Entretien avec Taha AIT Tchakoucht, expert en intelligence artificielle appliquée à la cybersécurité, enseignant chercheur à l'UEMF. Quels vecteurs d'attaque pourraient expliquer cette intrusion massive ? Est-ce une faille zero-day, une erreur humaine ou un manque de mise à jour des systèmes ? Bien que les investigations soient toujours en cours et qu'il soit difficile de déterminer la cause exacte de l'attaque contre la CNSS, il est pertinent de discuter de cette situation à la lumière des incidents similaires survenus dans le passé. Pour analyser l'incident de manière plus approfondie, il est essentiel de classer les attaques selon la facilité d'utilisation de l'exploit et la probabilité d'occurrence, à la fois sur des bases statistiques et historiques. Zero-Day Attack : elle désigne une attaque exploitant une vulnérabilité dans un logiciel ou un système avant que celle-ci ne soit connue du fournisseur ou avant qu'un patch de sécurité soit disponible pour la corriger. Les failles zero-day représentent une menace sérieuse, mais elles sont généralement difficiles à identifier ou à exploiter, nécessitant des compétences avancées et des ressources significatives dans ce sens. A mon avis, bien que probable, une telle attaque aurait une probabilité d'occurrence faible en comparaison avec d'autres vecteurs pour lesquels un hacker va opter en premier lieu. -Injection SQL : Une attaque par injection SQL est un vecteur courant d'intrusion, particulièrement lorsqu'un site ou une application ne protège pas correctement les entrées de l'utilisateur. Par exemple, en 2017, une attaque par injection SQL a compromis les données personnelles de millions de clients dans le cas de l'incident de Equifax. L'attaque a permis aux cybercriminels d'exécuter des requêtes malveillantes sur la base de données de l'entreprise, accédant ainsi à des informations sensibles. Une vulnérabilité SQL mal protégée pourrait expliquer un tel incident, notamment si la CNSS ne valide pas correctement les entrées des utilisateurs sur ses plateformes. -Manque de mise à jour des systèmes : Lorsqu'un système n'est pas régulièrement mis à jour, il devient vulnérable à des attaques exploitant des failles déjà connues. Ce manque de mise à jour peut expliquer pourquoi certaines organisations continuent d'être victimes d'attaques massives. – Erreur humaine et phishing : L'ingénierie sociale et les attaques de phishing, étant le plus probables, exploitent souvent la naïveté de l'être humain. Par exemple, une attaque de phishing ciblant un employé de l'organisation pourrait conduire à l'accès à des informations sensibles, comme cela a été observé dans des incidents comme l'attaque de Sony Pictures en 2014. Un employé trompé par un e-mail malveillant aurait pu ouvrir une pièce jointe ou cliquer sur un lien, donnant ainsi accès aux systèmes internes. En résumé, la cause probable de cette intrusion pourrait fort probablement être un manque de mises à jour de sécurité, une erreur humaine (notamment via du phishing) ou potentiellement une attaque de type injection SQL qui aurait permis aux attaquants d'accéder aux systèmes internes. L'absence de chiffrement des données sensibles semble avoir aggravé la situation. Quels standards de sécurité sont aujourd'hui incontournables pour protéger ce type d'informations ? Le chiffrement des données en transit (lors de l'envoi d'une information) ou en repos (stockage au niveau d'une base de données) et parmi les mesures intuitives qui doivent être déployées pour au moins préserver la confidentialité de l'information. De ce fait même si les données sont exfiltrées, elles seront dans un état difficile à déchiffrer. Les protocoles comme TLS (Transport Layer Security) pour le chiffrement en transit et AES (Advanced Encryption Standard) pour le chiffrement des données au repos sont des incontournables aujourd'hui. D'autant plus qu'il faut déployer une authentification forte, multi-facteurs (MFA) pour garantir que seules les personnes autorisées ont accès aux informations sensibles. Celles-ci représentent certaines mesures parmi d'autres, qui peuvent faire la différence lors d'une attaque de la sorte. Comment évaluez-vous les efforts déployés par le Maroc, notamment dans la recherche scientifique, dans le domaine de la cybersécurité ? Et quelle leçon doit-on tirer pour renforcer notre système national ? Bien que le Maroc ait fait des progrès importants, notamment avec l'adoption de la loi n° 05-20 sur la cybersécurité et le décret n° 2-24-921 relatif au recours aux prestataires de services cloud, il reste beaucoup à faire. Les ressources limitées et la répartition inégale des compétences en matière de cybersécurité dans les institutions publiques sont des obstacles majeurs à une meilleure protection des données. De plus, la sensibilisation et la formation des employés au sujet de la cybersécurité est un facteur de haute importance, dont l'insuffisance peut donner lieu à des attaques dévastatrices même avec les mécanismes de sécurité bien déployés. Un autre volet bien critique est la question de la recherche scientifique au Maroc, et son impact au-delà de l'environnement académique. En effet, bien qu'il y ait un intérêt croissant pour la cybersécurité dans la recherche scientifique, il reste encore un manque d'investissement dans des projets de recherche appliquée et dans le développement d'outils nationaux. Les universités marocaines commencent à proposer des programmes spécialisés, à contribuer par des articles scientifiques de haute qualité, mais il existe une lacune dans le financement de tels projets, d'autant plus qu'il y a un manque au niveau des partenariats industriels. Quel serait à votre avis l'apport de l'intelligence artificielle pour contrer ces types d'attaques ? L'intelligence artificielle (IA) est devenue un levier stratégique dans différents domaines, notamment en cybersécurité. Elle permet dans ce contexte de détecter rapidement des comportements anormaux, d'identifier des menaces complexes comme les attaques zero-day, et de réagir en temps réel. Les solutions de détection et réponse de nouvelle génération (Next-Gen IDS/IPS, Firewalls) embarquent désormais de l'IA pour analyser le trafic réseau en profondeur, repérer des patterns inhabituels et bloquer automatiquement les connexions malveillantes. Par exemple, des outils comme Fortinet ou Cisco SecureX utilisent l'IA pour anticiper les attaques. L'IA est aussi au cœur des systèmes UEBA (User and Entity Behavior Analytics), qui modélisent le comportement habituel normal des utilisateurs (heures d'accès, types de fichiers consultés, géolocalisation, etc.) pour détecter les écarts suspects (ex. : un employé accédant à une base de données à 3 h du matin depuis un autre pays). L'IA devient donc un outil stratégique pour renforcer les défenses cyber, permettant entre autres une détection proactive des menaces, et assure une meilleure visibilité sur les activités internes. Mehdi Idrissi / Les Inspirations ECO
