Les défis de la cybersécurité en Afrique et les spécificités du SOC de Polaris ST

Consultant, formateur et auditeur en cybersécurité, Malick FALL est le fondateur et CEO de Polaris Secure Technologies, un cabinet de conseil spécialisé dans la cybersécurité. Après un Master Cryptologie, Sécurité et Codage de l’Information, Malick FALL a travaillé en tant ingénieur système et sécurité réseau, expert sécurité, IT Manager, RSSI, auditeur interne et consultant principal en cybersécurité. Il intervient dans plusieurs pays dans le monde, la France, la Belgique, la Suisse, le Luxembourg, le Sénégal, la Côte d’Ivoire, la Guinée, le Mali et la RDC pour ne citer que ceux-là. 

Africa CyberSecurity Mag :  L’actualité, ces derniers jours, est marquée par de grosses fuites de données du côté de l'Autorité de Régulation des Télécommunications et des Postes du Sénégal (Artp) et de l’Agence pour la Sécurité de la Navigation Aérienne en Afrique et à Madagascar (ASECNA), qui a été attaquée par le groupe de hackers Karakurt. Un fait révélateur de l’enjeu autour des questions de cybersécurité dans une Afrique en pleine transformation digitale. Quels enseignements peut-on tirer de ces malheureux événements qui se multiplient ?

Malick Fall : Sans parler directement de ces deux entreprises citées, nous pensons que le premier enseignement est que l’Afrique devient de plus en plus la cible des cyber attaquants, après l’intérêt historiquement suscité par ses ressources. Les attaques de ces deux entités sont de type ransomware. La motivation première des ransomwares est l’appât du gain (la rançon) suivi de la motivation idéologique liée à la cyberguerre.  

Le deuxième enseignement que l’on tire de ces évènements, c’est que le processus de digitalisation accélérée de l’Afrique n’est pas assez encadré par la cybersécurité. C’est très salutaire de passer à une ère digitale. Cependant, faudrait-il que cette digitalisation soit correctement encadrée par une démarche d’appréciation des risques et le déploiement de mesures de sécurité adaptées pour une défense en profondeur. 

Le troisième enseignement que l’on peut tirer est le manque de spécialistes suffisamment bien formés pour accompagner nos entreprises et administrations à faire face aux cybermenaces ainsi que le manque de sensibilisation de l’ensemble des acteurs. 

Africa CyberSecurity Mag : Avec la montée croissante du cybercrime en Afrique, de nombreuses entreprises commencent à comprendre la nécessité d’investir dans la cybersécurité. Dans la période de la pandémie liée au Covid-19, le télétravail s’est généralisé dans la plupart des administrations publiques comme privées. Les entreprises se sont adaptées et ont d’ailleurs utilisé des outils sur lesquels les utilisateurs n'étaient pas formés. Les cyberattaques ont été nombreuses avec des banques parmi le lot des entreprises impactées. Quel état des lieux faites-vous de la cybersécurité en Afrique et quels sont ses défis ?

Malick FALL : Nous avons malheureusement une approche de la cybersécurité très réductrice fondée uniquement sur les outils. Nos entreprises et administrations suivent la tendance mondiale dans l’acquisition et la mise en place d’outils et souvent sans avoir les ressources (ressources humaines ou compétences) nécessaires à la bonne utilisation de ces ressources. Un exemple très parlant, c’est la prolifération des SIEM dans nos entreprises et administrations sans qu’ils ne soient correctement paramétrés par défaut de compétences ou supervisés par manque de ressources humaines. Par ailleurs, nous alignons souvent des outils de façon inefficiente voire des outils qui se neutralisent. 

De plus, nos banques, pour la plupart sont certifiées sur la norme PCI-DSS car exigée par les Banques Centrales. Et on constate que les attaques se multiplient avec succès dans ces mêmes banques. Ne devrait-on pas se poser la question quant à l’approche d’implémentation de cette norme dans nos banques ? Je pense que oui. L’approche est plutôt côté conformité et souvent avec des conflits d’intérêt notoires des QSA qui les accompagnent pour implémenter, auditer, certifier, leur vendre les équipements. Donc nous avons doublement un problème d’approche et de paradigme de la cybersécurité : par les outils et par la conformité. Comme dit également plus tôt, nous avons un déficit réel de compétences en matière de cybersécurité. Et quand je parle de compétence, je ne parle pas seulement de diplômes, je ne parle pas non-plus de certifications seulement, je parle de savoir-faire et d’intelligence pointue des enjeux de la cybersécurité en entreprise pour répondre et relever les défis. Dans ces institutions bancaires africaines, il faudrait également constater leur forte dépendance à leur maison-mère au niveau international. En effet, elles n’ont pas forcément de la marge de manœuvre pour agir dans les systèmes au niveau local. Et ce dernier point me permet de faire une bonne transition pour parler de la souveraineté numérique, du point de vue de la cybersécurité, au niveau continental. Aucune solution africaine ne participe à notre défense, aucun référentiel africain reconnu au niveau international, aucun label africain. Ce qui pose un vrai problème d’une vision panafricaine de la souveraineté numérique. 

Et pour finir le défi de la coopération entre les pays, du bon voisinage ou de la bonne camaraderie entre les entreprises est fondamentalement important pour éviter que les mêmes attaques prospèrent dans les entreprises les unes après les autres. Peu d’entreprises, de banques, d’administrations communiquent sur les attaques subies pour des raisons certes business ou d’image mais en se comportant de la sorte, elles n’aident pas les autres à bien se prémunir contre les mêmes attaques. D’où l’intérêt de réglementer dans ce sens et d’avoir un régulateur, une autorité du secteur. 

En résumé, nous avons à relever le défi de la compétence pour changer de paradigme et améliorer notre approche de la cybersécurité, mais aussi investir pour faire émerger des solutions, des référentiels, des labels adaptés à nos réalités africaines et avoir une réglementation et des autorités qui puissent faciliter la coopération et la transparence dans le domaine de la cybersécurité. 

Africa CyberSecurity Mag : Vous avez créé depuis quelques années POLARIS ST, une entreprise spécialisée dans la cybersécurité. Parlez-nous de vos activités chez Polaris ST et pourquoi avoir choisi le secteur de la cybersécurité ?

Malick FALL : Polaris ST est un pure layer de la cybersécurité qui se veut indépendant des éditeurs et des constructeurs afin d’apporter un conseil avisé et désintéressé à ses clients. Polaris ST a été créé en 2010 en France et en 2018 à Dakar avec une ambition forte pour l’Afrique Subsaharienne. 
Polaris ST a quatre grands domaines d’activité :

1. Formation : Polaris ST dispense plusieurs modules de formation permettant de renforcer le niveau de connaissance et d’expertise de ses clients à travers des séminaires, des stages pratiques et des cours de préparation à diverses certifications
2. Audit : Polaris ST accompagne ses clients dans le diagnostic, l’évaluation du niveau de maturité de leur système d’information à travers divers types d’audits : Diagnostic SSI, Audit d'architecture, Audit technique, Audit global, Tests de pénétration
3. Conseil : Polaris ST propose également un accompagnement dans la conception de la stratégie de sécurité ainsi que sa mise en œuvre : la gouvernance et Management des risques SSI, l’expertise technique en SSI, la gestion de la conformité
4. Confiance Numérique : Polaris ST accompagne ses clients, depuis maintenant six mois, à ses clients dans la supervision de la sécurité de leur système d’information avec la veille, la détection, l’analyse, la réduction d’impact et la eemédiation des attaques à travers le CERT, le SOC/MSSP et du Forensic. 

    
Africa CyberSecurity Mag : Polaris ST offre depuis quelques mois un service tout nouveau dans l’écosystème numérique africain : un SOC - Security Operations Center - encore appelé centre des opérations de sécurité. Présentez-nous le SOC et dites-nous quelles sont les spécificités de ce nouveau service à destination des entreprises ?

Malick FALL : La sécurité permet de réduire les risques. Le risque zéro n’existant pas, cela veut dire qu’aucune mesure de sécurité ne nous protège à 100%. Par conséquent, il est important de pouvoir superviser ce qui se passe dans nos systèmes d’information afin de détecter et de traiter dans les meilleurs délais les attaques à travers les évènements de sécurité. De plus, plusieurs normes et réglementions imposent la supervision de la sécurité de notre système d’information : la loi HIPAA, la norme PCI DSS, la norme ISO 27001. Et cette supervision est facilitée par la mise en place d’un SOC. Notre SOC, est composé essentiellement de deux éléments : 

1. Un SIEM (Security Information and Event Management), ou mieux, XDR (Extended Detection and Desponse) : outil de collecte, de corrélation d'événements de sécurité permettant de relever des alertes et de réagir 
2. Une équipe d’analystes sécurité chargée de surveiller et d’analyser en permanence le dispositif de sécurité de nos clients à travers les alertes remontées par la plateforme XDR. 

Pour assurer cette supervision 24h/24 et 7 jours/7, il faut une bonne équipe d’analyses niveau 1, niveau 2 et niveau 3. A peu près, une dizaine de personnes sont nécessaires : ce qui représente un gros investissement pour une entreprise. Pour répondre aux exigences de plus en plus fortes des régulateurs et accompagner ses clients, Polaris ST a mis en place ce SOC mutualisé. Ce SOC, en mode MSSP (Managed Security Service Provider) s’intègre dans une offre plus globale appelée Confiance Numérique, qui est composée de :

• CERT (Computer Emergency Response Team) : un service de veille personnalisée et permanente pour identifier et remonter aux clients les vulnérabilités publiées, qui concernent les composants installés dans leur Système d’Information 
• SOC/MSSP : avec une plateforme XDR nouvelle génération et à la pointe de la technologie  
• Forensics : un accompagnement dans l’analyse Forensics (investigation numérique) ses clients dans l’analyse Forensics (investigation numérique) une fois qu’un incident s’est produit chez un client. Ces investigations permettent d'aider le client à remonter son activité après un incident, à comprendre comment l’incident s’est produit : mécanisme utilisé par l’attaquant, vulnérabilités exploitées et à lui proposer des actions préventives afin que l’incident ne se reproduise plus

        
Africa CyberSecurity Mag : Comment fonctionne le SOC POLARIS ST afin de mieux répondre aux exigences qui sont de plus en plus énormes face aux attaques cyber de plus en plus sophistiquées ? À quel type d’entreprise, les services du SOC Polaris ST sont-ils destinés ?

Malick FALL : L’offre SOC de Polaris ST s’adresse à toute entreprise souhaitant assurer la supervision de la sécurité de son système d’information, quelle que soit sa taille, son activité, les dispositifs déjà en place (par exemple présence d’un SIEM). Notre offre a été bâtie pour répondre aux spécificités de tous nos clients. 
Pour permettre de faire face aux attaques les plus avancées, notre offre allie des technologies de pointe : 

• Détection des menaces cyber (SIEM) 
• Réponse aux incidents et orchestration automatisée (SOAR) 
• CTI permettant, avec une base de renseignement très riche, d’anticiper les attaques 

Notre offre SOC présente également plusieurs avantages concurrentiels : un catalogue de plus de 600 scenarii de détection maitrisés et disponibles sans surcoût pour nos clients. De plus, notre orchestrateur permet de piloter des réponses sur l’infrastructure du client avec ses outils : EDR, IPS, Firewall, etc...

Il faudrait également noter un mode de facturation complètement différent de ceux qu’on connait jusque-là : au nombre d’assets et pas au nombre d’évènements par seconde (EPS). Cette dernière présentant l’inconvénient majeur de pousser les clients à trier leurs logs au risque de passer à côté de choses importantes.

La Rédaction d'Africa Cybersecurity Mag