Introduction
Partons du constat selon lequel les technologies de l’information et de la communication (TIC) se développent non seulement à un rythme infiniment plus rapide que les réformes juridiques, mais qu’elles évoluent également dans un environnement marqué par un «vide juridique», car les lois existantes ne sont plus pertinentes. Cela nous conduit à une situation paradoxale dans la mesure où les règles afférentes au fonctionnement des TIC sont définies et imposées, non pas par l’Etat, mais par des acteurs nationaux et étrangers dominant le secteur, ainsi que par les cybercriminels.
La première question qui se pose donc est de savoir si les TIC en Algérie sont vouées à poursuivre leur développement en dehors de tout contrôle légal effectif, au détriment de la sécurité et intérêts nationaux, car les institutions juridiques et législatives ont une longueur de retard sur les technologies et la perception de la cybermenace. Chaque Algérien dépend de plus en plus directement ou indirectement des systèmes et des réseaux d’informations. Ces derniers constituent l’épine dorsale de l’économie, de la sécurité nationale et aussi des activités quotidiennes des citoyens. Cette dépendance n’est un secret pour personne et risque d’être exploitée pour affaiblir et déstabiliser le pays.
Des voix préoccupées se sont déjà fait entendre au sujet de la nécessaire protection des réseaux. Les citoyens s’inquiètent également de la multiplication des cyberattaques dont ils sont victimes. Elles sont en augmentation constante et leurs fréquences et sophistication sont sans précédent. Elles se répandent vers tous les secteurs de l’économie, les secteurs stratégiques, les industries, les services, les citoyens… Elles ne connaissent pas de frontières géographiques. Parmi les nombreuses mesures visant à protéger contre cette menace, une loi, car la cybersécurité est aussi une affaire juridique. En effet, une loi sur la cybersécurité comprendrait de nombreux avantages qu’il ne faut pas sous-estimer. Des études ont montré qu’une telle loi contribuerait à réglementer le secteur des TIC, à renfoncer l’autorité, à dissuader les cybercriminels et permettrait aussi une meilleure protection des infrastructures sensibles. Ces dernières, comme les secteurs de l’énergie électrique, de l’eau, du transport, des finances, des TIC, etc., essentiels à l’activité du pays, sont ciblées régulièrement dans un objectif d’interrompre ces services et causer des préjudices.
Les activités de cyberespionnage et de cybercriminalité contre l’Algérie sont réelles. Elles ont non seulement commencé, mais les experts prévoient que leur nombre, persistance et gravité continueront à augmenter au cours des prochaines années.
Persévérance des cyberattaques contre l’Algérie
En ce début d’année 2015, d’autres attaques contre l’Algérie et les Algériens ont été rendues publiques. Des opérations de cyberespionnage de l’«Equation Group», utilisant le virus de cyberespionnage le plus dangereux jamais découvert, n’ont été découvertes que récemment alors qu’elles ont débuté depuis des années. Ses victimes tombent généralement dans les catégories suivantes : gouvernement, Défense, Energie et Finances.
Le groupe «Desert Falcons» pratiquait lui aussi le cyberespionnage ciblant des organisations de haut profil, des personnalités politiques, des fonctionnaires chargés de la lutte contre le blanchiment d’argent et ceux en possession d’informations géopolitiques importantes. Ses victimes sont localisées dans de nombreux pays dont l’Algérie.
Une série de maliciels, Babar, Bunny, Casper, Dino, NBot et Tafacalou, dont la création est attribuée aux services de renseignement français par au moins trois grandes compagnies de sécurité informatique américaines et européennes, ont été utilisés pour voler des données appartenant à des organisations gouvernementales et entreprises de plusieurs pays dont l’Algérie.
Enfin l’attaque la plus récente, et fait particulier en Algérie, concerne une entreprise économique du secteur privé. Toutes ces attaques ne semblent pas avoir suscité de réactions à la hauteur des enjeux par manque de cadre juridique et organisationnel adapté à la cybersécurité.
Une loi sur la cybersécurité ?
Il n’existe pas encore de critères précis et clairs pour déterminer si une cyberattaque est un acte criminel, un acte d’hacktivisme, de terrorisme ou simplement l’utilisation de la force par un Etat dans le cyberespace. Quel serait donc l’impact d’une loi si ce dernier est en permanente évolution et où de nombreux acteurs étatiques et non étatiques opèrent dans le secret ?
Une loi sur la cybersécurité ne peut pas être considérée comme une fin en soi, ni constituer une disposition globale, mais elle permettrait de compléter les dispositions protectrices et préventives conférées par d’autres textes déjà existants. Elle permettrait de lutter plus efficacement contre, par exemple, l’acquisition des cyberarmes (Botnet, DDoS, etc.) qui ne sont définies dans aucun texte de loi algérien et qui sont aujourd’hui commercialisées librement dans le Darknet alors qu’il faut une autorisation pour acquérir un simple fusil de chasse. Cette loi pourrait aussi rendre illégaux la vente et l’achat des logiciels espions (spyware), la commercialisation des données volées ou la mise en place de n’importe quel dispositif technologique pour localiser, écouter, surveiller ou installer une webcam ou toute autre forme de périphérique de surveillance à l’insu de la cible, sans autorisation préalable de la justice, etc. A titre d’exemple, le Président américain, Barack Obama, a signé le 2 avril 2015 un nouveau décret complétant la loi américaine, visant à imposer «des sanctions aux personnes ou entités» nationales et étrangères qui se livrent à des cyberattaques menaçant «la sécurité nationale, la politique étrangère, l’économique ou la stabilité financière des Etats-Unis».
Les lois de cybersécurité prévoient la mise en place d’une organisation nationale de cybersécurité qui décrit les responsabilités des différents organismes de cybersécurité, leurs prérogatives, les mesures de coordination, de prévention et de gestion des incidents. Le but de la loi sur la cybersécurité est donc de forcer les gouvernements, les organisations et les entreprises à prendre les mesures pour protéger les systèmes et les données contre les cyberattaques.
Qui est réellement responsable de la cybersécurité ?
La cybersécurité doit être abordée comme un problème de gestion des risques à l’échelle des plus hauts responsables et non pas seulement comme un problème informatique. Son évaluation doit prendre en considération l’écosystème le plus large possible. Elle est abordée lors des réunions du gouvernement et du conseil d’administration au même titre que les autres questions stratégiques. Elle n’est pas seulement une question de «verrouillage», prévention ou d’équipements, mais aussi de culture. Une question d’éducation, de sensibilisation et de responsabilisation individuelle. La sécurité doit être une culture intégrée au sein des organisations et seuls une loi et le premier responsable d’une organisation peuvent mettre en place cette culture et la parrainer.
Responsabilités du gouvernement
En plus d’exiger du gouvernement de prendre des mesures pour protéger les infrastructures sensibles et d’offrir un soutien pour stimuler la cybersécurité, la loi sur la cybersécurité obligerait les entreprises à prendre des mesures volontaires pour améliorer la défense des réseaux, à coopérer avec le gouvernement pour la mise en œuvre de mesures pertinentes et de se soumettre aux contrôles relatifs au respect des normes mises en place (Standards). Beaucoup de pays ont créé une autorité gouvernementale au niveau de la chefferie du gouvernement ou de la Présidence qui centralise toutes les décisions liées à la cybersécurité. Le gouvernement organiserait et coordonnerait la coopération entre les institutions compétentes en matière de cybersécurité et définirait clairement les responsabilités afin de lutter contrer les cyberattaques qui affectent la sécurité nationale.
Il définirait et soutiendrait les mesures pour améliorer les compétences de ceux qui travaillent dans le domaine de la cybersécurité, la création de pôles de Recherche et Développement (R&D) et la définition d’un programme national unique d’enseignement de la cybersécurité dans les universités. Les étudiants sélectionnés sur la base d’un concours dont l’un des critères serait un engagement pour l’amélioration des moyens de cyberdéfense de la nation (cas de la loi américaine). Les outils de cybersécurité utilisés pour protéger les réseaux en Algérie sont étrangers, il faut savoir qu’il n’y a de sécurité réelle que si l’origine des outils et des solutions de sécurité est nationale. Enfin (last but not least), le gouvernement élabore et met en œuvre une stratégie nationale de cybersécurité, qui doit comprendre une vision à long terme et qui englobe tous les aspects de la sécurité nationale. La loi sur la cybersécurité est une partie intégrante de cette stratégie.
Les organismes de contrôle
Ces organismes assurent la fonction d’autorité nationale de sécurité. Ils définissent les mesures techniques et organisationnelles de défense et de protection et sont chargés aussi des contrôles et inspections des systèmes d’information des infrastructures sensibles. Le Royaume-Uni a créé le «Centre for the Protection of National Infrastructure (CPNI)», une autorité gouvernementale qui fournit des conseils de sécurité aux entreprises et organisations. Aux Etats-Unis, la loi sur la cybersécurité impose au gouvernement de faire établir des normes uniformes (standards) en matière de cybersécurité par le NIST (National Institut of Standards and Technology), d’analyser les attaques et de tirer des enseignements (loi japonaise de cybersécurité). Le NIST établit des normes de cybersécurité mesurables et vérifiables en ce qui concerne la sécurité des logiciels et élabore un processus permettant de vérifier la conformité (compliance) des organisations.
Habilitation des prestataires de services ou prestataires de confiance
Les lois existantes exigent de veiller à la sécurité lorsqu’il est fait appel à la prestation par des tiers. Toute prestation dans le domaine des systèmes d’information doit être encadrée par des clauses de sécurité. Ces clauses spécifient les critères et les mesures que le prestataire doit respecter dans le cadre de ses activités, et les infrastructures sensibles ne peuvent faire appel qu’à des prestataires habilités et de confiance.
Au Royaume-Uni la liste de ces prestataires est établie par le GCHQ (Government Communications Headquarters), un service de renseignement et de sécurité. Ces prestataires peuvent intervenir dans le cadre de la protection contre les cyber-attaques et peuvent être aussi chargés du «nettoyage» des réseaux après les cyberattaques réussies contre les entreprises du Royaume-Uni.
En France, les prestataires d’évaluation de sécurité (audit) des systèmes de l’information sont agréés par le Premier ministre dont dépend le comité directeur de la certification en sécurité des technologies de l’information. Aux Etats-Unis, les textes sont plus directs et plus clairs (CyberSecurity Act of 2010), seules les compagnies américaines sont habilitées et certifiées et il est illégal d’employer des experts étrangers dans le secteur de la cybersécurité. La loi américaine va plus loin, puisqu’elle prévoit que seules les compagnies américaines peuvent être fournisseur d’accès internet (IPS) au profit des institutions gouvernementales et des infrastructures sensibles.
Obligation de déclarer les cyber-attaques
Une loi sur la cybersécurité devrait exiger des organisations publiques et privées de rapporter ou notifier à un organisme gouvernemental les attaques dont leurs réseaux ont été victimes. Dans la majorité des pays cet organisme est le CERT (Computer Emergency Response Team).
Des mécanismes plus ou moins similaires sur le recueil d’informations et leur diffusion ont été mis en place dans le cadre de la lutte antiterroriste en Algérie. Il suffirait de s’inspirer de ces mécanismes et de les adapter. Après une attaque, une enquête devrait être diligentée aussi par une commission gouvernementale d’analystes (Cyber Security Forensic Analyst) pour déterminer les maliciels utilisés, les vulnérabilités exploitées, tirer des enseignements et alerter au niveau national les parties qui peuvent être victimes de la même attaque. Selon le rapport annuel de la compagnie Dell, le nombre de cyberattaques contre les Systèmes de contrôle et d’acquisition de données (Scada) des infrastructures sensibles a doublé en 2014, que la majorité de ces incidents n’ont pas été signalés alors que dans la plupart des cas il s’agissait d’attaques du type APT (Advanced Persistent Threat) à motivation politique. L’initiative de rapporter les attaques est donc dans l’intérêt de l’ensemble, elle permet le partage des informations, comme celles sur les cybermenaces, sur les vulnérabilités des systèmes, une meilleure compréhension des attaques, l’identification des faiblesses dans les réseaux et de partager les enseignements.
Dans le cas de la récente cyberattaque contre la chaîne de télévision française TV5 Monde, le ministre de l’Intérieur français a annoncé l’ouverture d’une enquête et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), rattachée au Premier ministre, a dépêché 13 ingénieurs en sécurité informatique pour déterminer les contours de cette attaque. La ministre de la Culture, Fleur Pellerin, a déclaré qu’elle réunirait «très prochainement l’ensemble des dirigeants de grands médias audiovisuels» et de la «presse écrite» pour les faire bénéficier des enseignements.
Occulter les cyberattaques constituerait un délit et équivaut à permettre la répétition des mêmes attaques contre d’autres organismes nationaux. Des textes pour la notification des violations de données existent déjà aux Etats-Unis, Allemagne, Australie, France, Royaume-Uni, etc. Cependant, une entreprise attaquée pourrait être réticente à rendre publiques ces informations privées dans la mesure où une exploitation de cette intrusion pourrait lui faire courir le risque d’une perception négative conduisant à inquiéter les clients, voire à créer une relation de défiance. De plus, des inquiétudes existent selon lesquelles le partage de l’information peut faciliter l’accès à des informations commerciales confidentielles et à la propriété intellectuelle par des concurrents. Des parties ont aussi exprimé des préoccupations selon lesquelles le gouvernement peut utiliser contre elles les renseignements obtenus à des fins qui n’ont aucun lien avec la cybersécurité.
La protection des données
Plus de 1 500 intrusions dans les réseaux ont conduit à un milliard de paquets de données volées en 2014. Par rapport à 2013, ces chiffres représentent une augmentation de 49% du nombre d’intrusions pour voler des données et une augmentation de 78% du nombre de paquets de données volées.
La principale motivation de ces intrusions est le vol d’identité puisqu’elles représentent 54% de l’ensemble des données volées, plus que toutes les autres catégories de données volées y compris celles financières. Alors que la confidentialité est essentielle, les opérateurs économiques et fournisseurs de services recueillent et stockent des données relatives à l’identité, à la situation professionnelle, aux activités, aux contacts, aux habitudes, à la situation financière, à l’état de santé, au contenu des emails, des SMS, à la position géographique, etc. Cette pratique du stockage de données (Mass Data Collection) ainsi que leurs utilisations par les opérateurs économiques du secteur public et privé devraient être réglementées par une loi. Son objectif principal serait aussi de rendre les données imperméables aux intrusions.
Cloud Computing
Le cloud permet de mettre à disposition des données partout pour une facilité d’utilisation par les employés souvent au détriment de la sécurité des données qui jouent un rôle important pour la survie d’une entreprise. Il semble donc essentiel que la loi rappelle le caractère primordial de la sécurisation des données et la nécessité de ne pas les héberger en dehors de l’Algérie.
Les services cloud étrangers stockent les données des clients dans des serveurs localisés dans différents pays et peuvent les transférer à volonté d’un pays à l’autre, y compris dans des pays réputés hostiles à l’Algérie ou avec lesquels elle n’a aucune relation (Israël), sans accord préalable du client. Par ailleurs, les serveurs et les données obéissent aux lois du pays étranger d’accueil. Une des conséquences serait l’accès aux données, sans l’autorisation du propriétaire et sans le prévenir, par des représentants des autorités du pays d’accueil si leur loi les y autorise. La loi sur la cybersécurité devrait exiger des infrastructures sensibles de ne recourir qu’aux services cloud nationaux et dont l’hébergement des données est national. Selon une directive de l’actuel chef de gouvernement français «l’hébergement des données sensibles sur le territoire national est obligatoire». Son prédécesseur avait déclaré quant à lui que «la France soutenait une politique nationale ambitieuse d’autonomie stratégique dans le domaine du numérique afin de ne pas dépendre de tiers pour héberger et traiter les données des entreprises et des citoyens».
Obligation de faire des audits
La loi doit rendre obligatoire des évaluations régulières de sécurité (audits internes et externes) pour les entreprises et organisations pour les protéger contre les intrusions. A titre d’exemple, dans le secteur des banques, l’Etat de New York impose par un texte de loi aux banques locales depuis mai 2014 des audits de sécurité périodiques. En juin 2014, le secteur britannique des banques a suivi en mettant en place un processus obligatoire de «tests» pour protéger les institutions financières britanniques contre les cyber-attaques. En Afrique, le Cameroun définit l’audit de cybersécurité dans la loi n°2010/012 du 21 décembre 2010, le cadre juridique qui régit cette activité, qui peut auditer les organisations qu’il faut auditer, la fréquence, etc.
Respect des exigences de sécurité par les fournisseurs des produits TIC
Les logiciels sont l’une des vulnérabilités majeures des produits TIC et il n’existe aucune règle en Algérie pour définir les normes de développement et d’acquisition de logiciels qui soient de haute qualité, fiables et sécurisés pour être utilisés par les organisations gouvernementales et les autres infrastructures sensibles. Comme le cancer, un logiciel imparfait se réplique, envahit et infecte les autres logiciels du réseau causant des dommages aux systèmes et la perte des données. Les infrastructures sensibles ne doivent utiliser que les produits et services TIC dont la sécurité est évaluée et attestée. Une association de compagnies privées américaines et européennes a élaboré un document (Process Control Domain Security Requirements for Vendors) qui définit les normes de sécurité à mettre en place obligatoirement par leurs fournisseurs de hardwares et logiciels afin de protéger leurs réseaux contre les cyberattaques. Conscientes de la menace, ces compagnies privées n’ont pas attendu les lois de leurs gouvernements respectifs.
Plusieurs Etats ont repris à leur compte, après l’affaire Edward Snowden, cette initiative sur les exigences sécuritaires à l’égard des fournisseurs à l’exemple de l’Allemagne qui exige depuis quelques mois de ses fournisseurs de produits TIC de signer un engagement selon lequel les hardwares ou logiciels fournis n’ont pas été manipulés par les services de sécurité étrangers.
Charte pour l’utilisation des ressources informatiques
En général, ce genre de charte définit les règles d’utilisation des ressources informatiques par les employés, leurs responsables, prestataires, etc. Elles s’appliquent à toute personne, quel que soit son statut. Elle invite par un engagement écrit au respect des règles sur la cyber-sécurité et est souvent un élément du règlement intérieur d’une organisation. Des lois imposent l’existence des chartes au niveau des infrastructures sensibles.
La cybercriminalité
La cybercriminalité est devenue très attrayante, elle génère des revenus élevés et les risques sont limités comparativement aux autres activités criminelles. Elle est devenue plus lucrative que le trafic de drogue dans le monde entier, une tendance inquiétante. Il est évident que les autorités n’arrivent pas à la contrer efficacement.
La mauvaise ou l’absence de perception des préjudices de la cybercriminalité par les autorités législatives et judiciaires est parmi les éléments qui facilitent la propagation rapide de ce type d’activités illégales. Par ailleurs, les forces de l’ordre concentrent toujours les efforts sur les crimes «hors ligne», alors que les organisations criminelles s’organisent et s’investissent dans les activités «en ligne». Le vol des données personnelles et le cyber-harcèlement en ligne sont les activités les plus communes (en Algérie aussi) et les plus rentables pour les cybercriminels. Les citoyens semblent rarement être au centre des politiques de cyber-sécurité alors qu’un grand nombre d’utilisateurs d’Internet sont régulièrement victimes de la cybercriminalité. Pour donner une idée de l’impact économique de la cybercriminalité, les dix fraudes en ligne les plus communes sont responsables de la perte en 2014 de 15 milliards de dinars dans un pays européen. Et il ne s’agit ici que de la face émergée de l’iceberg car la majorité des crimes en ligne ne sont pas rapportés à la justice par les citoyens et entreprises.
Selon des experts de la criminalité, le problème est que les lois existantes se sont figées alors que les crimes en ligne connaissent une constante évolution et adaptation aux mesures de sécurité. La loi algérienne d’août 2009 sur la cybercriminalité dont les points saillants sont la création d’un organe national de coordination, l’usage des données électroniques par la justice, la surveillance des communications électroniques à des fins préventives et la coopération internationale nécessite une adaptation à la «vitesse des crimes électroniques».
Campagnes de sensibilisation
Les campagnes de sensibilisation sont essentielles car aujourd’hui la façon la plus simple de réussir une cyberattaque consiste en l’exploitation des vulnérabilités humaines alors que de nombreuses organisations continuent à mettre l’accent uniquement sur l’acquisition des équipements, très coûteux d’ailleurs, pour la sécurisation des réseaux. Malheureusement, sans «la sécurisation de l’homme» grâce à des campagnes de sensibilisation régulières, ces efforts seront vains. La sensibilisation doit cibler non seulement les employés mais tous les citoyens internautes car la cybersécurité et le cyberespace national sont une responsabilité partagée. Les Etats-Unis ont fait depuis des années, grâce à la loi sur la cybersécurité, du mois d’octobre le mois de la sensibilisation sur la cybersécurité. Depuis 2012, les pays de l’Union européenne ont fait la même chose du mois d’octobre (European Cyber Security Month, ECSM). Ces initiatives, qui ont été aussi suivies par d’autres pays d’Asie et d’Afrique, visent à promouvoir la cyber-sécurité parmi les citoyens, les organisations et les entreprises, pour changer leur perception sur la cybermenace par l’éducation et d’accroître la résilience du cyberespace national. Les campagnes de sensibilisation définies par des textes de loi revêtent ainsi un caractère obligatoire.
La protection de la vie privée et des libertés civiles
La cybersécurité est une question de sécurité nationale et est de la responsabilité de l’Etat qui intervient pour protéger le pays et la vie privée des citoyens internautes. Il met en place un mécanisme de supervision pour protéger la vie privée et empêcher la surveillance internet inappropriée. Ce mécanisme de supervision devrait exister pour assurer le caractère raisonnable des recherches et procédures gouvernementales dans le domaine de la cybersécurité et pour qu’elles soient contenues dans un cadre légal. Certaines lois existantes privilégient une forme de contrôle indépendant car souvent les organismes dépendant de la Défense (cas de la NSA) ne sont pas soumis à la même surveillance et transparence que les organismes civils.
Conclusion
Malgré les investissements financiers continus et croissants dans la sécurité informatique (13 milliards de dollars dépensés par les entreprises en une année en pare-feu et systèmes de prévention des intrusions), il est clair que la guerre contre les logiciels malveillants, de plus en plus sophistiqués, est loin d’être gagnée. Les lois sur la cybersécurité sont un moyen pour atténuer et contrer cette menace asymétrique qui pèse sur les infrastructures sensibles, elles permettent d’armer un pays de la connaissance de base nécessaire pour protéger les biens vitaux de la nation et les citoyens.
L’Algérie connaît un retard certain dans la production de solutions nationales de cybersécurité et surtout dans la mise en place de son cadre juridique et organisationnel. Concernant ce cadre, le plus important est de faire démarrer le processus car, comme l’expérience des autres pays le montre, son contenu ne peut être applicable immédiatement. Les Etats-Unis, le Royaume-Uni et la France qui ont déjà défini leurs cadres juridiques et organisationnels ont accordé un délai de 2 à 3 années aux institutions, organisations et entreprises pour qu’elles s’y préparent et s’y conforment strictement.
A. D.