Les entreprises démunies face aux risques informatiques Faute d'un management impliqué

A l'ère du développement des technologies mobiles et de l'omniprésence des médias sociaux, la sécurité des systèmes d'information au niveau des entreprises se voit de plus en plus menacée.
Pourtant, cela ne semble pas inquiéter outre mesure le top management, à en croire certains professionnels du domaine opérant en Algérie. «Il n'y pas au niveau management de l'entreprise une réflexion globale sur la sécurité des systèmes d'information», souligne Ouarda Deramchi, senior manager IT Advisory au sein du cabinet de consulting Ern st and Young. La question «n'est pas encore totalement prise en charge», a-t-elle déclaré à El Watan Economie en marge d'une rencontre tenue la semaine dernière à Alger sur le thème de la sécurité informatique.
Pour savoir pourquoi, il ne s'agit pas de s'interroger sur la compétence des services informatiques de ces entreprises, mais plutôt sur l'engagement des chefs d'entreprise eux-mêmes. «C'est une question de logique de moyens et de perception du management», estime Loic Chabanier, senior manager IT Advisory au sein du même cabinet. La sécurité est une question qui concerne à la fois l'informatique et les métiers de l'entreprise, explique-t-il. Il s'agit donc de «se donner les moyens de mettre sous contrôle les risques et d'investir». Dès lors, «on sort du métier informatique et ça devient de plus en plus un sujet relevant de la direction».
Pour les entreprises algériennes qui se débattent contre un tas de difficultés liées à l'hostilité de l'environnement économique et où les investissements dans les moyens de production font déjà cruellement défaut, mettre de l'argent dans la protection des systèmes d'information, qui sont assez coûteux, selon les professionnels du domaine, ne relève plus de la priorité. Pourtant, réfléchir à la sécurité de l'information ne doit pas s'appréhender «en aval», affirme Mme Deramchi. «C'est plutôt en amont que ça se passe».
C'est-à-dire qu'il faut pour un chef d'entreprise «penser au risque lié à la sécurité du système d'information, à sa vulnérabilité et se demander ce qu'il en coûtera si le système d'information n'est pas sécurisé».
En comparant cela avec «l'investissement qui doit être fait pour éviter cette perte, le calcul est vite fait». Pourtant comme l'a révélé la responsable du service informatique d'un important organisme public : «Les managements des entreprises dans notre pays veulent sécuriser leurs systèmes d'information, mais ils en ont rien à faire de la manière dont cela doit se faire et ne sont même pas prêts à dégager les budgets nécessaires pour cela».
Souci d'ouverture
Avec l'arrivée des nouvelles technologies, «les menaces sont plus étendues», affirme M. Chabanier et cela «démultiplie les potentialités d'occurrence du risque». C'est d'autant plus vrai que les entreprises de par le monde et même en Algérie seront dans les années à venir amenées à «ouvrir leurs systèmes», dit-il, en donnant l'exemple du Cloud Computing qui est un concept qui permet aux entreprises de déporter leur données depuis leurs serveurs locaux vers des serveurs distants et interconnectés.
En d'autres termes, les entreprises ne gèrent plus leurs serveurs informatiques, mais y accédent à distance et en ligne.
A partir de là, il apparaît clair que «les enjeux de sécurité dépendent du management, vu que la décision de partager des données internes et de confier le processus à une entreprise extérieure c'est-à-dire un prestataire de service devient très vite une décision du management», précise notre interlocuteur.
En Algérie, on est encore trop loin de cette pratique, car pour penser aux risques encourus en matière de sécurité de l'information, il faudrait encore que les entreprises algériennes soient équipées. Or, l'utilisation des technologies de l'information et de la communication en Algérie reste très faible.
Selon étude publiée en 2008 par le CREAD, le taux de pénétration des TIC au sein des entreprises algériennes est de 4,1% et seulement 4 à 5% des entreprises disposent d'un site Web. Et comme le précise Mme Deramchi, plus le taux d'utilisation des TIC est important, plus la menace (piratage, fraude, etc.) augmente et les possibilités d'attaques internes et externes se multiplient. A titre d'exemple, des statistiques publiées en 2010 dans la presse nationale font état de près de 3000 cyber-attaques contre les sites internet algériens appartenant à des institutions publiques et des entreprises privées.
Les banques, plus vulnérables
Pour l'heure, explique Mme Deramchi, «sans généraliser ni dresser un tableau, je peux dire qu'en intervenant au niveau de certaines entreprises on observe bien qu'il y a un écart entre ce qui devrait être mis en place et ce qui est mis en place en matière de sécurité de l'information.
Il y a encore de la marge». Les banques victimes aussi bien d'attaques internes qu'externes sont considérées comme étant les plus vulnérables, mais il n'existe pas de données précises pour permettre de cerner l'ampleur du phénomène. Il arrive souvent qu'il y ait des problèmes parce qu'on aurait oublié de désactiver les codes d'accès au système de certains employés après qu'ils aient quitté l'entreprise ou l'établissement, explique-t-on. Globalement, «les entreprises ne communiquent pas beaucoup sur ça, car on n'a pas envie de dire que notre système d'information est une passoire et qu'on s'est fait voler des fichiers», souligne Mme Deramchi.
Ernest and Young a réalisé une enquête annuelle sur la sécurité informatique auprès de 1700 entreprises dans 52 pays. L'Algérie n'en faisait pas partie cette année, mais elle sera intégrée l'année prochaine, selon le cabinet.