fbpx

Cybersécurité Y a-t-il un marché à prendre ?

Débat novembre 2020

Cybersécurité Y a-t-il un marché à prendre ?

Mohamed Saâd et Ali El Azzouzi, s’accordent à dire qu’investir dans la cybersécurité n’est plus une option désormais. Ils vont plus loin en révélant que la cybersécurité est une question de souveraineté nationale et que la loi 05-20 est apparue pour pouvoir créer et faire émerger un vrai écosystème…Les deux experts analysent la situation pour EE.

Selon l’Organisation internationale de police criminelle, les formes de fraude électronique ont varié à la lumière de cette crise sanitaire mondiale. A votre avis, le Maroc a-t-il pris suffisamment ses précautions pour s’en prémunir ?
Ali El Azzouzi (A.E.A) : En effet, nous avons remarqué, lors de cette pandémie, qu’il y avait une recrudescence des attaques de façon spectaculaire, notamment tout ce qui a trait à l’ingénierie sociale, à l’usurpation d’identité, etc. A notre niveau, nous avons été très sollicités par des entreprises qui ont fait l’objet d’attaques et nous avons aussi été contactés quelquefois par des particuliers… La raison principale c’est qu’aujourd’hui dans l’état de chaos général et de flou, les gens paniqués sont avides d’informations et ont tendance à cliquer sur tout et n’importe quoi sans faire attention. Et cela s’est produit spécialement dans les premiers mois avec un nombre d’attaques qui a été multiplié par six par rapport à la même période de l’année dernière. Parallèlement à cela, il y a eu aussi le mouvement de télétravail. Pour ce mode de travail, c’est vraiment l’ouverture des flux vis-à-vis de l’extérieur avec toutes les nouvelles menaces que ça implique. Qui dit ouverture, dit nouvelles menaces. Maintenant effectivement au Maroc, il y a des initiatives surtout émanant de plusieurs entreprises, obligées de se mettre au télétravail, et là je parle des organismes qui subissent un cadre réglementaire et qui ont un niveau de maturité élevé en termes de cybersécurité, qui investissent et qui mettent les dispositifs idoines avant de procéder à l’ouverture de leurs flux, mais ce n’est pas toujours le cas. En fait, quand on parle des PME, certaines s’y sont prises à la va-vite et presque anarchiquement. Du coup, il y a un risque effectivement et nous avons remarqué d’ailleurs que c’est ce type d’entreprises qui s’est fait attaquer durant la période. Aussi, je tiens à saluer la nouvelle loi 05-20 au Maroc dédiée à la cybersécurité qui a été votée en juillet dernier et c’est une première. D’ailleurs, c’est ce qui va être un prérequis important pour tout le mouvement de transformation digitale de l’administration marocaine qui va venir et qui est en train d’être opéré.
Mohamed Saâd (M.S): Au niveau de l’AUSIM, nous avons été interpellés dès les premiers jours par rapport à l’accroissement justement de ces actes malveillants et cybercriminels. Bien évidemment le télétravail y est pour quelque chose puisqu’il arrive avec ses risques et ses menaces car les gens utilisent des connexions pas forcément sécurisées chez eux. Et les dangers liés à cela ne sont malheureusement pas pris en compte par ces entreprises qui demandent à leurs salariés d’utiliser leur 4G ou leur wifi alors qu’elles ne savent même pas si cette connexion leur appartient ou si elle est piratée du voisin ou du café d’à côté. Et ces risques-ci concernent aussi bien les PME que les grandes entreprises. J’en parlais justement à un consultant dans un cabinet qui a mis en place une offre de service pour justement lister tous les risques, sur la base des référentiels connus et reconnus, liés au télétravail dans son process en se posant certaines questions: quel réseau est utilisé par le télétravailleur mais aussi quelle sécurité a été mise en place par l’entreprise sur son firewall? Est-ce qu’on a ouvert un VPN? Est-ce que la connexion et le canal sont sécurisés et cryptés? Donc déjà d’un point de vue sécurisation on peut aussi extrapoler sur tout ce qui est capacité d’une PME (d’une centaine ou deux cents télétravailleurs) sur son firewall pour ouvrir autant de canaux pour que les gens puissent se connecter et utiliser les ressources de l’entreprise. Et tout cela a été mis en place tellement vite lors de la première et la deuxième semaine du mois de mars parce que les gens n’avaient pas la cybersécurité en tête mais plutôt la continuité d’activité. Pourtant, cette dernière elle-même peut se retrouver atteinte si jamais la cybersécurité n’est pas omniprésente!

Selon vous, les entreprises ont-elles été brusquées pour se mettre au télétravail comme cette crise sanitaire n’a pas crié gare…?
A.E.A : Les entreprises ont, en effet, été prises de court. Mais la beauté, si j’ose dire, de la bonne gestion de risque est de prévoir justement l’imprévisible. C’est de partir du postulat que seule l’incertitude est certaine. Un exemple assez concret: dans les tours jumelles du World Trade Center, il y avait dans la tour B une banque qui a perdu pratiquement tous ses effectifs dans les attentats, mais au lendemain de ces événements tragiques la banque en question a publié une petite annonce au journal: «Chers clients, chers partenaires, notre nouvelle adresse est…». Tout cela pour dire qu’elle avait prévu, y compris dans ses scénarios d’opportunités et menaces, un effondrement de la tour. Quelqu’un peut croire qu’elle est paranoïaque mais c’est bien d’être prévoyant. Le risque zéro ça n’existe pas. Par ailleurs, rappelons qu’on n’en est pas à notre première tentative on va dire de télétravail. Déjà en 2014 avec la vague du H1N1, il y a eu beaucoup d’entreprises qui se sont mises dans cette perspective-là. Je pense que ce n’est vraiment pas une excuse de dire aujourd’hui que c’est un événement qui est tombé inopinément.


M.S : Mais monsieur El Azzouzi, accordez-moi une chose : quelles que soient les prévisions qu’on puisse faire, ce que nous sommes en train de vivre reste inédit. Et même toutes les nations qui sont au top développement des technologies n’ont pas pu prévoir une crise pareille. Elles n’auraient pas non plus su anticiper qu’une telle crise allait durer autant. On est à 9 mois déjà du début de la pandémie, l’on n’est pas encore sorti de l’auberge et l’on a toujours du mal à voir le bout du tunnel. Qui aurait pu croire qu’un jour viendra où une personne sera obligée de se connecter à son travail via le laptop de son enfant ?! Ça dépasse vraiment toutes les prévisions. Moi je ne connais personne qui ait prévu un risque avec une telle ampleur.

A.E.A : En évoquant les prévisions, je sous-entendais que des entreprises ont fermé leurs portes au lendemain de cette crise parce qu’elles ne savaient pas quoi faire, contrairement à celles qui ont prévu un strict minimum pour assurer la continuité de leur service. A titre d’exemple: avec l’adoption inattendue du télétravail, des banques, malgré toutes les réserves, la conformité et leur bonne volonté, ont coincé au niveau du simple ordinateur portable! Parce qu’il n’y en avait pas assez pour tout le monde et qu’elles ont donc été obligées de dire à une partie de leur personnel d’emporter le desktop computer chez eux. Effectivement j’en conviens avec Mohamed Saâd, l’ampleur de cette crise est telle qu’aujourd’hui on ne peut pas tout prévoir…
En 2014, le Maroc a été la cible privilégiée de «Careto», une campagne de cyberespionnage extrêmement avancée. A l’époque, il y eut tout un tapage médiatique puis plus rien. Est-ce que les choses ont évolué depuis ?

M.S : Sincèrement, je pense que les choses ont évolué dans le bon sens. Et je peux l’affirmer vu que la Bourse de Casablanca fait partie des infrastructures d’importance vitale et que nous sommes aussi constamment en contact avec la Direction Générale de la Sécurité de Systèmes d’Information (DGSSI). Cette dernière a d’ailleurs mis en place un certain nombre de dispositifs pour un peu inciter ces entreprises, si ce n’est les obliger, à ce qu’elles aient un minimum de maturité en matière de sécurité de l’information et elle veille à ce que ces entreprises-là appliquent justement ces mesures. Et il faut savoir aussi que la loi 05-20 vient reprendre l’ossature de ce qu’il y a dans la directive nationale de la DGSSI. Celle-ci a donc installé un système de veille 24h sur 24 qui nous informe à chaque fois qu’il y a des brèches. Et j’en suis témoin car je reçois des bulletins d’alerte tout le temps. Il y a aussi la campagne marocaine pour tout ce qui est lutte contre la cybercriminalité conduite par le Centre Marocain de la Recherche Polytechnique et de l’Innovation (CMRPI) et d’ailleurs l’AUSIM y a participé.
Sinon, à mon avis, il me semble que le pays a fait des choses, maintenant est-ce suffisant? Non! Parce qu’il n’y a pas que les infrastructures d’importance vitale mais il y a aussi le citoyen lambda et ce dernier, il faudrait qu’il soit sensibilisé, informé, éduqué même. Aujourd’hui nous sommes dans le digital et le plus petit des utilisateurs de ces outils (réseaux sociaux, applications, smartphones, etc.) est âgé de 4-5 ans et commence déjà à cliquer sur le téléphone ou l’iPad de ses parents… En clair, nous on milite pour qu’il y ait des programmes de sensibilisation et d’éducation dans les écoles, les collèges et les lycées… et que les entreprises sensibilisent aussi leur personnel. Parce qu’avant tout, ça commence par l’humain. Le plus grand Cheval de Troie de ce genre de choses c’est l’humain, parce qu’il introduit avec lui dans son entreprise une clé USB, il clique sur un mail ou sur des liens qui ne sont pas sécurisés et c’est là où ça explose!

A.E.A : Effectivement depuis 2014, il y a beaucoup de choses qui ont été faites et heureusement d’ailleurs. Aujourd’hui, il faut savoir qu’il y a une DGSSI qui fait partie de l’administration de la défense nationale. Rien que pour dire que c’est un dossier très sérieux qui est pris en charge au niveau de l’Etat et puis il y a d’autres organismes, notamment MaCERT (Moroccan Computer Emergency Response Team) qui fait partie du réseau FIRST (Forum of Incident Response and Security Team) à l’international et c’est aujourd’hui en quelque sorte un baromètre de la cybersécurité et tout ce qui est attaque cybernétique qui touche notamment les organismes à importance vitale. Aujourd’hui, j’estime qu’il y a plus de visibilité avec des organisations, l’arsenal juridique, les campagnes de sensibilisation et aussi la nouvelle loi qui n’est que la continuité de ce qui a démarré déjà depuis 2003. Car rappelons que la première loi qui traite de la cybercriminalité c’est la loi 07-03 complétant le code pénal qui incrimine les infractions relatives aux systèmes de traitement automatisé des données, ensuite il y eut la loi 53-05 qui fixe le régime applicable aux données juridiques échangées par voie électronique (cryptographie) et à la signature électronique, puis la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et enfin la loi 31-08, le texte législatif qui édicte les mesures prises pour la protection des droits des consommateurs avant d’arriver à cette loi 05-20. L’arsenal juridique est là aussi. Maintenant peut-être ce qu’il faudra améliorer c’est surtout le caractère pratique. Par exemple, que faire si jamais on récupère le disque dur d’une personne suspecte? On peut le garder pour combien de temps? On le remet à qui et dans quelle condition? Ce sont tous ces dispositifs qu’il faudrait, à mon sens, améliorer. Il ne faut pas oublier non plus que le Maroc a ratifié en 2014 la convention de Budapest relative à la cybercriminalité. En gros, beaucoup de choses ont été faites mais d’autres restent à réaliser.
Aujourd’hui, le Maroc est un pays ciblé de par sa situation géographique et aussi de par un certain nombre d’éléments et de facteurs dont la digitalisation et le secteur bancaire et financier qui est à l’avant-garde en Afrique. Du coup, les organismes financiers, les opérateurs télécoms et les assurances, qui subissent effectivement déjà des contraintes réglementaires, investissent dans la cybersécurité. Il y a donc un niveau de maturité assez important dans ce secteur-là. Maintenant comme a bien dit Mohamed Saâd, l’utilisateur monsieur et madame tout-le-monde, ça peut être un parent ou un enfant. C’est dire qu’on a l’impression qu’il n’y a pas encore vraiment un travail de fond en termes de sensibilisation de cette couche sociale alors que c’est vraiment important. En principe ça doit commencer dès le jeune âge au niveau de l’école sachant la dangerosité du harcèlement cybernétique et de la pédopornographie en ligne. Il y a beaucoup de choses qui sont taboues mais qui aujourd’hui ne peuvent être traitées sans intégrer cette dimension utilisateur final vraiment dans la politique globale de cybersécurité et de cyberespace marocain. C’est primordial.
Selon le bilan de Kaspersky,13,4 millions de cyberattaques au total ont été détectées entre avril et juin 2020 au Maroc, plaçant le royaume à la 32e place des pays les plus touchés au monde par les menaces informatiques associées à la navigation sur le Web. Qu’en dites-vous ?

M.S : Il est clair qu’on n’en fera jamais assez, c’est sûr. Aucune nation dans le monde ne fait assez pour contrer ce fléau-là. C’est comme la sécurité routière, on en fait tous les jours et toutes les secondes mais il y aura toujours des accidents. La sécurité routière ressemble à la sécurité sur le Net. Car sur les deux dispositifs, on emprunte de grands boulevards et de grandes autoroutes et pour ce faire, il faut donc sécuriser son moyen de transport ou de connexion et éduquer la personne qui pilote que ce soit le smartphone ou la voiture. Donc le parallèle est vite fait et la métamorphose est très instructive. Maintenant, le Maroc est-il une cible? Oui comme d’autres pays et c’est parce qu’aujourd’hui c’est devenu un business. Et je peux dire aussi que ce n’est pas qu’un business orienté vers les grandes entreprises. Nous, au sein de l’AUSIM, avons eu des PME qui se sont fait subtiliser des petits montants de 10.000-15.000 euros à l’aide de la fameuse brèche sur le code Swift. D’ailleurs, il y a une big affaire d’un grand opérateur marocain de l’aluminium qui a été victime d’une escroquerie au faux IBAN [au faux ordre de virement] en 2016 en se faisant subtiliser près de 50 millions de dirhams et ils ont même eu un souci au sein de la gouvernance du Conseil d’administration. C’est pour vous dire que personne n’est à l’abri! Maintenant aux grands maux les grands remèdes. Il faudrait qu’on retrouve des programmes au niveau des manuels scolaires des enfants et des lycéens et favoriser la publication ainsi que la distribution de guides à l’instar de ce qui se fait en France. Au niveau de l’AUSIM, l’on s’est même imprégné du programme français de sensibilisation des jeunes – Internet Sans Crainte pour lancer des actions en faveur des femmes illettrées avec enfants en bas âge pour vulgariser les risques derrière le Net.
D’ailleurs, lors d’une journée de sensibilisation, les experts en cybersécurité ont attiré notre attention sur la responsabilité de toute personne qui fait des transferts via son WhatsApp et sur si le post est un fake ou s’il porte atteinte à la liberté de quelqu’un. Il faut savoir qu’aujourd’hui il y a une pathologie contemporaine qui court qu’on appelle la transférite. C’est quand les gens transfèrent tout ce qu’il leur tombe sous l’index!
Au-delà de la sensibilisation des particuliers, est-ce que les investissements par l’entreprise marocaine dans des solutions de sécurité informatique et dans une formation efficiente à la cybersécurité sont suffisants pour l’aider à traiter avec ce paysage de menaces en constante évolution? Qu’en pensez-vous ?
A.E.A : Là encore on ne peut pas généraliser. Il y a des entreprises qui sont conscientes des enjeux cybernétiques et investissent à fond. Je connais des entreprises qui octroient un budget énorme au département de cybersécurité chaque année, parce qu’ils ont bien vu qu’un seul incident leur a coûté bonbon. Mais après, les entreprises doivent composer avec tout ce qui est pression réglementaire et conformité légale et elles savent que si elles ne le font pas, elles risquent des amendes et des pénalités, un retrait d’agrément, etc. Donc aujourd’hui, l’arsenal juridique réglementaire conformité pèse beaucoup sur la balance pour que certaines entreprises investissent dans la cybersécurité. Mais il y a aussi les entreprises qui, par leur propre initiative et parce qu’elles ont un management sensibilisé aux enjeux et aux risques, prennent les devants et ne se posent pas trop de questions. Et là je ne parle pas que des filiales de multinationales mais des PME ou cabinets marocains d’avocats ou de médecins qui font appel à nous, vu qu’ils travaillent sur des dossiers extrêmement sensibles et qu’ils ne peuvent pas se permettre un risque de fuite de données ou autres. Investir dans la cybersécurité n’est plus une option désormais…

A votre avis et en tant qu’expert, une entreprise peut-elle mettre en place un strict minimum pour se prémunir contre ce genre d’attaque ?

A.E.A : Il n’y a pas une solution standard mais effectivement aujourd’hui j’ai du mal à concevoir une entreprise sans antivirus, sans firewall, sans outils de gestion des événements de sécurité, sans l’outil de détection de l’intrusion, sans politique de sécurité sur le Net… Et oui vous avez raison, nous avons été justement appelés à mener des missions d’investigation suite à des actes frauduleux et des fois je suis hyper choqué car je me retrouve dans un environnement où d’un point de vue économique l’entreprise génère un cash assez important et paradoxalement le b.a.-ba de la cybersécurité n’y est pas! Malheureusement, on retrouve ça surtout dans le milieu industriel où les entreprises n’ont pas encore intégré cette dimension cybersécurité dans leur process… En fait, ils le font après coup mais c’est déjà trop tard. Comme ce fut le cas par exemple d’une grande entreprise qui nous a contactés en plein confinement et pour laquelle on n’a rien pu faire…

M.S : Ça me rappelle l’histoire d’une PME très active dans son secteur avec une super belle structure mais qui, du jour au lendemain, a vu son serveur de données crypté et s’est retrouvée face au message menaçant sur son screen d’une rançon de 15.000 euros. Le patron m’a donc contacté en catastrophe et c’est là que j’ai appelé d’urgence El Azzouzi pour qu’il dépêche son équipe d’experts. Finalement, la dernière bonne sauvegarde dont ils disposaient était vieille de 4-5 mois. Et s’ils se sont fait hacker, c’est parce qu’ils ont voulu changer le logiciel ERP et ont dû recourir aux services d’un technicien outsider qui avait ouvert une connexion avec le prestataire pour qu’il puisse installer à distance ce programme. Et c’est cette connexion-là qui était à l’origine de cette brèche à travers laquelle les hackers se sont engouffrés. Finalement, il a refusé de payer et a préféré revenir sur cette sauvegarde de 4-5 mois et saisir toutes les opérations comptables, factures d’achat, etc. des mois restants.
En outre, au niveau de l’AUSIM qui compte une centaine de membres, on est à chaque fois consultés face à ce genre de pépins pour les aiguiller vers des experts à même de les résoudre et qui pourront aussi leur dire s’il y a des alternatives ou s’il faut absolument payer la rançon et ce qu’ils risquent s’ils ne paient pas… et ce sont des choses bien réelles…

A.E.A : Elles sont réelles et aussi de plus en plus fréquentes d’ailleurs…

Tous les deux vous avez évoqué un marché existant de la cybersécurité. D’ici 2023 et comme le révèle Clubic, il est même prévu que ce marché dans le monde dépasse les 151 milliards de dollars, sachant qu’il est déjà arrivé à 106,6 milliards de CA l’année passée. Comment faire pour que le Maroc transforme les menaces en opportunités d’investissement ?

A.E.A : Effectivement un marché existe et heureusement d’ailleurs. Et comme le dit le dicton, le malheur des uns fait le bonheur des autres. Mais au-delà du marché et je milite précisément pour ça depuis des années, la cybersécurité est une question de souveraineté nationale. C’est extrêmement important. Moi je vois mal aujourd’hui un pays qui n’est pas équipé de ses propres clouds souverains! Maintenant, je pense et c’est d’ailleurs le propre de la loi 05-20, c’est qu’elle est apparue une fois que la DGSSI a accrédité un certain nombre d’entreprises qui sont devenues prestataires agréés en matière de sécurité de SI justement pour pouvoir créer et faire émerger un vrai écosystème. La bonne nouvelle c’est que non seulement il y a un marché à travers cet écosystème mais c’est un secteur qui est exportable. Les devises sont très importantes pour le Maroc. Par exemple une boîte comme Dataprotect a réalisé un chiffre d’affaires de 150 millions de dirhams dont 75% à l’international. Donc, le monde est consommateur de cybersécurité. Et l’une des priorités des chefs des pays pour accéder au pouvoir et après la lutte contre le terrorisme c’est la cybersécurité. C’est le nouvel enjeu primordial dans l’agenda d’un président. C’est un défi mondial après celui du changement climatique avec les objets connectés. Je pense qu’à l’horizon de 2030 on va avoir 50 milliards d’objets connectés… les montres, les voitures, des appareils électroménagers… Aujourd’hui au risque de me répéter, ce n’est plus une option… Et je vais même vous avouer autre chose en tant qu’acteur dans la cybersécurité, nous n’avons pas été impactés grâce à Dieu. Au contraire, l’on a eu des demandes incroyables sur plusieurs volets, notamment au niveau du centre de supervision de cybersécurité parce qu’on fait de la supervision 24h sur 7j. Nous avons donc gagné plusieurs marchés et notre chiffre d’affaires ne s’est pas détérioré. Juste pour vous dire, la cybersécurité est un marché en devenir, qui a de beaux jours devant lui et où il y a de la place pour tout le monde.

M.S : De mon côté, je confirme ce qu’a dit El Azzouzi et en tant qu’utilisateur, je peux vous dire que l’un des budgets pratiquement qui ne sont pas discutés, c’est celui de la cybersécurité. Après plus de 30 ans de carrière et dans le secteur financier depuis une quinzaine d’années, il y a un budget sur lequel la Direction générale et le Conseil d’administration ne peuvent pas couper d’une manière drastique. Car ils savent pertinemment que le risque est grand et que par exemple un simple message à connotation pornographique ou antisémite sur leur site web pourra ternir leur réputation à jamais…

A.E.A : La fameuse grande société qui nous a contactés a été victime d’un incident de cybersécurité ayant lieu pendant un week-end. Et ça les a tellement déstabilisés que le Conseil d’administration s’est réuni illico presto. Pourquoi? Parce que ce sont des incidents extrêmement sensibles. Donc, même s’il n’y a pas d’impact sur la base de données des clients, du chiffre d’affaires, ni sur le métier lui-même mais c’est l’image de l’entreprise qui en prend un coup. Et ça risque de rester dans les mémoires car il y aura toujours un avant et un après incident.

Justement est-ce que vous estimez que la cybersécurité est un enjeu qui doit être géré au niveau du comité exécutif ?

M.S : C’est comme si vous aviez passé la semaine avec nous (rires). C’est vraiment incroyable, on en parlait à peine hier sur le référentiel mis en place par la BCE et qui est aujourd’hui réutilisé par un certain nombre de banques centrales. Et l’un des chapitres, l’un des axes majeurs c’est la gouvernance de la cybersécurité, c’est-à-dire que c’est un sujet qui doit s’inviter dans les discussions des Conseils d’administration. Et le comité Audit et Risque qui émane du C.A doit faire une revue annuelle de tous les risques cybersécurité et de toutes les mesures mises en place par les entreprises pour parer à ce genre de risque. Bien évidemment, le comité Stratégie et Technologie doit aussi veiller à ce que ces bonnes mesures soient instaurées. Donc c’est très important. Et même les autorités, et là je parle des autorités sectorielles, doivent jouer pleinement leur rôle comme BAM pour le secteur bancaire et financier, l’AMMC pour le marché des capitaux, l’ANRT pour les opérateurs télécoms… De fait, ces autorités incitent et obligent, à travers leurs circulaires et leur corpus réglementaire, leurs assujettis à ce que ces sujets-là soient abordés dans les débats des C.A. Ce qui serait d’une très grande maturité.

A.E.A : En effet, ce qui m’a aussi étonné c’est que l’année passée j’ai été invité par deux organismes qui sont nos clients au Maroc et à deux reprises afin d’assister au C.A pour parler cybersécurité. Et pour la première fois, ils voulaient avoir l’œil d’un expert justement par rapport à la problématique de cybersécurité. Celle-ci est devenue une question de bonne gouvernance. Les deux doivent aller de pair ! Et fort heureusement on voit de plus en plus la question de cybersécurité traitée au niveau des C.A…

Mais malheureusement ce qu’on voit aussi dans notre quotidien c’est une certaine non prise de conscience voire de nonchalance dans la gestion des données dans l’administration (des ministres qui utilisent des boîtes perso, problème de classification des documents, piratage de certains tweets, etc.). Franchement est-ce que ces personnes sont conscientes de la gravité de la situation ?

M.S : Je crois que comme dit le dicton «Chat échaudé craint l’eau froide». Les anciens incidents qui se sont produits par le passé de perte de données ou de piratage de données personnelles ont eu le mérite d’alerter les victimes pour être plus aux aguets et sur leurs gardes. C’est justement le bruit que font ces méfaits qui aident à une prise de conscience de tout un chacun. Et c’est pour cette raison qu’on doit tous militer, nous acteurs de la société civile, autorités, associations, médias (comme ce que vous faites aujourd’hui, cela relève de la sensibilisation du grand public), pour qu’on puisse justement être sensibilisés de la meilleure manière et, le citoyen lambda doit être conscient de ce qu’il risque si jamais l’information fuit ou s’il parle en public d’un secret professionnel ou si sa boîte mail non sécurisée est hackée. Nous tous, on doit être conscients de ce que nous risquons, sinon l’impact est énorme parce que ça pourrait servir à des personnes malveillantes pour faire des dégâts incommensurables à notre pays.