Il y’a une dizaine d’années il a été annoncé via décret présidentiel la création de l’ANTIC*[1]* (Agence Nationale des Technologies de l’Information et de la Communication). Techniquement ce fut une avancée dans le bon sens. La dite agence avait dès sa création un cahier de charges sous forme d’attributs qui lui ont été affectés ; Et justement parmi ces attributs il est stipulé qu’elle est en charge de la Sécurité des Systèmes d’Information des Administration publiques et des Infrastructures critiques de la Nation.

Mais voilà, je me demande, combien de Systèmes d’Information Ministériels jusqu’à ce jours ont-ils été validés par l’ANTIC ?! Très peu surement, en espérant qu’il y’en ai un. Combien de sites web de représentations étatiques sont-ils contrôlés par l’ANTIC ?! Combien d’Infrastructures de fournisseurs d’Accès Internet ont-elles fait l’objet d’Audit de Conformité et de Sécurité de la part de l’ANTIC ?! Faire des lois c’est bien, les appliquer c’est primordial.

Il suffit de faire un tour dans nos administrations pour avoir un aperçu du niveau d’Insécurité des informations qui y sont traitées. Et les cœurs d’Infrastructure, c’est encore plus de désordre avec chaque prestataire venant faire ses installations sans pour autant avoir état des configurations présentes faites par d’autres consultants/prestataires ! Un désordre total où le mot traçabilité n’est pas le bienvenu.

Avec ce genre de choses comment peut-on aspirer à se protéger des menaces réelles et « orientées » ? Comment peut-on être en train de parler de Sécurité de notre Cyber espace quand nous n’avons pas la maîtrise de nos propres Intranets ?! Tout commence par-là, à savoir comment sont gérés nos réseaux Internes, car vu l’état actuel des choses, le risque d’une menace de l’intérieur est plus grand que celui d’une menace externe. !

Il y’a quelques temps encore on nous annonçait sous grandes pompes l’acquisition d’une solution pour la mise en œuvre de notre propre Infrastructure à Clé Publique (PKI)[2]. Selon le tapage médiatique qui en découle cette PKI ouvre une «* nouvelle ère de sécurité des échanges électroniques et du cyberespaces Camerounais *». Mais je m’interroge, certes il est bien d’assurer l’authenticité des intervenants dans nos transactions électroniques, mais n’est-il pas plus opportun de savoir déjà s’en servir ?! Comment comptons-nous garantir la sécurité des échanges et l’authenticité des parties prenantes quand l’autorité en charge de la chose n’arrive pas à gérer ses propres certificats de sécurité ?! [3]

Je vois là une fois de plus un problème Humain. C’est bien beau d’avoir toutes les avancées technologiques, mais ce serait plus utile de savoir les exploiter. Les autorités en charges de ce genre de projets disposent-elles des ressources humaines compétentes et en quantité pour assurer leur suivi ?! Pour l’instant ce n’est pas encore le cas. Et là on se retrouve dans la position de celui achète une voiture avant de réfléchir sur comment aller à l’auto-école pour apprendre à s’en servir !

Depuis plus d’une semaine le site web du Ministère des Poste et Télécommunication [4] ainsi que plusieurs autres dépendant du « .gov.cm » sont inaccessibles.minpostel<em>gov</em>cm_dow

Ce qui est encore plus grave c’est le manque de process pour les remontées d’incidents. Une infrastructure est down et il n’y a personne à qui remonter l’information !  remonte<em>incident</em>gov_cm

Et quand bien même une personne serait avertie, quel est le temps mis pour réagir ? N’est-ce pas ironique et triste ça ?! La Sécurité de l’Information c’est aussi de garantir la disponibilité de nos données et là, nous avons (une fois de plus) failli.

En 2013 il est inconcevable que nous nous retrouvions encore dans ce genre d’anarchie. Rappelons-le, la Sécurité des Systèmes d’Information est une démarche et non un produit ! Si nous prenons le temps de poser les bonnes bases cela sera plus productif que d’acquérir tous les jours des « produits » (à des coûts exorbitants, et là c’est un tout autre sujet) qui ne nous apportent que très peu sinon aucune valeur ajoutée, à cause du fait que les conditions minimales requises ne sont pas réunies pour une exploitation judicieuse des dits « produits ». Par bonnes base j’entends là :

  • La formation/Recyclage des ressources humaines affectées à ces programmes/Infrastructures
  • Le renforcement des effectifs car jusqu’à présent ils sont assez réduits
  • L’établissement et le respect de procédures de fonctionnement qui sont indépendantes des personnes affectées afin d’éviter les Single Point of Failure (Remontée d’Incident, gestion de crises, continuité d’activité,…)
  • L’application effectives des mesures et décrets publiés solennellement ; que chaque organisme en charge assure effectivement ce qui lui est attribué comme objectifs.
  • Une sensibilisation du personnel non technique de nos administrations
  •  …

Comme on fait son lit, on se couche dixit un sage. La balle est dans notre camp.

Reférences :

[1] Site ANTIC

[2] PKI : Le Cameroun Sécurise ses transactions Electroniques

[3] SSLServerTest _ antic

[4] MINPOSTEL Cameroun

Valdes T. Nzalli