croissante. La notion de frontière de l'entreprise s'estompe. Tant que les concurrences économiques et géostratégiques s'accentuent, la sécurité est devenue un enjeu de souveraineté. L'actualité montre que les entreprises quelles que soitent leurs tailles, sont sensibles et exposées inconsidérément aux diverses cyber-menaces. L'implication de la gestion des cyber-risques est désormais vitale pour la vie de l'entreprise. Dans un monde globalisé, la sécurité des systèmes d'information est non seulement un devoir, mais plutôt un atout de confiance, vis-à-vis des clients comme des partenaires, des régulateurs ou des investisseurs. Pour l'économie tunisienne, de même qu'il ne peut y avoir d'ouverture sans paramètres de protection, il ne peut y avoir de développement des transactions internationales et de systèmes d'informations sans sécurité. On a souvent tendance à mésestimer les menaces. Parfois en les sous-évaluant. Parfois aussi en les exagérant. C'est vrai que le piratage et les épidémies de virus apportent une conséquence frappante, mais il y a toujours de moyens de protection existant à reconnaître.
La grande majorité des échanges se passent bien. Les technologies de l'information sont avant tout un formidable outil de service pour le consommateur ou le citoyen, et un levier puissant de développement pour les entreprises et les autorités publiques ou privées. Cela étant, il faut reconnaître que, sous l'océan des échanges électroniques, se glissent aussi des ombres menaçantes. Comment se relever d'un vol ou, pire, d'un sabotage du fichier client ? Comment maintenir son avantage compétitif si les secrets de négociations commerciales sont dévoilés aux concurrents ? Comment garder la confiance de clients dont les données personnelles auraient été exposées à tous ?
Assurer un haut niveau de sécurité Des habitudes d'achats aux situations patrimoniales, d'énormes volumes d'informations personnelles sont stockées dans les bases de données d'entreprises ou d'administrations. Diffusées ou exploitées à mauvais escient, elles pourraient provoquer des failles par lesquelles, des risques de virus deviennent fortement probables. Assurer un haut niveau de sécurité des systèmes d'information apparaît donc crucial pour l'Agence nationale de la sécurité d'informatique (ANSI) qui vient de renforcer la sécurité informatique depuis sa création en 2004. Avec le développement des échanges électroniques, un formidable potentiel s'ouvre à l'entreprise. C'est à la sécurité des transactions qu'échoit le privilège de fournir les composants décisifs permettant de valider ces transactions après une attaque de virus, on investit dans un anti-virus plus efficace. Après une intrusion ou après avoir eu vent d'incidents chez un partenaire ou un concurrent, on investit dans un autre. Cela ne conduit pas à rationaliser globalement la sécurité. Ainsi, les entreprises tunisiennes devraient atteindre une maturité suffisante en matière de sécurité informatique pour relever les défis de sécurité de manière proactive, c'est-à-dire en analysant et anticipant finement les risques. Bien intégrée à la réflexion stratégique d'entreprise, la sécurité apparaît ainsi non plus comme une contrainte, mais comme un formidable atout métier, et un puissant moteur de changement.
La sécurité : un faux coût Bien qu'il ne s'agisse pas heureusement des cas graves d'attaques des virus aux systèmes d'informations en Tunisie, la question sécurité doit être intensifiée dans la stratégie de nos entreprises dont celles optant pour le commerce électronique notamment. Les entreprises comme les autres utilisateurs du réseau devraient être conscient des dangers des failles provoqués par une mauvaise manipulation. Ils sont invités à réviser leur comportement d'utilisation des équipements électronique avec prudence et en veillant à la mise à jour obligatoire des anti-virus. Une malveillance peut causer des pertes inattendues. A l'issue de cette thématique, s'inscrit le rôle de l'ANSI, qui œuvre à sensibiliser les internautes et notamment les professionnels à accorder une importante à la sécurité de leurs systèmes d'information. Dans l'objectif de résoudre tous les problèmes ayant trait à la sécurité des systèmes d'information et de répondre aux réclamations des épidémies de virus ou failles, l'ANSI met à la disposition de tous les internautes tunisiens un centre d'assistance et de soutien en matière de sécurité informatique. Il y a déjà près de 7 mille abonnés gratuitement à ce service. Ce centre offre gratuitement l'assistance nécessaire à la communauté des internautes pour une utilisation appropriée des technologies et systèmes informatiques. Il offre également des formations de haut niveau dans les différentes branches de la sécurité des systèmes d'information et ayant pour objectif de faciliter la communication entre les professionnels et les experts travaillant dans le domaine de la sécurité des systèmes d'information. Pourtant qu'il est gratuit, le service assuré par le Cert-Tcc, n'est pas encore suffisamment généralisé puisque les abonnés (7 mille) sont très peu par rapport à l'ensemble des internautes tunisiens dépassant le million trois cent mille. Une question de sensibilisation et de l'importance de la sécurité qui ne coûte en fait rien lorsque on accède tout simplement au site de l'ANSI et s'inscrit gratuitement au service de Cert-Tcc www.ansi.tn
L'audit de la sécurité des systèmes d'information , c'est désormais un métier Par ailleurs, l'ANSI accorde des certificateur d'audit. La formation porte sur l'audit de la sécurité d'information. Il y a déjà 103 auditeurs formés par l'ANSI depuis sa création. Leurs mission est de sécuriser les systèmes d'information des entreprises. Dans un article intitulé " L'audit de la sécurité des systèmes d'information et de communication ", Moez Kamoun, Manager, et expert dans l'audit de la sécurité informatique précise que la gestion des risques est devenue ces dernières années une préoccupation importante des dirigeants d'entreprises. " En effet, la globalisation, la révolution des technologies de l'information, le renforcement de l'éthique dans la vie des affaires, les contraintes réglementaires, 1'externalisation, la volatilité des marchés entraînent une aggravation des risques existants et 1'émergence de nouveaux risques que les dispositifs de contrôle traditionnels ne permettent pas de couvrir de manière satisfaisante. Pour assurer leur pérennité, préserver leur patrimoine et sécuriser la création de valeur, les entreprises d'aujourd'hui se doivent donc de mettre en place de nouvelles approches visant à maîtriser convenablement leurs risques. Actuellement, dans les économies de marche, la gestion du risque informatique constitue la composante la plus médiatisée pour une maîtrise globale des risques au sein de l'entreprise" articule-t-il. Malgré l'obligation légale d'exécuter l'audit de sécurité, il y a des entreprises qui ne sont pas tellement conscientes ou convaincues de cette opération de protection contre les cyber-risques En Tunisie comme partout dans le monde, la plupart des responsables de sécurité s'en plaignent à juste titre. Ils ne sont souvent considérés que comme un centre de coût qui n'apporte aucune valeur en soi. Pourtant, intégrée dès le départ dans la stratégie d'entreprise, la sécurité peut apporter productivité (authentification unique et personnalisation via le Single Sign-On), flexibilité (gestion dynamique des identités et des droits d'accès), confiance (sécurité des transactions, protection des données personnelles...). Bien réfléchie, elle peut être un réel différenciateur pour l'entreprise et un argument de vente. Une prise de conscience encore lente dans l'entreprise, d'autant plus que la sécurité est souvent rattachée au DSI, et donc cantonnée à la sphère « technique ». Dans quelques entreprises peu nombreuses, où la sécurité est rattachée à l'audit, sa valeur est souvent plus justement appréciée. La sécuritéest est , ainsi, à la fois une nécessité et un métier. C'est pourtant une tâche complexe. Techniquement d'abord. Culturellement et techniquement ensuite. Car la plupart des parties prenantes (utilisateurs, développeurs, administrateurs...) ne voient souvent dans la sécurité qu'une contrainte, et rechignent à y mettre le prix.