[Digital Business Africa – Avis d’expert* ] – Si l’on se souvient que le monde a connu des pandémies dans le passé (la peste de 1346, la grippe espagnole de 1918), l’année 2020 s’est également inscrite dans l’histoire des crises sanitaires mondiales car la pandémie causée par le Covid-19 aura été sans précédent du point de vue du modèle de propagation exponentiel qui l’aura caractérisée. Le monde entier comptait plus de 500.000 cas d’infection au troisième mois de la pandémie (entre le 31 Décembre 2019 et le 31 mars 2020), avec l’homme comme principal vecteur de transmission. Du point de vue économique, cette pandémie a immédiatement été assimilée à une crise mondiale majeure, compte tenu de son impact tant sur l’offre que sur la demande.
Etant peu préparées, certaines entreprises africaines n’avaient pas intégré dans leur stratégie de risques des scénarii de crises d’une telle ampleur et d’un tel impact. Pire dans d’autres, la notion de plan de continuité d’activités (PCA) restait conceptuelle. Dans les deux cas, ce n’est qu’aux premières ondes de choc du covid19 que certaines entreprises ont sollicité précipitamment leur Direction des systèmes d’information (DSI) pour la mise en place d’outils et de moyens pour y faire face, notamment des solutions de Télétravail.
Ces changements qui interviennent dans un contexte socio-économique particulièrement tendu, se retrouvent accentués par l’absence de sérénité des collaborateurs face à une situation d’une telle ampleur. Aussi, décider des restructurations de système d’information d’entreprise dans un tel contexte implique des risques opérationnels importants, pouvant amener l’entreprise à devoir suspendre certaines activités, de manière provisoire, et dans certains cas de manière définitive.
En effet, à l’occasion d’une démarche aussi spontanée, des failles de sécurité peuvent être ignorées, négligées, voire même créées, donnant ainsi l’opportunité à des cybers criminels de réaliser des « casses » à succès[1]. Ces challenges interpellent tout de même sur la place actuelle de la DSI au sein de l’entreprise Africaine, mais incitent aussi à éclairer sur les risques consubstantiels au télétravail.
« Covid-19 et continuité d’activités » : Le Télétravail au sein de l’entreprise africaine
A l’aube de la pandémie Covid19, au regard de sa propagation exponentielle, l’une des préoccupations de l’entreprise Africaine aura été d’activer un des outils de gestion de risques bien connu : le plan de continuité d’activités (PCA).
Rappelons que dans la plupart des cas, les collaborateurs en Télétravail sont connectés à leur entreprise via un accès Internet. Dès lors, il apparait évident que la confidentialité des données, l’intégrité des échanges et la disponibilité du système d’information sont des risques à maitriser.
En effet, maitriser la confidentialité des échanges (des collaborateurs) transitant par Internet permettrait de s’assurer que les données de l’entreprise ne soient pas accessibles aux tiers non autorisés (cyber criminel par exemple).
Par ailleurs, l’intégrité des données reviendrait à s’assurer que les informations saisies ou extraites des systèmes d’informations par les utilisateurs ne souffrent d’aucune corruption.
Quant au système d’information de l’entreprise, notamment les applications informatiques, elles devraient (en tant de crise) être en permanence disponibles depuis Internet afin que les collaborateurs en Télétravail puissent y accéder depuis leurs domiciles. Ce qui expose les organisations aux risques susmentionnés.
En somme, dans le cadre du télétravail, les postes de travail des collaborateurs et les accès distants (connexion Internet, serveurs distants, applications métiers accessibles à distance) sont fortement exposés à des menaces réelles pouvant générer des déconvenues significatives (liste non exhaustive) :
- La sécurité des connexions Internet : l’entreprise n’a pas la main sur l’accès Internet domestique de ses collaborateurs. Des attaques de type « Man in the middle » peuvent alors s’opérer sur ces accès qui relient l’entreprise au domicile des collaborateurs.
- A l’arrivée d’un nouveau collaborateur dans certaines entreprises, ce dernier se sert dans un premier temps de son ordinateur personnel (le temps qu’un poste de travail lui soit commandé par l’entreprise). Cela s’inscrit dans le modèle bien connu de BYOD (Bring Your Own Device). Dans des conditions de Télétravail, en cas d’utilisation d’un ordinateur personnel par le collaborateur pour accéder au système d’information de l’entreprise, un virus informatique (Malware) pourrait être installé sur ce poste dans le but de collecter par exemple des données de l’entreprise.
- En l’absence de l’adoption du confinement total par certains Etats Africains, le Télétravail peut également susciter des réflexes tel que le nomadisme chez certains collaborateurs : usage du poste de travail dans un café, dans un bus, dans un restaurant, à son domicile. La perte ou le vol des postes de travail n’est donc pas exclu.
Le Télétravail et les mesures de sécurité de l’entreprise
Cette section propose des moyens de protection de son système d’information relativement aux risques mentionnés dans la section précédente, sans toutefois rentrer dans des considérations techniques. Si à cette étape de l’article vous vous demandez encore pour quelle raison une attention particulière a été portée sur le Télétravail, c’est pour une raison simple : à la date de rédaction de cet article, le Télétravail ne faisait pas partie de la culture d’entreprise dans la plupart des pays d’Afrique, il s’agissait d’une pratique exceptionnelle et non culturelle.
Quelques mesures de sécurité à adopter selon les cas sont proposées ci-après, chacune d’elle pouvant faire l’objet d’approfondissements :
- Sécuriser les postes de travail des collaborateurs :
La sécurité du poste de travail est encadrée par une politique conçue par la DSI et validée par le Top Management. Une politique d’authentification forte doit s’articuler autant que possible autour des trois principes ci-après : « ce que je sais » c’est-à-dire un mot de passe, « ce que je possède » c’est-à-dire un « Token » par exemple, « ce que je suis » c’est-à-dire mon empreinte digitale par exemple.
Concernant les supports amovibles (clés USB par exemple), les ports USB sont des canaux par lesquels il est possible de véhiculer des virus informatiques dans un poste de travail, voire d’en extirper des informations. Au demeurant, il convient de bloquer l’usage des supports amovibles inconnus (c’est-à-dire non procurées par la DSI). En effet, il serait préférable que seule la DSI soit en capacité de procurer aux collaborateurs des clés USB paramétrées et propre à l’entreprise. Seules ces clés devraient pouvoir être reconnues par les postes de travail des collaborateurs.
Aussi, il est important de veiller à la mise à jour d’un pare-feu et d’un anti-virus sur les postes des collaborateurs.
Enfin, la sensibilisation des collaborateurs quant à la politique de Télétravail de l’entreprise est indispensable. Cela suppose que cette dernière soit encadrée et communiquée via une note interne par exemple.
- Sécuriser les connexions Internet domestiques :
Si nous convenons qu’il est presque impossible d’avoir des garanties sur le trajet emprunté par les données échangées sur Internet, nous conviendrons également qu’il est indispensable de mettre en place des mécanismes d’authentification fort afin d’accéder au système d’information de l’entreprise depuis Internet.
Paradoxalement, l’entreprise peut s’appuyer sur le réseau Internet afin de créer des tunnels sécurisés entre les postes de travail des collaborateurs en Télétravail et le système d’information de l’entreprise. Cela est rendu possible grâce à la technologie de chiffrement connue sous le trigramme VPN (Virtual Private Network).
- Messagerie
En cette période de crise sanitaire où une communication régulière est faite par les entreprises auprès de leurs collaborateurs (email de sensibilisation, email d’information, etc.), il est important que les collaborateurs soient sensibilisés à bien identifier l’émetteur des messages électroniques avant toute ouverture de pièces jointes. En effet, sous cette kyrielle de mails reçus, certains contrevenants peuvent profiter pour diffuser des mails contenant des pièces jointes ou des liens infectés de virus (Ransonware, etc.). C’est ainsi que des virus informatiques sont diffusés par mail pendant cette crise sanitaire notamment le Malware baptisé « CoronaVirus[2] » qui, après que vous ayez ouvert un mail et la pièce jointe infectée par ledit virus informatique, prend le contrôle de votre poste de travail verrouille certains dossiers et vous exige une rançon payable en Bitcoin par exemple.
- Prises réseaux
En cette période de crise (et même après) où les collaborateurs sont en Télétravail et les bureaux vides, les prises réseau (RJ45) accessibles au public dans des salles de réunion, le hall d’accueil, etc.) doivent être désactivées afin d’empêcher un contrevenant d’accéder au réseau de l’entreprise. Ces failles sont régulièrement observées au sein des entreprises et ont déjà fait l’objet d’exploitation.
- Salles serveurs
On le dira sans cesse, la sécurité d’accès physique aux serveurs de données doit faire partie de la politique de sécurité de l’entreprise. Il faudrait notamment contrôler l’accès via un système d’ouverture par badge électronique et imposer l’accompagnement des prestataires externes qui doivent y accéder pour des opérations de maintenance par exemple.
- Encadrer le BYOD
Elaborer et implémenter une politique dédiée au BYOD (Bring Your Own Device). En effet, l’usage à des fins professionnelles des postes de travail personnels peut créer des brèches exploitables par des pirates informatiques.
Quelle place occupe la DSI dans l’entreprise Africaine ?
La valeur de la DSI est une notion que les entreprises africaines intègrent progressivement, au fil de la digitalisation de leurs processus de gestion et de production. Mais bien que l’absorption du Numérique soit croissante, beaucoup de responsables d’entreprises n’ont pas encore pleinement perçu les enjeux et opportunités d’avoir une DSI forte. Peu d’entreprises accordent à la DSI sa juste valeur, c’est-à-dire un acteur majeur dans les structures de gouvernance, un partenaire stratégique au sein de l’entreprise. De fait, la DSI est encore vue comme un centre de coût et cette perception transparait dans la relation entre les Directions Métiers et la DSI, qui demeure de nature « client / fournisseurs » uniquement.
Par ailleurs, il y a comme une volonté de ne pas exploiter les opportunités générées par le Numérique. C’est ainsi que l’on retrouve encore dans certaines entreprises Africaines cette logique du « tout en présentiel ». Les réunions (de service, client, etc.) et autres transmissions d’informations sont autant d’opportunités pour expérimenter les avantages du Numérique : plus besoin pour des collaborateurs de quitter leur ville ou leur pays pour une réunion de quelques heures. Cela pourrait se faire au travers de solutions sécurisées mises en place par la DSI, permettant de gagner en heures et jours de travail, de minimiser les coûts et les risques d’accidents de travail. Cet état de fait, affecte directement la productivité de certaines entreprises Africaines.
Pour assurer un minimum de résilience face aux turbulences à venir (catastrophes, crises, concurrences, etc.), la transformation digitale des chaines de valeurs productives et la maitrise des risques induits seront indispensables. Ce constat traduit la nécessité d’un changement de paradigme dans le positionnement de la DSI au sein de l’entreprise Africaine.
L’entreprise africaine et la nécessité d’un changement de paradigme à l’issue de la crise sanitaire COVID19
Les entreprises Africaines sont appelées à mieux appréhender les crises à venir. Cela passera par :
- La digitalisation de leurs processus
L’efficacité opérationnelle des collaborateurs, l’amélioration de la connaissance et de la relation clients, l’amélioration de la relation fournisseurs, sont tous des objectifs atteignables par une digitalisation des pratiques. La transformation digitale étant d’abord un changement de mentalité impulsé par le Top Management et soutenu in fine par la DSI.
- Le renforcement de leurs stratégies de gestion des risques.
A court terme, il serait judicieux de systématiser la mise en place d’un plan de continuité d’activités (PCA) peu importe la taille de l’entreprise. Ce PCA devrait d’ailleurs faire l’objet de tests réguliers afin de s’assurer que toutes les briques de ce dernier soient en permanence fonctionnelles.
A moyen terme, reconfigurer la gouvernance du contrôle interne en dissociant les trois[3] lignes de défense prescrites par les bonnes pratiques en matière de gestion des risques (première ligne assurée par les Managers, deuxième ligne assurée par les fonctions de gestion de risques et conformité, la troisième ligne assurée par l’audit interne). Par ricochet, revisiter les cartographies des risques en s’assurant d’y avoir intégré les risques induits par l’usage d’un système d’information, qui sont eux aussi des risques opérationnels. C’est d’ailleurs dans cette rubrique qu’est logé le risque de cyber sécurité.
Anticipation des crises majeures à venir : rôle des Etats Africains
C’est bien connu, l’Etat doit mettre en place les conditions favorables à l’émergence d’un secteur privé dynamique dans une perspective de développement durable. A ce titre, les Etats Africains pourraient envisager (comme mesure à long terme du point de vue des entreprises) :
- De réformer le code du travail en tenant compte des évolutions des modes de travail, notamment le télétravail.
Dans certains pays d’Afrique subsaharienne, il existe encore un vide juridique face à la question du télétravail. En effet, ce modèle de travail est absent dans bien des codes de travail. Dès lors, plusieurs questions se posent telle que la définition de l’accident de travail dans le cadre du télétravail. Cependant quelques pays comme le Maroc ont déjà légiféré sur la question avec l’article 8 du Code du travail consacré au travail à domicile.
- De renforcer les contrôles relatifs à la qualité des réseaux internet mis en place par les opérateurs Telecom et négocier la tarification de la bande passe Internet
La technologie 4G est la même en France, aux USA, en Chine : c’est un standard. Que sa qualité et son coût (pour les entreprises) soient autant variables selon l’espace, est difficilement recevable. D’autant plus que parfois ce sont les mêmes acteurs qui opèrent cette technologie en Afrique et ailleurs.
- De proposer un cadre réglementaire rendant coercitif la mise en place d’un plan de continuité d’activités au sein des entreprises du secteur privé
La continuité de l’activité économique doit être un impératif pour les Etats Africains, afin de limiter le poids des effets des crises majeures. Compte tenu du coup induit par la mise en place d’un PCA, des mesures d’accompagnement pourraient éventuellement être consenties.
Par Frank William NZOUETOM*
*Frank William NZOUETOM est Senior Manager chez Mazars Cameroun. Par ailleurs, il est Head of Digital Transformation & Technologies Risks
[1] Les « casses à succès » sont entendues ici comme étant des opérations de fraudes internes et externes réussies.
[2] https://securityboulevard.com/2020/03/coronavirus-ransomware/
[3] https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20French.pdf