Se protéger des attaques informatiques

Les institutions financières sont les proies favorites des pirates informatiques. Par méconnaissance de la sécurité de l’information, certaines sociétés mauriciennes ne sécurisent pas assez leurs systèmes informatiques, ce qui favorise la prolifération des attaques. Pravesh Gaonjur, directeur exécutif de Tylers, compagnie spécialisée en sécurité de l’information, fait la lumière sur ce problème.

“La cybercriminalité est un phénomène qui prend de l’ampleur partout dans le monde, à tel point que cela rapporte plus d’argent que le trafic de drogue”, dit d’emblée Pravesh Gaonjur, directeur exécutif de Tylers, société spécialisée en sécurité de l’information. La cybercriminalité rapporte environ un trillion de dollars par an dont 780 millions de dollars par le spam. Maurice n’est pas exempt, s’agissant du nombre d’attaques informatiques. Elles ne cessent d’augmenter que ce soit sur Facebook, au sein des banques et même dans certaines sociétés qui se retrouvent souvent avec des pages web défigurées.

Les institutions financières sont parmi les plus exposées aux menaces de sécurité, tant par la quantité que par la gravité. Il y a plusieurs mesures préalables que ces compagnies doivent prendre afin de protéger leurs clients et leurs ressources, notamment se conformer aux diverses réglementations existantes dont le ISO 27001. Eduquer les clients sur l’usurpation d’identité, sécuriser les périphériques mobiles, mettre en œuvre des procédures sûres de mise au rebut du matériel, et empêcher les fuites d’information hors des murs de la société. Telles sont quelques mesures importantes à envisager.

La cybercriminalité peut être de trois catégories, les infractions spécifiques aux technologies de l’information et de la communication (TIC), les infractions liées aux TIC et les infractions facilitées par les TIC. Pour la première catégorie, on recense les atteintes aux systèmes de traitement automatisé de données, les traitements non autorisés de données personnelles, comme la cession illicite des informations personnelles, les infractions aux cartes bancaires, les chiffrements non autorisés ou non déclarés ou encore les interceptions. Pour les infractions liées aux TIC, on regroupe la pédopornographie, l’incitation au terrorisme et à la haine raciale sur Internet, les atteintes aux personnes, les atteintes aux biens. Et la dernière catégorie consiste en des escroqueries en ligne, le blanchiment d’argent, la contrefaçon ou toute autre violation de propriété intellectuelle.

Tous ces types d’infractions ont été constatés à Maurice. Plusieurs textes de loi existent et des institutions sont chargées d’investiguer et de réprimander. “A ce stade, je pense qu’il y a des pays plus avancés que d’autres dans ce domaine et pour mieux lutter contre la cybercriminalité, on ne peut pas faire cavalier seul”, précise Pravesh Gaonjur. “La coopération entre le secteur privé et public est extrêmement importante pour pouvoir vraiment être efficace et se liguer contre cette forme de criminalité”, ajoute-t-il.

L’éducation et la sensibilisation sont des armes essentielles pour combattre les pirates. Tous les systèmes ont de différents niveaux de sécurité. Les utilisateurs sont vulnérables pour diverses raisons, soit ils n’ont tout simplement pas conscients du danger, soit ils sont aveuglés par l’appât du gain, soit ils pèchent par excès de facilité, par exemple en  utilisant le même mot de passe pour tous leurs comptes en ligne. Cela n’a rien de surprenant : l’être humain constitue généralement le maillon faible de tout système de sécurité. C’est pourquoi une si grande part de la cybercriminalité repose sur des techniques de ‘social engineering’, qui consistent à inciter les internautes à faire quelque chose qui met en danger la  sécurité en ligne, que ce soit la leur ou celle de leur employeur.

Les cours en sécurité de l’information existent déjà à Maurice, à l’UTM et à la C-DAC, mais pas à l’Université de Maurice. “L’université devrait travailler en collaboration avec l’industrie afin de préparer un cursus par rapport aux compétences dont on a besoin et ce à la demande, comme l’a fait C-DAC”, souligne Pravesh Gaonjur. Il ajoute que ce genre de cours ne peut pas être uniquement théorique. Il faut de la pratique et les cours doivent être donnés par quelqu’un qui a de l’expérience dans le domaine. “Sinon, nous formons des experts qui n’ont ni expérience ni compétence”, affirme le directeur exécutif.

Pravesh Gaonjur précise que Tylers est la seule compagnie mauricienne spécialisée en sécurité de l’information à Maurice, illustrant ainsi comment le domaine doit encore être développé. Il est toutefois confiant que d’ici deux ou trois ans, la situation aura changé et  les sociétés, seront plus averties sur le sujet et en mesure de se protéger.

Un parcours étoffé

A 30 ans, Pravesh Gaonjur est le directeur général de sa propre compagnie, Tylers, sise à Orbis Court, Quatre-Bornes. Si la compagnie de sécurité informatique est encore toute jeune, Pravesh Gaonjur a, quant à lui, un parcours déjà bien étoffé.

Le directeur de Tylers, né à Port-Louis, a débuté avec un diplôme en ‘information systems’, avec spécialisation en technologie web, au Swami Dayanand Institute of Management à Pamplemousses. Après un Bsc en “software engineering” à l’Université de technologie de Maurice (UTM), Pravesh Gaonjur entreprend de petits travaux de technicien avant de décrocher un emploi à Deloitte (Kemp Chatteris) comme programmeur. Il n’y reste pas longtemps, et intègre l’UTM comme programmeur, tout en y poursuivant ses études. Il sort de l’université avec un ‘1st class degree’, résultats brillants lui valant des bourses d’études. Celle offerte par l’université lui donnait le choix de préparer un doctorat en ingénierie de système. Il opte finalement pour une bourse indienne, offerte par le Commonwealth. Il met le cap sur l’Inde pour une maîtrise en sécurité de l’information. Il y apprend les systèmes de réseaux, notamment le piratage et le ‘digital forensic’. Grâce à cette maîtrise, Pravesh Gaonjur a été sollicité pour entraîner les militaires indiens. Il leur a appris à sécuriser leur plate-forme ‘Linux’ pour empêcher leur réseau d’être piraté. Cette formation a duré six mois et Pravesh Gaonjur est rentré à Maurice car travailler à l’étranger ne l’intéressait pas du tout. A son retour, en 2007, il a eu de nombreuses propositions dans le secteur bancaire et dans le secteur financier. Cependant, pas de proposition intéressante dans le domaine de la sécurité de l’information, si ce n’est au sein d’une société danoise, spécialiste en sécurité informatique. Il y a travaillé pendant trois ans, période durant laquelle le jeune homme a été envoyé au Danemark pour travailler sur les systèmes de grandes banques telles que la Royal Bank of Scotland. Sa mission là-bas était de se débarrasser d’un ‘worm’ nommé ‘Configure’ qui était un fléau pour ces banques. Toutefois, avec la récession en Europe, la filiale mauricienne de la compagnie danoise, qui n’avait pas essayé de trouver des clients localement, s’est retrouvée couper de la branche mère. Le jeune homme a, alors, décidé de lancer son propre business, avec une partenaire, Stephanie Hölzl, experte en développement de technologie.

Pravesh Gaonjur donne des cours à l’UTM à temps partiel en Computer Forensics and Cyber Crime et à C-SAC (School of Advanced Computing), branche de C-DAC basée en Inde. Le directeur exécutif fait partie des 150 Certified EC-Council Instructors dans le monde. Il assure également la formation de la branche Computer Emergency Response Team (CERT-MU) du National Computer Board. Il a également formé les membres de l’IT Unit de la police et des managers, entre autres.

Tylers

Créée en décembre 2010, Tylers est née de l’association de Pravesh Gaonjur et de Stephanie Hölzl, une collègue qui travaillait, comme lui, au sein d’une société danoise. Au départ Tylers était une sorte de centre formation et tous deux formaient de petits groupes d’étudiants, huit au maximum. Les formations étaient axées sur la pratique, et les certificats reçus étaient reconnus internationalement, notamment le Certified Ethical Hacker (CEH), et le EC-Council Network Security Administrator (ENSA).

Après un an à peine, la société s’est agrandie et compte à ce jour six employés, y compris les deux partenaires. Leurs activités se sont également diversifiées. Hormis la formation en partenariat avec le EC-Council, Tylers offre des services de conseil, notamment de l’audit informatique en ligne avec le standard ISO 27001. Ce standard assure la confidentialité des données. Tylers, partenaire de Microsoft, propose également des produits informatiques. Les solutions informatiques offertes concernent tout ce qui est .NET, Java. Des ‘Managed Services’ sont proposés aux petites et moyennes entreprises. Tylers offre, avant tout, la sécurité informatique. Des tests de pénétration et de ‘digital forensic’ qui est la récupération d’information, sont aussi effectués, et peuvent être produits en cour. “Ces types de cas sont assez fréquents”, dit Pravesh Gaonjur. Tylers est un des quatre ‘Silver Learning Partners’ de Microsoft offrant des certifications de Microsoft, telles que Sharepoint, .NET, Microsoft Office Specialist entre autres. Ils sont aussi les seuls à être liés à l’Information Systems Audit and Control Association (ISACA), et donc les seuls à dispenser les cours de Certified Information System Auditor (CISA) et de Certified Information Security Manager (CSIM). Ce sont des certificats de haut niveau, accessibles aux CEO par exemple pour qu’ils comprennent le système informatique et les risques. Car s’il y a un piratage, ce sont eux les responsables. Tylers a déjà fait des “revamping” pour des compagnies, c’est-à-dire créer des systèmes de virtualisation. Cela consiste à créer des ordinateurs virtuels qui peuvent être maintenus à distance. “C’est la direction que prend l’informatique actuellement”, explique Pravesh Gaonjur. “Selon Microsoft, nous sommes les premiers à Maurice à avoir fait une ‘Virtual desktop infrastructure’ (VDI), c’est-à-dire complètement virtualiser une compagnie. Ceux-ci sont tellement contents du travail fait qu’ils demandent que la même chose soit effectuée pour leur branche à Madagascar”, ajoute-t-il. Plusieurs opportunités existent  aussi dans le domaine du cloud computing que Tylers propose également. “Tylers offre les mêmes services que les sociétés étrangères mais à moindre coût et en roupies”, précise Pravesh Gaonjur. Tylers offre deux types de tests de pénétration, le test externe via Internet, et interne, qui requiert qu’un expert vienne à la société pour faire les tests.