L’Algérie comme plusieurs pays africains ne dispose pas véritablement de stratégie nationale en matière de sécurité informatique. L’absence d’une agence nationale de sécurité laisse libre cours à des conjectures de toute nature sur l’évolution du marché. Un secteur florissant mais qui cache de véritables disparités.
Dans le domaine de la sécurité, l’Algérie s’impose aujourd’hui comme l’un des marchés les plus florissants d’Afrique. La demande continuera à croitre dans les prochaines années. Certains spécialistes estiment le marché algérien de la sécurité à une dizaine de millions d’euros. Mais rien n’est moins sûr compte tenu du manque de données statistiques fiables. En Algérie, l’informatisation des entreprises et des administrations a connu une très forte poussée durant ces dernières années.
Double mouvement
Cette forte croissance arrive à une période où plusieurs acteurs locaux entament d’importants chantiers de modernisation de leurs systèmes d’information. Ce double mouvement s’accompagne aussi de risques de plus en forte liés notamment à la protection des données sensibles. Confrontés à ce nouveau phénomène, les DSI algériens commencent à prendre conscience de l’étendu des risques. Il s’agit alors de trouver de nouveaux produits et de nouvelles compétences pour mettre en place une véritable politique de protection des données. Il y a de plus en plus d’éditeurs et de distributeurs de solutions informatiques qui investissent le marché algérien. « En interne, la fonction de RSSI commence aussi à prendre de l’importance dans les grandes entreprises et administrations algériennes », constate Michel Richard, associé Ernst & Young et expert en sécurité informatique. Le cabinet de conseil français intervient régulièrement auprès des DSI algériens pour animer des ateliers de formations et d’échanges auprès des DSI et RSSI de grandes entreprises et d’administrations algériennes. Même si la fonction de RSSI commence à être valorisée en Algérie, un constat demeure : les niveaux et les profils restent très variables.
Profils très pointus
Autant, il existe des profils très pointus mais aussi des compétences très généralistes. Ils ne sont pas suffisamment outillés pour apporter les solutions requises pour protéger le patrimoine de leur entreprise. Il y a nécessité de mettre en place un plan de gestion des risques informatiques pour les entreprises. « Nous sommes régulièrement consultés pour des missions dans les domaines du diagnostic, de l’audit de sécurité. Très souvent, ces missions sont suivies de programmes d’accompagnement, principalement sur les tests d’intrusion, sur le plan de continuité ou encore sur le contrôle interne », explique le spécialiste
Accès extérieurs sécurisés
Pour l’heure, la plupart des entreprises sont équipées pour faire face aux attaques vis-à-vis des accès externes. Les grands groupes algériens ont déjà mis en place un premier niveau de protection via des VPN et des firewalls. Des projets de mise en place de plan de secours commencent à être déployés, même si la redondance n’est pas aussi efficace pour parer aux éventuels risques liés aux séismes, notamment dans la partie nord de l’Algérie.
« Un grand nombre d’entreprises installent leurs sites de secours à quelques centaines de mètres plutôt que de les éloigner », explique Michel Richard. La prise en compte des attaques vis-à-vis de l’extérieur est réelle, en revanche le contrôle interne n’est pas encore à la mesure des enjeux. Un phénomène qui risque de s’accentuer notamment avec l’ouverture des entreprises au monde extérieur. L’entreprise numérique est devenue une réalité dans le monde professionnel, il faudra désormais adapter le niveau de sécurité en conséquence.
Pour y faire face, il est impératif de hiérarchiser le niveau de protection des informations en fonction de la criticité des données pour assurer la gestion interne. « Le risque zéro n’existe pas. Mais attention à ne pas céder au syndrome du Titanic qui consiste à se dire que cela ne peut arriver qu’aux autres ou encore moins au syndrome de la ligne Maginot où, dans la maîtrise des risques, l’oubli d’un seul risque créé une faiblesse dans le dispositif d’ensemble qui peut s’avérer rédhibitoire », prévient Michel Richard.
Garanties contractuelles
Cette ouverture va s’accélérer davantage avec l’arrivée du cloud consistant à mutualiser les ressources informatiques d’une organisation sur des serveurs distants et sécurisés, puis d’y accéder via un simple navigateur web. Historiquement, les entreprises qui ont franchi le pas du cloud se sont entourées de garanties contractuelles avant de s’assurer du niveau de sécurité du prestataire et de ses services. « Il est important de faire réaliser des audits par des cabinets externes pour avoir un avis tiers sur le niveau de sécurité des plateformes » avertit le spécialiste. Le cloud va marquer un tournant décisif dans le futur de l’informatique. Cependant les entreprises veilleront naturellement à ce que le niveau de contrôle ne soit pas dévalué au détriment d’autres considérations.
Souveraineté nationale
Pour Ernst&Young, le niveau de sécurité des entreprises relève d’une problématique globale. Les entreprises locales utilisent les mêmes infrastructures techniques et les mêmes applications que n’importe quelle autre entreprise à l’international. De ce fait, les problématiques de sécurité sont quasi-identiques. La question de l’appartenance géographique d’un fournisseur importe peu dès lors que ses compétences sont reconnues. En revanche, pour les questions relevant de la sécurité et de la souveraineté nationale, il est plus indiqué de faire appel à l’expertise nationale comme cela se fait d’ailleurs dans tous les pays du monde.
