Description
Nos données personnelles sont-elles encore à l’abri ?
Retrouvez-nous sur nos différentes plateformes !
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
La déflagration digitale au Maroc, c'est le hacking de la CNSS. C'était le 8 avril dernier, ce qui a posé énormément de questions. Les responsabilités, les implications, qu'elles soient juridiques, qu'elles soient techniques, nos données sont-elles à l'abri aujourd'hui au Maroc ? Que ce soit nos données financières, que ce soit nos données personnelles jugées sensibles, puisque vous savez que dans la loi, il y a des données qui sont jugées... sensible avec certains critères. Nos data sont-elles à l'abri ? C'est le sujet de l'émission de jeu. Et pour en parler avec moi aujourd'hui je reçois deux experts dans Parole d'expert Chablis Jar. Consultant spécialisé en gestion des risques, audit et conseil en sécurité de l'information. C'est ça, je ne me suis pas trompé ? Non, c'est ça. Donc tu dois te connaître à peu près sur ce sujet-là. Oui, oui. Ok. Nassab Khtani, que je connais bien. Merci Nassab d'être venu. Pavie, comment je vais te définir ? Tu es entrepreneur fintech. Tu es le fondateur, co-fondateur de la plateforme de hardware and family. On va en parler. Tu es fondateur également de Hidden Clouders.
- Speaker #1
Tu as plein de casquettes.
- Speaker #0
feigneur. carrière immense dans la tech et ça va être intéressant d'avoir ton avis sur le sujet au sujet de ce hacking de la CNSS alors le but vraiment ce n'est pas de tirer sur l'ambulance je pense que ça a déjà été fait là c'est vraiment un comprendre peut-être comment ça a pu arriver parce que on est dans une période où même l'Espagne le Portugal ça n'ont pas encore compris pourquoi ils ont eu un gros black out mais ça c'est autre chose On essaiera de comprendre comment la CNSS a pu être hackée, quelles sont les autres institutions qui peuvent être hackées, et finalement, toutes nos données, parce que c'est la première fois qu'il y a, on va dire, une fuite de données de masse. La CNSS, c'est tout le secteur privé, la sécurité sociale des employés du secteur privé, avec des données qui se sont retrouvées sur Telegram et sur d'autres groupes, de manière totalement dénudée. Avant qu'on parle de ça, c'est vrai que moi je suis allé fouiner, je ne suis pas un hacker, mais c'est vrai que quand on va voir un peu comment ça se passe, le processus a l'air simple, c'est très compliqué après bien sûr, parce qu'il faut avoir toutes les compétences pour le faire. On parle de Zero Day, on parle d'Escalation, on parle de... Moi je veux juste votre sentiment, une institution comme la CNSS devrait être protégée de la meilleure des manières. Est-ce qu'aujourd'hui, quasiment un mois... après que ça soit survenu. Est-ce qu'on sait exactement ce qui s'est passé dans la salle ?
- Speaker #1
Personnellement, moi, personnellement, je ne fais pas partie de l'équipe d'investigation ni au sein d'ACMSS, ni au sein d'ADG SSI, qui fait...
- Speaker #0
Au cap des bruits.
- Speaker #1
Mais donc, ce que je vois, moi, c'est qu'il y a eu... En fait, on n'a pas encore... On ne sait pas probablement qui est-ce qui a fait ça, mais quand je dis qui... Parce que pour moi, il y a celui qui l'a commandé, il y a celui qui l'a fait, et il y a celui qui l'a revendiqué. Et ce ne sont pas nécessairement les mêmes. Il y a ceux qui veulent naviguer sur la vague en disant « c'est nous qui l'avons fait, mais ce n'est pas nécessairement eux » . Donc il y a un travail probablement d'investigation profonde à faire pour savoir exactement ce qui s'est passé. Pour moi, il y a eu… la CNSS est probablement bien protégée. est-ce qu'elle est suffisamment protégée contre des gens qui veulent vraiment... aller chercher des choses, peut-être pas assez. Et donc, il faudra peut-être tirer les conclusions des enquêtes qui vont avoir lieu par les autorités qui mènent ces enquêtes. Parce que je pense que ça prend du temps. Il faut vraiment, tu l'as dit, dans ce monde-là, les criminels ou les cybercriminels essayent de tout faire pour ne pas laisser de traces derrière. Alors, c'est très difficile. Les meilleurs y arrivent. Du moins bon. laisse des traces Mais les meilleurs ne laissent pas de traces ou alors font laisser des mauvaises traces pour faire croire que c'est quelqu'un d'autre qui l'a fait. Donc il y a tout un jeu autour de ça. Je pense qu'il faut laisser du temps aux requêteurs pour vraiment être extrêmement efficace. L'ADGCC a de très bonnes compétences pour pouvoir faire ce qu'il en a.
- Speaker #0
Finalement, ils sont dans tous les pays du monde, mais particulièrement aussi ici, ils sont efficaces. Chablis, qu'est-ce que tu as pensé finalement toi aussi de la manière avec laquelle ça s'est passé ? On parlera au... ce que ça peut impliquer par la suite avec les données justement qui sont là.
- Speaker #2
J'irais dans le même sens. Aujourd'hui, il faut atteindre les voies autorisées pour nous dire à peu près ce qui s'est passé. Ça prend du temps, comme on l'a dit, et ça dépend même de tout ce qu'on veut collecter aussi comme informations derrière pour savoir et tirer les leçons autour de cet incident en fait. Mais bon, on peut penser à toute forme de vulnérabilité, parce que même si on dit que la CNES s'est protégée, jusqu'à quel degré on ne le sait pas. Il y a peut-être des choses qui ont été faites, il y a peut-être des choses qui sont en cours, peut-être au moment de l'attaque, et il y a des choses qui sont prévues. On a consulté un peu les appels d'offres de la CNSS sur la cybersécurité.
- Speaker #0
Si nécessairement tout le monde s'est posé la question, qui s'est occupé de la sécurité de la CNSS ?
- Speaker #1
Mais c'est jamais une seule personne, on ne le parlera pas. C'est pas une seule société.
- Speaker #2
Mais c'est la CNSS elle-même qui s'occupe de sa sécurité, même si elle fait la... appelle à des externes. C'est elle. Même si je reviens, parce qu'aujourd'hui, on parle de la DGCC, on peut parler aussi de la CNDP, parce que le Donat Caractère Personnel était engagé dans cette histoire.
- Speaker #0
Oui, mais la CNDP n'a pas...
- Speaker #2
Je parle de ça pour situer la notion de responsabilité de traitement, en fait. Parce que la loi 0908 définit la notion de responsabilité de traitement. La DGCC va définir une notion d'organisme d'importance digitale. avec son corollaire de mesures de sécurité à faire. Mais si on veut situer la responsabilité aujourd'hui, il faut qu'on le situe aussi dans le sens de la protection de la caractère personnelle. En tant que responsable de traitement, c'est la CNSS qui s'occupe de sa sécurité d'abord. Même si elle sous-traite des choses, on ne peut pas dire que le sous-traitant est responsable de la chose.
- Speaker #0
C'est la CNSS qui est responsable. Quand vous traitez des données, vous êtes tenu non seulement d'informer la CNDP de ce que vous allez faire de ces données, et puis la CNDP a la possibilité d'être en justice, mais elle a quand même des limites, elle ne peut pas tout régler d'un point de vue judiciaire.
- Speaker #1
On peut sous-traiter une partie de la sécurité, on ne sous-traite pas sa responsabilité vis-à-vis de la sécurité, ni vis-à-vis de la responsabilité vis-à-vis de la protection des données. Ça c'est, on la garde et on est responsable. ça ne se traite pas. En réalité, sur ce là, il y a ce qu'on appelle une supply chain. C'est-à-dire qu'il faut regarder l'ensemble de la chaîne et les humaines et les techniques. Il y a des prestataires qui font du service, il y a des prestataires qui font du conseil, il y a des prestataires qui fournissent de la technologie, des infrastructures, des routers, c'est toute une chaîne très complexe dans laquelle il faut trouver où est-ce qu'il y a eu les failles, etc. Mais la chaîne technologique est complexe, c'est une question de supply chain.
- Speaker #0
Les données, ça c'est une vraie question aussi, parce que là on a fait fuir des données. Elles étaient où ces données ?
- Speaker #1
Apparemment elles étaient sur les serveurs de la CNSS qui ont été ponctionnées des serveurs. C'est des données froides, donc ce ne sont pas des données de prod, donc c'est des espèces d'archives en fait. Ce n'est pas des données, ce qu'on appelle des données un peu froides. C'est le fichier PDF français, donc c'est pas dans la base des bords de route.
- Speaker #0
Oui, bien sûr.
- Speaker #2
Jusque-là, c'est ce qu'on connaît.
- Speaker #0
C'est ce qu'elle a été, oui. Les Français se sont éveillés, etc.
- Speaker #1
Parce qu'il y avait une volonté probablement de celui qui revendiquait d'une communication politique, peut-être géopolitique, de communiquer ça à la veille de JTEC, à la veille d'un certain nombre de... de négociations qu'il y avait aux États-Unis, etc. Donc il y avait une volonté, en tout cas, d'une revendication qui était plus politique qu'autre chose. Parce que ce n'était pas, il faut aussi le dire, ce n'était pas une attaque où on a dit « ransomware, soit tu payes, soit je ne te donne pas les données » . Ce n'était pas une attaque qui a fait tomber le système pour qu'il ne fonctionne plus, etc. C'est une attaque… C'est une attaque… pour moi, géopolitique de quelqu'un qui disait je veux te nuire, je veux le dire, en tout cas celui qui l'a revendiqué, le reste je ne sais pas si c'est le même, mais en tout cas ceux qui l'ont revendiqué voulaient faire mal à l'image.
- Speaker #2
Et je dis que peut-être ça a été très déciblé. Parce que ce n'est pas seulement la CNSS qui a des données importantes au Maroc. Quand on regarde l'écosystème, on trouvera par-ci, par-là. Mais taper sur la CNSS, je pense qu'ils ont bien pensé.
- Speaker #1
Oui, bien sûr, c'est très barré.
- Speaker #2
Les décrets de nuisance aussi. Tout ce que ça a pu impliquer comme impact social. Bien sûr. Et attaquer un symbole qui s'appelle sécurité sociale. Oui, ça c'est l'écosystème. Voilà, exactement. C'est de la conducte. Voilà, c'est de la conducte.
- Speaker #0
Est-ce qu'il faut des événements comme ça pour... J'essaie toujours de voir le verre à moitié plein. Pour qu'on puisse monter d'un cran dans la sécurité, et on verra tout ce qui a un impact sur les autres organismes. Comment on fait pour monter d'un cran sur la sécurité ? Est-ce qu'il faut investir plus en termes d'argent ? Il faut investir plus en termes de compétences ? Est-ce qu'il faut mettre ces données ailleurs ? Ça va nous faire venir parler du sujet du cloud et des... et des data centers locaux. Est-ce qu'il faut des événements comme ça ?
- Speaker #1
Je ne sais pas s'il faut des événements comme ça. Ce sont des événements qui permettent de montrer à nos responsables que la cybersécurité est un sujet important. Aujourd'hui, malheureusement, très souvent, elle est sous-traitée à un responsable de la sécurité informatique ou à un DSI, mais elle n'est pas vue. par le COMEX d'une banque, par un ministre, par un patron d'une grande institution, comme étant sa responsabilité. « Sous-traiter à quelqu'un, et puis on n'a pas assez de budget, c'est pas grave, etc. » Je pense que c'est important aujourd'hui, c'est sur la table, personne ne peut l'ignorer, c'est un sujet qui doit être dans le COMEX de n'importe quelle organisation qui se respecte. Nos ministres doivent être responsables de ça, dans nos ministères, nos patrons de grandes entreprises publiques et privées doivent être dans ça. Pour moi,
- Speaker #0
c'est un scénario. qu'on n'avait pas imaginé. C'est-à-dire qu'on se dit des données bancaires, c'est ultra sensible, il ne faut pas que ça fûte, donc on met le paquet. Les données, j'imagine les impôts, c'est très sensible. Après, je ne sais pas, peut-être nos responsables se disent « Ok, il donnait du CNSS, ok, si ce… » Non, ce n'est pas…
- Speaker #2
Moi, je reviens sur les investissements que la CNSS a consentis jusqu'aujourd'hui. Je ne regarde que les appels d'offres et les bons de commande. Le montant qui a été engagé aujourd'hui, ça montre quand même que ce sujet est pris au sérieux. C'est sûr. d'accord au sein de la CNSS mais je dirais que bon peut-être le malheur est venu mais ça amène quelque chose de positif et ça doit questionner en interne qu'est ce qui n'a pas fonctionné parce que quand un incident pareil arrive ce qu'il faut faire c'est de l'analyse de cause il y a un fameux diagramme qu'on appelle Ishikawa diagramme de poisson cause et fait cause et fait vous avez le poisson vous avez la tête et puis vous avez les arêtes qui arrivent au niveau de la tête La question de savoir pourquoi c'est arrivé. Pourquoi c'est arrivé ? Est-ce que c'était un problème managérial ? Un problème technique ? Parce que c'est peut-être qu'on a fait des audits, qu'ils connaissaient les vulnérabilités déjà, mais qu'ils ont pris du temps pour les corriger. C'est possible que ça soit venu de là. Est-ce que c'est venu de l'obsolescence ? Est-ce que c'est venu d'une complicité interne ? De quelqu'un qui a facilité la chose, ainsi de suite ? Oui, donc tout ça, ce sont des arrêtes qui vont converger vers la tête du poisson, le problème en fait.
- Speaker #1
Il faut le faire. Oui.
- Speaker #0
Non mais qu'est-ce qui vient de l'intérieur ?
- Speaker #1
Bien sûr.
- Speaker #0
C'est le walking, ça serait plus simple.
- Speaker #1
Oui,
- Speaker #2
bien sûr.
- Speaker #1
Le plus gros vol du siècle, c'était Snowden qui a volé la NSA de l'intérieur. C'était une cyber qui a sorti tout ce qu'il voulait, c'était quelqu'un de l'intérieur. Ça ne veut pas dire que c'était le cas ici, mais il y a plusieurs pistes à imaginer. Au revoir. Il y a un ancien patron du FBI qui a dit quelque chose un jour incroyable dans une conférence et je pense qu'il faut garder ça en tête. Il y a trois types d'organisations. Il y a celles qui se sont fait hacker, on le sait, comme la CMCS. Il y a celles qui se sont fait hacker et on ne le sait pas parce qu'elles l'ont gardé. Et il y a celles qui ne le savent pas encore. J'insiste, elles ne le savent pas encore. La réalité, c'est qu'à partir du moment où on a des données qui sont importantes, il y a forcément quelqu'un, quelque part, qui les veut. C'est comme ça. Et il y a peut-être aussi forcément quelqu'un qui va y arriver. Quel que soit l'investissement qu'on va faire en termes de protection, l'idée même que c'est infaillible n'existe pas. Il faut qu'on garde ça en tête. Peut-être que la CNSS, et moi je suis certain que les responsables ont fait leur travail correctement. C'est trop facile, comme tu dis, de tirer sur l'ambulance. Je pense qu'ils ont fait leur travail, mais peut-être que... pas assez pour certains cybercriminels qui vont aller beaucoup plus loin, qui vont trouver des failles auxquelles on n'a peut-être pas pensé.
- Speaker #2
Il y a un aspect qui est important aussi. On a parlé de la DGCC, du travail colossal qu'elle a fait jusqu'à aujourd'hui. Mais après, il faut... On peut se questionner aussi de la perception, de la classification des organismes d'importance vitale. Aujourd'hui, on dit « organismes d'importance vitale » parce qu'il y a des secteurs d'importance vitale, et donc toutes les organisations qui sont de ce secteur-là, aériens, distribution de l'eau, de l'électricité, on les classe. Quand on finit de les classer, on classe aussi les scènes d'information de ces OIV en quatre classes. Il y a classe A, classe B, classe C, classe D. Si vous êtes dans la classe A, ça va avec une batterie de mesure, y compris jusqu'à aller faire le SOC dont on a parlé. Si vous êtes moins que ça, il n'y a pas beaucoup d'exigences. Après, c'est de savoir le système en question qui a été attaqué. Il est de quelle classe en fait ? Si dans la graduation,
- Speaker #1
il a été mal classé,
- Speaker #2
il se peut peut-être que la CNSC ne regardait pas ça comme étant important. Parce que les données qui sont sorties, c'est vrai, c'est des classes de salaire. C'est une déclaration de salaire. On ne ménétise pas. Ce n'est pas comme la banque. Ce n'est pas comme la banque. Tu cherches à voler de l'argent, à faire des virements, des choses comme ça. Vous voyez ce que je veux dire ?
- Speaker #1
C'est vrai, mais c'est là où il y a un enjeu. Quand on vole la fiche de paie de quelqu'un, ce n'est pas un enjeu. Quand on vole 2 millions de marocains, c'est-à-dire tout le monde, là, il y a un enjeu. L'enjeu n'est pas le même. Je pense que c'est ça la vraie question, parce que finalement connaître ce que gagne quelqu'un, c'est pas un vrai bras là. Mais quand on prend toutes les données de tout le monde, d'accord, là il y a un enjeu, il y a un enjeu que beaucoup vont utiliser, il y a un enjeu politique, il y a une société, il y a tout un tas d'enjeux qui rentrent en économe du repas des coupes. Et il y a un enjeu aussi de confiance.
- Speaker #0
C'est ça. Ça a mis un gros coup de canif, même de scie, dans la confiance. Alors ça, c'est le moins qu'on puisse dire. Si on écoute un peu les réactions, les rumeurs, etc., même si on n'a pas fait de sondage sur le sujet, mais beaucoup de gens ont commencé à balancer des rumeurs. Ah, mais donc sur la donnée de la CNSS, il y a nécessairement les données bancaires, les RIB, etc. Est-ce que ça peut avoir des ponts ? Est-ce que clairement, quels sont les dangers qu'une telle fuite sur des données de ce type, mais tu l'as dit, c'est des données froides, est-ce qu'il y a un vrai danger ou pas ? Pour que ça égrène sur d'autres systèmes.
- Speaker #2
Bon, le premier danger c'est le phishing. C'est réutiliser ces données pour cibler les personnes en question, au nom de la CNSS en fait. Et d'ailleurs même la CNSS fait un communiqué pour qu'on soit vigilant en fait.
- Speaker #0
J'étonne ce que c'est que le phishing, c'est en fait votre rôle est capital dans une campagne de phishing. Vous envoyez un message, on se fait passer pour un organisme quel qu'il soit. Exact. Un transporteur qui dit vous avez un colis qui va être livré, la CNSS, les impôts, j'en sais rien.
- Speaker #2
C'est ça.
- Speaker #0
Et c'est souvent très bien fait. Mais vous devez cliquer ou vous devez faire une action pour que là on vous clique vos données. C'est ça. Là on a récupéré des millions de données qui peuvent servir pour une campagne.
- Speaker #2
On peut exploiter ça. Ça peut aller par plusieurs canaux, la messagerie, on reçoit des mails, on double clique, ainsi de suite. C'est très fort. Voilà, exactement. Il y a ça, bon ça c'est directement sur les individus, les citoyens, c'est-à-dire non seulement leurs données ont été exposées, mais en même temps ils pourraient être victimes de ce type d'attaque en fait. Ça peut être aussi l'ingénierie sociale aussi, vous voyez, et donc voilà, c'est toujours des gens peut-être qui se font passer pour la CNSS, pour dire voilà, nous sommes en train de corriger des choses après les investigations.
- Speaker #0
Voilà, si c'est des données froides, des fichiers PDF, Même s'il y a un RIB d'une société ou de... ou d'un particulier.
- Speaker #1
Parce que quand les... Si on ne participe pas ça même au truc, il n'y a rien.
- Speaker #0
Vous voulez vous l'entendre dire ? Parce que franchement, il y a des gens qui croient vraiment que...
- Speaker #1
Je pense que là, par contre, la CNSS, sa communication n'a pas été brillante.
- Speaker #0
Ça, c'est le moins qu'on puisse dire.
- Speaker #1
Honnêtement. Parce que autant sur le travail de protection de sécurité, ils font du bon boulot. Je ne pense pas qu'on puisse, comme tu dis, tirer sur l'ambulance. Mais par contre... La manière dont ils ont communiqué, il n'y avait pas d'empathie vis-à-vis des gens. On le dit, il y a eu un temps de la menace et un temps de dire, les données sont fausses, elles ont été manipulées parce qu'il y a des noms qui ont circulé. Franchement, c'est de la mauvaise communication. Ils auraient dû avoir une communication beaucoup plus posée. Ils auraient dû prendre des vrais professionnels de la communication qui les accompagnent au lieu de sortir et communiquer comme ça un peu dans la vape vite. Et avoir une communication pour expliquer, pour rassurer les gens, une communication de pédagogie. pour expliquer que ce qu'il faut faire ne pas faire etc etc là il ya du vrai travail là dessus il a à faire peut-être même une communication coordonnée avec moi je par exemple ma banque m'a envoyé une communication pour me dire d'être vigilant sur pas de ces banques donc les banques l'ont fait donc voilà il ya du travail qui devrait être fait dans ce sens pour les gens les calmer et tout pour qu'il n'y ait pas de et puis un travail aussi la CNDP l'a fait, de rappeler que ce n'est pas parce que les données des gens ont circulé sur les réseaux qu'ils deviennent pour autant publics.
- Speaker #0
Mais d'accord.
- Speaker #1
Je crois qu'on va pouvoir revenir là-dessus.
- Speaker #0
C'est l'objet des renouvelages de la CNSS,
- Speaker #1
ça c'est un vrai sujet.
- Speaker #0
N'utilisez pas, ne partagez pas. Bon, ils en ont raison, mais comme tu as dit, ce n'était pas à ce moment-là, et ce n'était pas ce qu'a fait les gens à ce moment-là. C'était peut-être le rôle de la CNDP, du gouvernement, de leur appeler, de dire... Et on veut le vous rappeler aussi, et ça c'est les réflexes à avoir, c'est pas parce que vous recevez des données qui ont été volées, que vous pouvez les partager sans... parce que vous pouvez être... On va poursuivre les incriminés avant.
- Speaker #2
Ben il m'a aidé le complice ! Mais l'impact dont on parle aussi, c'est pas que sur la CNSS, je pense que j'ai compris la question, ça touche tout l'écosystème. Je pense la confiance que vous avez évoquée, même dans la digitalisation, parce qu'on est en train d'encourager cela, on met beaucoup de moyens, que ça ne va pas nous ramener un peu en arrière. Est-ce que certaines tendances ne diront pas, vous écoutez, vous voyez, on avait dit non, de ne pas y aller, ainsi de suite, on ne croit pas trop en ça, machin, ainsi de suite. Oui, ça va être facile à tous les endroits.
- Speaker #0
C'est le deuxième temps qu'ils ont eu en Espagne, pas d'électricité, un blackout à 8h en se disant on ne peut plus payer, on ne peut plus se tenir.
- Speaker #2
On l'a vu, on l'a vu, il y a quelques semaines. Il y a pas mal de sites quand même qui, soit elles ont restreint les adresses IP depuis l'étranger vers leur service. Il y en a qui ont adopté ces mesures-là, chose qui paraît un peu anormale. Ils ont adopté des...
- Speaker #0
La ICSS, donc la consécration. Voilà, par exemple, si la... Mais bon, ils l'ont lancée pendant un moment, le temps...
- Speaker #2
Ou ce barricade, ainsi de suite, voilà.
- Speaker #1
En fait, c'est un peu normal qu'à un moment donné, les responsables de la sécurité... se posent, fassent une analyse de risque et disent « on a identifié tel et tel risque et la stratégie d'adresser ce risque-là, c'est de prendre cette action » . Et je pense qu'on peut leur faire confiance, c'est leur responsabilité de faire ça, c'est leur rôle de faire ça, peut-être qu'en attendant de construire une autre stratégie dans le futur. Et on ne peut honnêtement que les féliciter. Le fait de le faire, c'est quand il y a des… Et ce n'est pas que dans le digital, dans la réalité. quand il y a un accident d'avion ou un piratage d'avion, les gens n'arrêtent pas de voyager, les gens continuent à voyager. Quand on vole une banque, ça ne ferme pas. L'économie continue à tourner, les gens continuent à faire des chèques, payer en carte de crédit et déposer leur argent. Je pense que cette espèce d'effervescence qu'il peut y avoir, où les gens peuvent, parce qu'il y a eu un incident X ou Y, remettre en question le fait que notre pays doit se transformer, continuer ou accélérer sa transformation digitale, C'est une erreur de mon point de vue. Il faut raison garder et faire les choses rassurément.
- Speaker #0
Bien sûr, il faut rassurer, il faut expliquer. Ça serait ma dernière question, mais le donner personne à l'âme. Ça, c'est la vraie question aussi. On utilise ça tous, je pense. Tout le monde est sur le cloud. Si vous posez des questions à des gens, on prend des petits panels de gens et on pose la question, mais qui est sur le cloud ? Vous avez seulement deux personnes sur l'un qui lèvent la main. On leur dit que si tu as une messagerie, si tu as WhatsApp, si tu as tout ça, tu es déjà sur le cloud, tes données sont ailleurs. Finalement, ça pose la question de la localisation des données, puisque ça aussi, ça fait partie, mais c'est une question qui est posée par tous les pays, la souveraineté des données, la localisation, les data centers, etc. Est-ce que finalement, ça ne pose pas cette question-là ? Est-ce que les données sont plus sécurisées ? on va dire disséminés dans le monde entier, ou rassemblés dans des data centers, mais sur le territoire national ?
- Speaker #1
Mon point de vue sur la question, il n'est pas lié à où sont les données. Mon point de vue, c'est de dire, nous avons, comme on parlait tout à l'heure, il y a une chaîne technologique et humaine, dans laquelle il y a un ensemble de mesures de sécurité qu'on prend, qu'on contrôle, etc. Et donc, les... pourquoi le cloud aujourd'hui est plus utilisé que dans le monde, compris par plusieurs institutions très sensibles dans le monde, c'est parce que les acteurs du cloud, qui sont les très grandes institutions, investissent énormément en cyber défense et en technologies de sécurité que n'importe quel pays dans le monde. C'est-à-dire que les investissements de Amazon, Apple, Microsoft ou Google se comptent en milliards de dollars. Par an, aucun pays ne met à l'échelle du pays autant d'argent. Et la capacité d'attirer les meilleurs, la capacité de développer de la technologie, etc. C'est ça la réalité. Ce n'est pas parce que le data center est au Maroc, en France ou en Espagne. que ça va le rendre plus sécurisé. C'est l'ensemble de la chaîne. Et il se trouve qu'une grosse partie de la chaîne contenue dans le cloud, chez ces opérateurs-là, elle est, du fait même de la nature du business et de leur expertise, elle est plus en sécurité. Ça ne veut pas dire que nos données sont nécessairement en sécurité. Les données qui sont là-bas sont peut-être un peu plus en sécurité, mais il y a quand même... Les réseaux pour y arriver, il y a les endpoints de ce qui se trouve sur nos PC qui sont aussi protégés. Et puis il y a le hard qui constitue aussi. Il y a tant d'endroits,
- Speaker #0
c'est pas bien, mais vous savez.
- Speaker #1
Est-ce que le fait d'avoir ces données là-bas ne donne pas accès à d'autres pays, à d'autres gouvernements, par d'autres règles à ces données ? Il y a des questions géopolitiques, ce ne sont plus des questions techniques, ce sont des questions géopolitiques qui sont. Donc il faut raisonner en termes peut-être de continuité de... quand il y a une unité juridique. Il faut raisonner peut-être en matière de résilience et non pas, mais dire que les données au Maroc sont plus en sécurité parce qu'elles sont au Maroc. À mon avis, on vient de prouver que ce n'est pas le cas et il faut arrêter de parler de ça. Je veux dire, franchement, oui, bien sûr, c'est plus un peu dans les pays, c'est un autre sujet.
- Speaker #0
Technologiquement, alors ça sera vraiment ma dernière question technologique aujourd'hui. C'est pour une fois que je parle de tech dans une émission et je n'ai pas encore fallu dire. Mais nécessairement, dans le piratage, dans le hacking, etc., aujourd'hui, il y a une donnée qui est monumentale, c'est l'IA, parce que ça multiplie, non seulement pour les hackers, les possibilités d'avoir tout, de rentrer dans des systèmes, et puis aussi aux gens qui essaient de protéger les institutions, d'utiliser l'IA. Donc c'est IA contre IA dans le hacking. Est-ce que ça a augmenté le nombre de, on va dire, le volume d'attaques ? Parce que je regarde le chiffre en 2024, on est quoi ? Avec le Maroc ? On estime à 12 millions les tentatives d'attaque. Oui, c'est tout. C'est pour ça que j'ai dit on estime. J'ai pris les chiffres. Et puis ça, c'est une estimation. Ça veut dire des dizaines de milliers par jour. Par jour. Ce type d'institution. Il faut juste se rendre compte qu'à un moment donné, il faut bien qu'il y ait un trou dans la règle.
- Speaker #1
C'est important ce que tu dis parce que là, tu n'es pas en train de rassurer les gens. Excuse-moi de t'interrompre. Quand on dit qu'il y a des attaques,
- Speaker #0
ça pourrait faire sens.
- Speaker #1
Ça veut dire qu'elles sont arrêtées. Là, j'insiste. Il faut qu'on insiste là-dessus. Parce que les équipes ont fait leur travail.
- Speaker #0
Et les films de science-fiction, quand tu as le gros bouclier autour de la Terre, heureusement, ça désigna de s'en revendre. De temps en temps, il y a des petits malheurs. L'IA aujourd'hui, c'est une vraie solution pour la protection, autant que pour les hackers ?
- Speaker #2
Oui. Alors, c'est vrai. Je pense que les chiffres que vous donnez, ça se justifie. Parce que le neurologie augmente davantage quand on utilise l'IA. L'attaquant utilise l'IA. pour automatiser ses scripts, pour automatiser ses attaques. Ça lui rend la vie plus facile, je peux le dire. Ce qu'il aurait fait intellectuellement parlant, s'il arrivait à utiliser l'IA, il peut démultiplier les attaques autant qu'il veut et sur plusieurs environnements. De l'autre côté, dans la défense, il faut aussi penser à intégrer cela. Je crois que même l'architecture des SOC aujourd'hui, Security Operations Center, commencer à intégrer ces usages aussi pour pouvoir améliorer la détection des menaces et puis pouvoir anticiper notamment tout ce qui est repousse à incident en se basant sur les technologies qu'il y a en fait. Donc aujourd'hui, oui, je pense que c'est l'outil d'avenir, c'est les outils d'avenir, et même la cyber, je pense même que Microsoft et tous les grands qu'on connaît aujourd'hui, ils intègrent ces aspects dans le réseau. dans les outils de protection aussi. Quand vous prenez un antivirus aujourd'hui, il y a un intérêt aussi, il y a tout ce qui est analyse comportementale, ainsi de suite, pour améliorer la protection de votre ordinateur.
- Speaker #0
En temps réel, les attaques qui arrivent, il y a une IA qui essaie de...
- Speaker #1
Vous prenez un acteur comme Amazon, ou Microsoft, ou Google, ils ont plusieurs trilliards, je dis bien milliers de milliards. d'événements de sécurité par jour qu'ils voient. C'est impossible de les traiter de manière manuelle. Donc l'IA, elle est là pour faire le tri, pour identifier, etc. Justement parce qu'ils utilisent le cloud, parce que c'est eux qui donnent les PC, les Android, les iPhone, etc. Ils voient ça, c'est des points d'information de sécurité qu'ils ont. Et donc cette information collectée mondialement leur donne une puissance d'analyse en utilisant l'IA. pour pouvoir construire et mieux protéger.
- Speaker #0
Si je peux me permettre, parce que tu as dit quelque chose de très important. Dans cette histoire, il y a deux sujets importants. Le premier, c'est de se dire qu'il ne s'agit pas simplement de protection. Parce que tout le monde, les experts le savent, mais c'est important qu'on l'explique. Il y a une souci d'être capable de se protéger. La réalité, c'est que même si on se protège, quelqu'un va rentrer. C'est comme chez vous à la maison, vous pouvez mettre toutes les caméras et toutes les sirènes, il y a peut-être un jour quelqu'un qui va rentrer parce que vous avez quelque chose qu'il veut prendre, parce que ça l'intéresse. Et donc, la première chose, c'est d'être capable de le détecter le plus vite possible et ne pas le laisser s'élibérer à la maison et de prendre ce qu'il veut. Donc, la détection devient importante. Et puis après, s'il agit, s'il fait mal, il faut être capable de corriger et de repartir le plus vite possible. Donc, ces éléments-là sont importants. quand on est dans une stratégie de... Et la deuxième chose que j'ai envie de dire, c'est qu'en fait, aujourd'hui, pourquoi est-ce qu'on a moins d'attaques dans les banques, dans les agences ? Parce que... D'attaques physiques. D'attaques physiques. Parce qu'on a cassé le business model de l'attaquant. Il est cassé. Aujourd'hui, si quelqu'un veut attaquer une banque, il peut non seulement se faire arrêter, mais la réalité c'est qu'il ne va pas trouver d'argent. Et ça va lui coûter très cher pour le faire.
- Speaker #1
Ça c'est en Europe, ici il y a encore du cash.
- Speaker #0
Oui, mais même, le coût financier de l'attaque est supérieur au gain. Donc finalement... Oui, mais c'est nous qui avons toujours à dire en face de l'agence pour indiquer,
- Speaker #1
c'est ça ? Avec les caméras.
- Speaker #0
Et je pense qu'on doit arriver à faire la même chose dans la tête. C'est de faire en sorte que le business... C'est nous, il n'y a rien à voler ? Non, c'est que le coût de l'attaque soit supérieur au bénéfice. Le jour où on arrivera à ça... Et finalement, il va aller chercher là où il y a des coûts d'entrée plus faibles et un bénéfice à gagner. Parce qu'il raisonne de la même manière.
- Speaker #2
C'est pour ça qu'il y a le principe de défense en profondeur. Ce n'est juste un principe dans la sécurité. Cette couche, il y a la couche périmétrique, la couche organisationnelle. Vous arrivez sur le système, vous avez des mesures de sécurité. C'est faire en sorte que quand l'un tombe, le prochain le protège. Jusqu'à ce que vous arrivez sur la data. si elle est chiffrée, si on revient à la CNSS et si elle était chiffrée, on n'aurait pas eu de soucis. Ils auraient voulu, je ne sais pas combien de gigas de données, mais quand ils veulent ouvrir, on leur demande une clé, en fait. Et donc, ça, c'est un principe, effectivement, et ça pose la question de savoir est-ce que l'architecture de nos entreprises est bâtie selon ce principe.
- Speaker #1
C'est la catégorisation de la donnée aussi. On n'a pas chiffré ces données parce qu'on ne considérait pas que ces données croides étaient si sensibles. Voilà, ma fille d'avant, tu vois, on a... Merci à vous, en tout cas, ça nous a permis d'y voir un peu plus clair et d'essayer de rassurer. On espère qu'on ne vous a pas fait peur. Mais c'est aussi de rassurer. On vit dans un monde entouré par la donnée, on produit de la donnée. Tous les jours, on a des traces numériques et ça ne va pas s'arrêter. Ça sera nécessairement comme ça. Et avec l'IA, en tout cas, ça permettra d'accélérer un certain nombre de choses. Dans la production de votre donnée, dans la protection de vos données, mais aussi... pour les hackers qui essayent de vous la chipper ou de vous l'altérer. Voilà, merci d'avoir été avec nous comme d'habitude. N'hésitez pas à écouter cette émission seulement en audio si vous préférez seulement les paroles. C'est sur toutes les bonnes plateformes. Et nous, on se retrouve très vite pour un autre Parole d'Experts sur Arche. Tchao !
Description
Nos données personnelles sont-elles encore à l’abri ?
Retrouvez-nous sur nos différentes plateformes !
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
- Speaker #0
La déflagration digitale au Maroc, c'est le hacking de la CNSS. C'était le 8 avril dernier, ce qui a posé énormément de questions. Les responsabilités, les implications, qu'elles soient juridiques, qu'elles soient techniques, nos données sont-elles à l'abri aujourd'hui au Maroc ? Que ce soit nos données financières, que ce soit nos données personnelles jugées sensibles, puisque vous savez que dans la loi, il y a des données qui sont jugées... sensible avec certains critères. Nos data sont-elles à l'abri ? C'est le sujet de l'émission de jeu. Et pour en parler avec moi aujourd'hui je reçois deux experts dans Parole d'expert Chablis Jar. Consultant spécialisé en gestion des risques, audit et conseil en sécurité de l'information. C'est ça, je ne me suis pas trompé ? Non, c'est ça. Donc tu dois te connaître à peu près sur ce sujet-là. Oui, oui. Ok. Nassab Khtani, que je connais bien. Merci Nassab d'être venu. Pavie, comment je vais te définir ? Tu es entrepreneur fintech. Tu es le fondateur, co-fondateur de la plateforme de hardware and family. On va en parler. Tu es fondateur également de Hidden Clouders.
- Speaker #1
Tu as plein de casquettes.
- Speaker #0
feigneur. carrière immense dans la tech et ça va être intéressant d'avoir ton avis sur le sujet au sujet de ce hacking de la CNSS alors le but vraiment ce n'est pas de tirer sur l'ambulance je pense que ça a déjà été fait là c'est vraiment un comprendre peut-être comment ça a pu arriver parce que on est dans une période où même l'Espagne le Portugal ça n'ont pas encore compris pourquoi ils ont eu un gros black out mais ça c'est autre chose On essaiera de comprendre comment la CNSS a pu être hackée, quelles sont les autres institutions qui peuvent être hackées, et finalement, toutes nos données, parce que c'est la première fois qu'il y a, on va dire, une fuite de données de masse. La CNSS, c'est tout le secteur privé, la sécurité sociale des employés du secteur privé, avec des données qui se sont retrouvées sur Telegram et sur d'autres groupes, de manière totalement dénudée. Avant qu'on parle de ça, c'est vrai que moi je suis allé fouiner, je ne suis pas un hacker, mais c'est vrai que quand on va voir un peu comment ça se passe, le processus a l'air simple, c'est très compliqué après bien sûr, parce qu'il faut avoir toutes les compétences pour le faire. On parle de Zero Day, on parle d'Escalation, on parle de... Moi je veux juste votre sentiment, une institution comme la CNSS devrait être protégée de la meilleure des manières. Est-ce qu'aujourd'hui, quasiment un mois... après que ça soit survenu. Est-ce qu'on sait exactement ce qui s'est passé dans la salle ?
- Speaker #1
Personnellement, moi, personnellement, je ne fais pas partie de l'équipe d'investigation ni au sein d'ACMSS, ni au sein d'ADG SSI, qui fait...
- Speaker #0
Au cap des bruits.
- Speaker #1
Mais donc, ce que je vois, moi, c'est qu'il y a eu... En fait, on n'a pas encore... On ne sait pas probablement qui est-ce qui a fait ça, mais quand je dis qui... Parce que pour moi, il y a celui qui l'a commandé, il y a celui qui l'a fait, et il y a celui qui l'a revendiqué. Et ce ne sont pas nécessairement les mêmes. Il y a ceux qui veulent naviguer sur la vague en disant « c'est nous qui l'avons fait, mais ce n'est pas nécessairement eux » . Donc il y a un travail probablement d'investigation profonde à faire pour savoir exactement ce qui s'est passé. Pour moi, il y a eu… la CNSS est probablement bien protégée. est-ce qu'elle est suffisamment protégée contre des gens qui veulent vraiment... aller chercher des choses, peut-être pas assez. Et donc, il faudra peut-être tirer les conclusions des enquêtes qui vont avoir lieu par les autorités qui mènent ces enquêtes. Parce que je pense que ça prend du temps. Il faut vraiment, tu l'as dit, dans ce monde-là, les criminels ou les cybercriminels essayent de tout faire pour ne pas laisser de traces derrière. Alors, c'est très difficile. Les meilleurs y arrivent. Du moins bon. laisse des traces Mais les meilleurs ne laissent pas de traces ou alors font laisser des mauvaises traces pour faire croire que c'est quelqu'un d'autre qui l'a fait. Donc il y a tout un jeu autour de ça. Je pense qu'il faut laisser du temps aux requêteurs pour vraiment être extrêmement efficace. L'ADGCC a de très bonnes compétences pour pouvoir faire ce qu'il en a.
- Speaker #0
Finalement, ils sont dans tous les pays du monde, mais particulièrement aussi ici, ils sont efficaces. Chablis, qu'est-ce que tu as pensé finalement toi aussi de la manière avec laquelle ça s'est passé ? On parlera au... ce que ça peut impliquer par la suite avec les données justement qui sont là.
- Speaker #2
J'irais dans le même sens. Aujourd'hui, il faut atteindre les voies autorisées pour nous dire à peu près ce qui s'est passé. Ça prend du temps, comme on l'a dit, et ça dépend même de tout ce qu'on veut collecter aussi comme informations derrière pour savoir et tirer les leçons autour de cet incident en fait. Mais bon, on peut penser à toute forme de vulnérabilité, parce que même si on dit que la CNES s'est protégée, jusqu'à quel degré on ne le sait pas. Il y a peut-être des choses qui ont été faites, il y a peut-être des choses qui sont en cours, peut-être au moment de l'attaque, et il y a des choses qui sont prévues. On a consulté un peu les appels d'offres de la CNSS sur la cybersécurité.
- Speaker #0
Si nécessairement tout le monde s'est posé la question, qui s'est occupé de la sécurité de la CNSS ?
- Speaker #1
Mais c'est jamais une seule personne, on ne le parlera pas. C'est pas une seule société.
- Speaker #2
Mais c'est la CNSS elle-même qui s'occupe de sa sécurité, même si elle fait la... appelle à des externes. C'est elle. Même si je reviens, parce qu'aujourd'hui, on parle de la DGCC, on peut parler aussi de la CNDP, parce que le Donat Caractère Personnel était engagé dans cette histoire.
- Speaker #0
Oui, mais la CNDP n'a pas...
- Speaker #2
Je parle de ça pour situer la notion de responsabilité de traitement, en fait. Parce que la loi 0908 définit la notion de responsabilité de traitement. La DGCC va définir une notion d'organisme d'importance digitale. avec son corollaire de mesures de sécurité à faire. Mais si on veut situer la responsabilité aujourd'hui, il faut qu'on le situe aussi dans le sens de la protection de la caractère personnelle. En tant que responsable de traitement, c'est la CNSS qui s'occupe de sa sécurité d'abord. Même si elle sous-traite des choses, on ne peut pas dire que le sous-traitant est responsable de la chose.
- Speaker #0
C'est la CNSS qui est responsable. Quand vous traitez des données, vous êtes tenu non seulement d'informer la CNDP de ce que vous allez faire de ces données, et puis la CNDP a la possibilité d'être en justice, mais elle a quand même des limites, elle ne peut pas tout régler d'un point de vue judiciaire.
- Speaker #1
On peut sous-traiter une partie de la sécurité, on ne sous-traite pas sa responsabilité vis-à-vis de la sécurité, ni vis-à-vis de la responsabilité vis-à-vis de la protection des données. Ça c'est, on la garde et on est responsable. ça ne se traite pas. En réalité, sur ce là, il y a ce qu'on appelle une supply chain. C'est-à-dire qu'il faut regarder l'ensemble de la chaîne et les humaines et les techniques. Il y a des prestataires qui font du service, il y a des prestataires qui font du conseil, il y a des prestataires qui fournissent de la technologie, des infrastructures, des routers, c'est toute une chaîne très complexe dans laquelle il faut trouver où est-ce qu'il y a eu les failles, etc. Mais la chaîne technologique est complexe, c'est une question de supply chain.
- Speaker #0
Les données, ça c'est une vraie question aussi, parce que là on a fait fuir des données. Elles étaient où ces données ?
- Speaker #1
Apparemment elles étaient sur les serveurs de la CNSS qui ont été ponctionnées des serveurs. C'est des données froides, donc ce ne sont pas des données de prod, donc c'est des espèces d'archives en fait. Ce n'est pas des données, ce qu'on appelle des données un peu froides. C'est le fichier PDF français, donc c'est pas dans la base des bords de route.
- Speaker #0
Oui, bien sûr.
- Speaker #2
Jusque-là, c'est ce qu'on connaît.
- Speaker #0
C'est ce qu'elle a été, oui. Les Français se sont éveillés, etc.
- Speaker #1
Parce qu'il y avait une volonté probablement de celui qui revendiquait d'une communication politique, peut-être géopolitique, de communiquer ça à la veille de JTEC, à la veille d'un certain nombre de... de négociations qu'il y avait aux États-Unis, etc. Donc il y avait une volonté, en tout cas, d'une revendication qui était plus politique qu'autre chose. Parce que ce n'était pas, il faut aussi le dire, ce n'était pas une attaque où on a dit « ransomware, soit tu payes, soit je ne te donne pas les données » . Ce n'était pas une attaque qui a fait tomber le système pour qu'il ne fonctionne plus, etc. C'est une attaque… C'est une attaque… pour moi, géopolitique de quelqu'un qui disait je veux te nuire, je veux le dire, en tout cas celui qui l'a revendiqué, le reste je ne sais pas si c'est le même, mais en tout cas ceux qui l'ont revendiqué voulaient faire mal à l'image.
- Speaker #2
Et je dis que peut-être ça a été très déciblé. Parce que ce n'est pas seulement la CNSS qui a des données importantes au Maroc. Quand on regarde l'écosystème, on trouvera par-ci, par-là. Mais taper sur la CNSS, je pense qu'ils ont bien pensé.
- Speaker #1
Oui, bien sûr, c'est très barré.
- Speaker #2
Les décrets de nuisance aussi. Tout ce que ça a pu impliquer comme impact social. Bien sûr. Et attaquer un symbole qui s'appelle sécurité sociale. Oui, ça c'est l'écosystème. Voilà, exactement. C'est de la conducte. Voilà, c'est de la conducte.
- Speaker #0
Est-ce qu'il faut des événements comme ça pour... J'essaie toujours de voir le verre à moitié plein. Pour qu'on puisse monter d'un cran dans la sécurité, et on verra tout ce qui a un impact sur les autres organismes. Comment on fait pour monter d'un cran sur la sécurité ? Est-ce qu'il faut investir plus en termes d'argent ? Il faut investir plus en termes de compétences ? Est-ce qu'il faut mettre ces données ailleurs ? Ça va nous faire venir parler du sujet du cloud et des... et des data centers locaux. Est-ce qu'il faut des événements comme ça ?
- Speaker #1
Je ne sais pas s'il faut des événements comme ça. Ce sont des événements qui permettent de montrer à nos responsables que la cybersécurité est un sujet important. Aujourd'hui, malheureusement, très souvent, elle est sous-traitée à un responsable de la sécurité informatique ou à un DSI, mais elle n'est pas vue. par le COMEX d'une banque, par un ministre, par un patron d'une grande institution, comme étant sa responsabilité. « Sous-traiter à quelqu'un, et puis on n'a pas assez de budget, c'est pas grave, etc. » Je pense que c'est important aujourd'hui, c'est sur la table, personne ne peut l'ignorer, c'est un sujet qui doit être dans le COMEX de n'importe quelle organisation qui se respecte. Nos ministres doivent être responsables de ça, dans nos ministères, nos patrons de grandes entreprises publiques et privées doivent être dans ça. Pour moi,
- Speaker #0
c'est un scénario. qu'on n'avait pas imaginé. C'est-à-dire qu'on se dit des données bancaires, c'est ultra sensible, il ne faut pas que ça fûte, donc on met le paquet. Les données, j'imagine les impôts, c'est très sensible. Après, je ne sais pas, peut-être nos responsables se disent « Ok, il donnait du CNSS, ok, si ce… » Non, ce n'est pas…
- Speaker #2
Moi, je reviens sur les investissements que la CNSS a consentis jusqu'aujourd'hui. Je ne regarde que les appels d'offres et les bons de commande. Le montant qui a été engagé aujourd'hui, ça montre quand même que ce sujet est pris au sérieux. C'est sûr. d'accord au sein de la CNSS mais je dirais que bon peut-être le malheur est venu mais ça amène quelque chose de positif et ça doit questionner en interne qu'est ce qui n'a pas fonctionné parce que quand un incident pareil arrive ce qu'il faut faire c'est de l'analyse de cause il y a un fameux diagramme qu'on appelle Ishikawa diagramme de poisson cause et fait cause et fait vous avez le poisson vous avez la tête et puis vous avez les arêtes qui arrivent au niveau de la tête La question de savoir pourquoi c'est arrivé. Pourquoi c'est arrivé ? Est-ce que c'était un problème managérial ? Un problème technique ? Parce que c'est peut-être qu'on a fait des audits, qu'ils connaissaient les vulnérabilités déjà, mais qu'ils ont pris du temps pour les corriger. C'est possible que ça soit venu de là. Est-ce que c'est venu de l'obsolescence ? Est-ce que c'est venu d'une complicité interne ? De quelqu'un qui a facilité la chose, ainsi de suite ? Oui, donc tout ça, ce sont des arrêtes qui vont converger vers la tête du poisson, le problème en fait.
- Speaker #1
Il faut le faire. Oui.
- Speaker #0
Non mais qu'est-ce qui vient de l'intérieur ?
- Speaker #1
Bien sûr.
- Speaker #0
C'est le walking, ça serait plus simple.
- Speaker #1
Oui,
- Speaker #2
bien sûr.
- Speaker #1
Le plus gros vol du siècle, c'était Snowden qui a volé la NSA de l'intérieur. C'était une cyber qui a sorti tout ce qu'il voulait, c'était quelqu'un de l'intérieur. Ça ne veut pas dire que c'était le cas ici, mais il y a plusieurs pistes à imaginer. Au revoir. Il y a un ancien patron du FBI qui a dit quelque chose un jour incroyable dans une conférence et je pense qu'il faut garder ça en tête. Il y a trois types d'organisations. Il y a celles qui se sont fait hacker, on le sait, comme la CMCS. Il y a celles qui se sont fait hacker et on ne le sait pas parce qu'elles l'ont gardé. Et il y a celles qui ne le savent pas encore. J'insiste, elles ne le savent pas encore. La réalité, c'est qu'à partir du moment où on a des données qui sont importantes, il y a forcément quelqu'un, quelque part, qui les veut. C'est comme ça. Et il y a peut-être aussi forcément quelqu'un qui va y arriver. Quel que soit l'investissement qu'on va faire en termes de protection, l'idée même que c'est infaillible n'existe pas. Il faut qu'on garde ça en tête. Peut-être que la CNSS, et moi je suis certain que les responsables ont fait leur travail correctement. C'est trop facile, comme tu dis, de tirer sur l'ambulance. Je pense qu'ils ont fait leur travail, mais peut-être que... pas assez pour certains cybercriminels qui vont aller beaucoup plus loin, qui vont trouver des failles auxquelles on n'a peut-être pas pensé.
- Speaker #2
Il y a un aspect qui est important aussi. On a parlé de la DGCC, du travail colossal qu'elle a fait jusqu'à aujourd'hui. Mais après, il faut... On peut se questionner aussi de la perception, de la classification des organismes d'importance vitale. Aujourd'hui, on dit « organismes d'importance vitale » parce qu'il y a des secteurs d'importance vitale, et donc toutes les organisations qui sont de ce secteur-là, aériens, distribution de l'eau, de l'électricité, on les classe. Quand on finit de les classer, on classe aussi les scènes d'information de ces OIV en quatre classes. Il y a classe A, classe B, classe C, classe D. Si vous êtes dans la classe A, ça va avec une batterie de mesure, y compris jusqu'à aller faire le SOC dont on a parlé. Si vous êtes moins que ça, il n'y a pas beaucoup d'exigences. Après, c'est de savoir le système en question qui a été attaqué. Il est de quelle classe en fait ? Si dans la graduation,
- Speaker #1
il a été mal classé,
- Speaker #2
il se peut peut-être que la CNSC ne regardait pas ça comme étant important. Parce que les données qui sont sorties, c'est vrai, c'est des classes de salaire. C'est une déclaration de salaire. On ne ménétise pas. Ce n'est pas comme la banque. Ce n'est pas comme la banque. Tu cherches à voler de l'argent, à faire des virements, des choses comme ça. Vous voyez ce que je veux dire ?
- Speaker #1
C'est vrai, mais c'est là où il y a un enjeu. Quand on vole la fiche de paie de quelqu'un, ce n'est pas un enjeu. Quand on vole 2 millions de marocains, c'est-à-dire tout le monde, là, il y a un enjeu. L'enjeu n'est pas le même. Je pense que c'est ça la vraie question, parce que finalement connaître ce que gagne quelqu'un, c'est pas un vrai bras là. Mais quand on prend toutes les données de tout le monde, d'accord, là il y a un enjeu, il y a un enjeu que beaucoup vont utiliser, il y a un enjeu politique, il y a une société, il y a tout un tas d'enjeux qui rentrent en économe du repas des coupes. Et il y a un enjeu aussi de confiance.
- Speaker #0
C'est ça. Ça a mis un gros coup de canif, même de scie, dans la confiance. Alors ça, c'est le moins qu'on puisse dire. Si on écoute un peu les réactions, les rumeurs, etc., même si on n'a pas fait de sondage sur le sujet, mais beaucoup de gens ont commencé à balancer des rumeurs. Ah, mais donc sur la donnée de la CNSS, il y a nécessairement les données bancaires, les RIB, etc. Est-ce que ça peut avoir des ponts ? Est-ce que clairement, quels sont les dangers qu'une telle fuite sur des données de ce type, mais tu l'as dit, c'est des données froides, est-ce qu'il y a un vrai danger ou pas ? Pour que ça égrène sur d'autres systèmes.
- Speaker #2
Bon, le premier danger c'est le phishing. C'est réutiliser ces données pour cibler les personnes en question, au nom de la CNSS en fait. Et d'ailleurs même la CNSS fait un communiqué pour qu'on soit vigilant en fait.
- Speaker #0
J'étonne ce que c'est que le phishing, c'est en fait votre rôle est capital dans une campagne de phishing. Vous envoyez un message, on se fait passer pour un organisme quel qu'il soit. Exact. Un transporteur qui dit vous avez un colis qui va être livré, la CNSS, les impôts, j'en sais rien.
- Speaker #2
C'est ça.
- Speaker #0
Et c'est souvent très bien fait. Mais vous devez cliquer ou vous devez faire une action pour que là on vous clique vos données. C'est ça. Là on a récupéré des millions de données qui peuvent servir pour une campagne.
- Speaker #2
On peut exploiter ça. Ça peut aller par plusieurs canaux, la messagerie, on reçoit des mails, on double clique, ainsi de suite. C'est très fort. Voilà, exactement. Il y a ça, bon ça c'est directement sur les individus, les citoyens, c'est-à-dire non seulement leurs données ont été exposées, mais en même temps ils pourraient être victimes de ce type d'attaque en fait. Ça peut être aussi l'ingénierie sociale aussi, vous voyez, et donc voilà, c'est toujours des gens peut-être qui se font passer pour la CNSS, pour dire voilà, nous sommes en train de corriger des choses après les investigations.
- Speaker #0
Voilà, si c'est des données froides, des fichiers PDF, Même s'il y a un RIB d'une société ou de... ou d'un particulier.
- Speaker #1
Parce que quand les... Si on ne participe pas ça même au truc, il n'y a rien.
- Speaker #0
Vous voulez vous l'entendre dire ? Parce que franchement, il y a des gens qui croient vraiment que...
- Speaker #1
Je pense que là, par contre, la CNSS, sa communication n'a pas été brillante.
- Speaker #0
Ça, c'est le moins qu'on puisse dire.
- Speaker #1
Honnêtement. Parce que autant sur le travail de protection de sécurité, ils font du bon boulot. Je ne pense pas qu'on puisse, comme tu dis, tirer sur l'ambulance. Mais par contre... La manière dont ils ont communiqué, il n'y avait pas d'empathie vis-à-vis des gens. On le dit, il y a eu un temps de la menace et un temps de dire, les données sont fausses, elles ont été manipulées parce qu'il y a des noms qui ont circulé. Franchement, c'est de la mauvaise communication. Ils auraient dû avoir une communication beaucoup plus posée. Ils auraient dû prendre des vrais professionnels de la communication qui les accompagnent au lieu de sortir et communiquer comme ça un peu dans la vape vite. Et avoir une communication pour expliquer, pour rassurer les gens, une communication de pédagogie. pour expliquer que ce qu'il faut faire ne pas faire etc etc là il ya du vrai travail là dessus il a à faire peut-être même une communication coordonnée avec moi je par exemple ma banque m'a envoyé une communication pour me dire d'être vigilant sur pas de ces banques donc les banques l'ont fait donc voilà il ya du travail qui devrait être fait dans ce sens pour les gens les calmer et tout pour qu'il n'y ait pas de et puis un travail aussi la CNDP l'a fait, de rappeler que ce n'est pas parce que les données des gens ont circulé sur les réseaux qu'ils deviennent pour autant publics.
- Speaker #0
Mais d'accord.
- Speaker #1
Je crois qu'on va pouvoir revenir là-dessus.
- Speaker #0
C'est l'objet des renouvelages de la CNSS,
- Speaker #1
ça c'est un vrai sujet.
- Speaker #0
N'utilisez pas, ne partagez pas. Bon, ils en ont raison, mais comme tu as dit, ce n'était pas à ce moment-là, et ce n'était pas ce qu'a fait les gens à ce moment-là. C'était peut-être le rôle de la CNDP, du gouvernement, de leur appeler, de dire... Et on veut le vous rappeler aussi, et ça c'est les réflexes à avoir, c'est pas parce que vous recevez des données qui ont été volées, que vous pouvez les partager sans... parce que vous pouvez être... On va poursuivre les incriminés avant.
- Speaker #2
Ben il m'a aidé le complice ! Mais l'impact dont on parle aussi, c'est pas que sur la CNSS, je pense que j'ai compris la question, ça touche tout l'écosystème. Je pense la confiance que vous avez évoquée, même dans la digitalisation, parce qu'on est en train d'encourager cela, on met beaucoup de moyens, que ça ne va pas nous ramener un peu en arrière. Est-ce que certaines tendances ne diront pas, vous écoutez, vous voyez, on avait dit non, de ne pas y aller, ainsi de suite, on ne croit pas trop en ça, machin, ainsi de suite. Oui, ça va être facile à tous les endroits.
- Speaker #0
C'est le deuxième temps qu'ils ont eu en Espagne, pas d'électricité, un blackout à 8h en se disant on ne peut plus payer, on ne peut plus se tenir.
- Speaker #2
On l'a vu, on l'a vu, il y a quelques semaines. Il y a pas mal de sites quand même qui, soit elles ont restreint les adresses IP depuis l'étranger vers leur service. Il y en a qui ont adopté ces mesures-là, chose qui paraît un peu anormale. Ils ont adopté des...
- Speaker #0
La ICSS, donc la consécration. Voilà, par exemple, si la... Mais bon, ils l'ont lancée pendant un moment, le temps...
- Speaker #2
Ou ce barricade, ainsi de suite, voilà.
- Speaker #1
En fait, c'est un peu normal qu'à un moment donné, les responsables de la sécurité... se posent, fassent une analyse de risque et disent « on a identifié tel et tel risque et la stratégie d'adresser ce risque-là, c'est de prendre cette action » . Et je pense qu'on peut leur faire confiance, c'est leur responsabilité de faire ça, c'est leur rôle de faire ça, peut-être qu'en attendant de construire une autre stratégie dans le futur. Et on ne peut honnêtement que les féliciter. Le fait de le faire, c'est quand il y a des… Et ce n'est pas que dans le digital, dans la réalité. quand il y a un accident d'avion ou un piratage d'avion, les gens n'arrêtent pas de voyager, les gens continuent à voyager. Quand on vole une banque, ça ne ferme pas. L'économie continue à tourner, les gens continuent à faire des chèques, payer en carte de crédit et déposer leur argent. Je pense que cette espèce d'effervescence qu'il peut y avoir, où les gens peuvent, parce qu'il y a eu un incident X ou Y, remettre en question le fait que notre pays doit se transformer, continuer ou accélérer sa transformation digitale, C'est une erreur de mon point de vue. Il faut raison garder et faire les choses rassurément.
- Speaker #0
Bien sûr, il faut rassurer, il faut expliquer. Ça serait ma dernière question, mais le donner personne à l'âme. Ça, c'est la vraie question aussi. On utilise ça tous, je pense. Tout le monde est sur le cloud. Si vous posez des questions à des gens, on prend des petits panels de gens et on pose la question, mais qui est sur le cloud ? Vous avez seulement deux personnes sur l'un qui lèvent la main. On leur dit que si tu as une messagerie, si tu as WhatsApp, si tu as tout ça, tu es déjà sur le cloud, tes données sont ailleurs. Finalement, ça pose la question de la localisation des données, puisque ça aussi, ça fait partie, mais c'est une question qui est posée par tous les pays, la souveraineté des données, la localisation, les data centers, etc. Est-ce que finalement, ça ne pose pas cette question-là ? Est-ce que les données sont plus sécurisées ? on va dire disséminés dans le monde entier, ou rassemblés dans des data centers, mais sur le territoire national ?
- Speaker #1
Mon point de vue sur la question, il n'est pas lié à où sont les données. Mon point de vue, c'est de dire, nous avons, comme on parlait tout à l'heure, il y a une chaîne technologique et humaine, dans laquelle il y a un ensemble de mesures de sécurité qu'on prend, qu'on contrôle, etc. Et donc, les... pourquoi le cloud aujourd'hui est plus utilisé que dans le monde, compris par plusieurs institutions très sensibles dans le monde, c'est parce que les acteurs du cloud, qui sont les très grandes institutions, investissent énormément en cyber défense et en technologies de sécurité que n'importe quel pays dans le monde. C'est-à-dire que les investissements de Amazon, Apple, Microsoft ou Google se comptent en milliards de dollars. Par an, aucun pays ne met à l'échelle du pays autant d'argent. Et la capacité d'attirer les meilleurs, la capacité de développer de la technologie, etc. C'est ça la réalité. Ce n'est pas parce que le data center est au Maroc, en France ou en Espagne. que ça va le rendre plus sécurisé. C'est l'ensemble de la chaîne. Et il se trouve qu'une grosse partie de la chaîne contenue dans le cloud, chez ces opérateurs-là, elle est, du fait même de la nature du business et de leur expertise, elle est plus en sécurité. Ça ne veut pas dire que nos données sont nécessairement en sécurité. Les données qui sont là-bas sont peut-être un peu plus en sécurité, mais il y a quand même... Les réseaux pour y arriver, il y a les endpoints de ce qui se trouve sur nos PC qui sont aussi protégés. Et puis il y a le hard qui constitue aussi. Il y a tant d'endroits,
- Speaker #0
c'est pas bien, mais vous savez.
- Speaker #1
Est-ce que le fait d'avoir ces données là-bas ne donne pas accès à d'autres pays, à d'autres gouvernements, par d'autres règles à ces données ? Il y a des questions géopolitiques, ce ne sont plus des questions techniques, ce sont des questions géopolitiques qui sont. Donc il faut raisonner en termes peut-être de continuité de... quand il y a une unité juridique. Il faut raisonner peut-être en matière de résilience et non pas, mais dire que les données au Maroc sont plus en sécurité parce qu'elles sont au Maroc. À mon avis, on vient de prouver que ce n'est pas le cas et il faut arrêter de parler de ça. Je veux dire, franchement, oui, bien sûr, c'est plus un peu dans les pays, c'est un autre sujet.
- Speaker #0
Technologiquement, alors ça sera vraiment ma dernière question technologique aujourd'hui. C'est pour une fois que je parle de tech dans une émission et je n'ai pas encore fallu dire. Mais nécessairement, dans le piratage, dans le hacking, etc., aujourd'hui, il y a une donnée qui est monumentale, c'est l'IA, parce que ça multiplie, non seulement pour les hackers, les possibilités d'avoir tout, de rentrer dans des systèmes, et puis aussi aux gens qui essaient de protéger les institutions, d'utiliser l'IA. Donc c'est IA contre IA dans le hacking. Est-ce que ça a augmenté le nombre de, on va dire, le volume d'attaques ? Parce que je regarde le chiffre en 2024, on est quoi ? Avec le Maroc ? On estime à 12 millions les tentatives d'attaque. Oui, c'est tout. C'est pour ça que j'ai dit on estime. J'ai pris les chiffres. Et puis ça, c'est une estimation. Ça veut dire des dizaines de milliers par jour. Par jour. Ce type d'institution. Il faut juste se rendre compte qu'à un moment donné, il faut bien qu'il y ait un trou dans la règle.
- Speaker #1
C'est important ce que tu dis parce que là, tu n'es pas en train de rassurer les gens. Excuse-moi de t'interrompre. Quand on dit qu'il y a des attaques,
- Speaker #0
ça pourrait faire sens.
- Speaker #1
Ça veut dire qu'elles sont arrêtées. Là, j'insiste. Il faut qu'on insiste là-dessus. Parce que les équipes ont fait leur travail.
- Speaker #0
Et les films de science-fiction, quand tu as le gros bouclier autour de la Terre, heureusement, ça désigna de s'en revendre. De temps en temps, il y a des petits malheurs. L'IA aujourd'hui, c'est une vraie solution pour la protection, autant que pour les hackers ?
- Speaker #2
Oui. Alors, c'est vrai. Je pense que les chiffres que vous donnez, ça se justifie. Parce que le neurologie augmente davantage quand on utilise l'IA. L'attaquant utilise l'IA. pour automatiser ses scripts, pour automatiser ses attaques. Ça lui rend la vie plus facile, je peux le dire. Ce qu'il aurait fait intellectuellement parlant, s'il arrivait à utiliser l'IA, il peut démultiplier les attaques autant qu'il veut et sur plusieurs environnements. De l'autre côté, dans la défense, il faut aussi penser à intégrer cela. Je crois que même l'architecture des SOC aujourd'hui, Security Operations Center, commencer à intégrer ces usages aussi pour pouvoir améliorer la détection des menaces et puis pouvoir anticiper notamment tout ce qui est repousse à incident en se basant sur les technologies qu'il y a en fait. Donc aujourd'hui, oui, je pense que c'est l'outil d'avenir, c'est les outils d'avenir, et même la cyber, je pense même que Microsoft et tous les grands qu'on connaît aujourd'hui, ils intègrent ces aspects dans le réseau. dans les outils de protection aussi. Quand vous prenez un antivirus aujourd'hui, il y a un intérêt aussi, il y a tout ce qui est analyse comportementale, ainsi de suite, pour améliorer la protection de votre ordinateur.
- Speaker #0
En temps réel, les attaques qui arrivent, il y a une IA qui essaie de...
- Speaker #1
Vous prenez un acteur comme Amazon, ou Microsoft, ou Google, ils ont plusieurs trilliards, je dis bien milliers de milliards. d'événements de sécurité par jour qu'ils voient. C'est impossible de les traiter de manière manuelle. Donc l'IA, elle est là pour faire le tri, pour identifier, etc. Justement parce qu'ils utilisent le cloud, parce que c'est eux qui donnent les PC, les Android, les iPhone, etc. Ils voient ça, c'est des points d'information de sécurité qu'ils ont. Et donc cette information collectée mondialement leur donne une puissance d'analyse en utilisant l'IA. pour pouvoir construire et mieux protéger.
- Speaker #0
Si je peux me permettre, parce que tu as dit quelque chose de très important. Dans cette histoire, il y a deux sujets importants. Le premier, c'est de se dire qu'il ne s'agit pas simplement de protection. Parce que tout le monde, les experts le savent, mais c'est important qu'on l'explique. Il y a une souci d'être capable de se protéger. La réalité, c'est que même si on se protège, quelqu'un va rentrer. C'est comme chez vous à la maison, vous pouvez mettre toutes les caméras et toutes les sirènes, il y a peut-être un jour quelqu'un qui va rentrer parce que vous avez quelque chose qu'il veut prendre, parce que ça l'intéresse. Et donc, la première chose, c'est d'être capable de le détecter le plus vite possible et ne pas le laisser s'élibérer à la maison et de prendre ce qu'il veut. Donc, la détection devient importante. Et puis après, s'il agit, s'il fait mal, il faut être capable de corriger et de repartir le plus vite possible. Donc, ces éléments-là sont importants. quand on est dans une stratégie de... Et la deuxième chose que j'ai envie de dire, c'est qu'en fait, aujourd'hui, pourquoi est-ce qu'on a moins d'attaques dans les banques, dans les agences ? Parce que... D'attaques physiques. D'attaques physiques. Parce qu'on a cassé le business model de l'attaquant. Il est cassé. Aujourd'hui, si quelqu'un veut attaquer une banque, il peut non seulement se faire arrêter, mais la réalité c'est qu'il ne va pas trouver d'argent. Et ça va lui coûter très cher pour le faire.
- Speaker #1
Ça c'est en Europe, ici il y a encore du cash.
- Speaker #0
Oui, mais même, le coût financier de l'attaque est supérieur au gain. Donc finalement... Oui, mais c'est nous qui avons toujours à dire en face de l'agence pour indiquer,
- Speaker #1
c'est ça ? Avec les caméras.
- Speaker #0
Et je pense qu'on doit arriver à faire la même chose dans la tête. C'est de faire en sorte que le business... C'est nous, il n'y a rien à voler ? Non, c'est que le coût de l'attaque soit supérieur au bénéfice. Le jour où on arrivera à ça... Et finalement, il va aller chercher là où il y a des coûts d'entrée plus faibles et un bénéfice à gagner. Parce qu'il raisonne de la même manière.
- Speaker #2
C'est pour ça qu'il y a le principe de défense en profondeur. Ce n'est juste un principe dans la sécurité. Cette couche, il y a la couche périmétrique, la couche organisationnelle. Vous arrivez sur le système, vous avez des mesures de sécurité. C'est faire en sorte que quand l'un tombe, le prochain le protège. Jusqu'à ce que vous arrivez sur la data. si elle est chiffrée, si on revient à la CNSS et si elle était chiffrée, on n'aurait pas eu de soucis. Ils auraient voulu, je ne sais pas combien de gigas de données, mais quand ils veulent ouvrir, on leur demande une clé, en fait. Et donc, ça, c'est un principe, effectivement, et ça pose la question de savoir est-ce que l'architecture de nos entreprises est bâtie selon ce principe.
- Speaker #1
C'est la catégorisation de la donnée aussi. On n'a pas chiffré ces données parce qu'on ne considérait pas que ces données croides étaient si sensibles. Voilà, ma fille d'avant, tu vois, on a... Merci à vous, en tout cas, ça nous a permis d'y voir un peu plus clair et d'essayer de rassurer. On espère qu'on ne vous a pas fait peur. Mais c'est aussi de rassurer. On vit dans un monde entouré par la donnée, on produit de la donnée. Tous les jours, on a des traces numériques et ça ne va pas s'arrêter. Ça sera nécessairement comme ça. Et avec l'IA, en tout cas, ça permettra d'accélérer un certain nombre de choses. Dans la production de votre donnée, dans la protection de vos données, mais aussi... pour les hackers qui essayent de vous la chipper ou de vous l'altérer. Voilà, merci d'avoir été avec nous comme d'habitude. N'hésitez pas à écouter cette émission seulement en audio si vous préférez seulement les paroles. C'est sur toutes les bonnes plateformes. Et nous, on se retrouve très vite pour un autre Parole d'Experts sur Arche. Tchao !
Share
Embed
You may also like
