A l’heure où les risques de hacking et de piratage évoluent à vive allure, les banques et l’ensemble des organismes se doivent de se conformer aux référentiels de sécurité de GIE Monétique qui, eux, se réfèrent aux standards internationaux en la matière. Mohamed Boussad Aouana, directeur risque, sécurité et conformité au niveau de GIE Monétique, aborde, dans cette interview qui suit, les normes de prévention et de sécurité établies par GIE Monétique et les caractéristiques du réseau monétique interbancaire algérien face à ces risques.
Interview réalisée par Ali Titouche
Dans le cadre des objectifs d’amélioration permanente des mécanismes de sécurité, il était question de mettre en circulation une carte ultra sécurisée, qu’en est-il de ce projet ?
Sur les objectives de sécurités qui relèvent des prérogatives de notre pôle, nous sommes en charge du projet conformité, notamment le projet de mise en conformité aux référentiels de sécurité de GIE Monétique qui, lui-même, est adossé aux référentiels internationaux PCIDSS et ISO 27.000. Pour ce qui est de ce grand projet, j’estime que nous sommes bien avancés ; nous avons travaillé avec l’ensemble des parties prenantes tout au long de ces deux dernières années, même pendant la crise sanitaire. Ce projet revêt un caractère stratégique car il encadre la sécurité de l’ensemble des autres projets du système de paiement interbancaire, à savoir la carte, l’ATM, le TPE, I interfaces, le routage, le processing…etc. C’est un référentiel qui dispose de plus de 350 exigences sécuritaires. Le taux d’avancement de ce projet est appréciable ; les membres du Groupement ont atteint plus de 75% de conformité. Il y en a même ceux qui ont atteint 90%. Cela signifie que ces établissements sont conformes aux exigences de sécurité. Et ce sont ces mêmes établissements qui encadrent tout le volet sécuritaire des cartes, des moyens de paiement, des instruments d’acceptation et de tous les processus et métiers de la monétique. Cependant, je dois préciser que la sécurité est une affaire de tous les jours. Les politiques et les mécanismes se révisent au fur et à mesure que la technologie évolue. Il faut souligner également que la finalité de ce projet est d’avoir une sécurité uniforme dans le domaine de la monétique et ses sous-métiers pour tous les membres de GIE Monétique.
Au vu des normes et des standards de sécurité et de prévention des risques établis par GIE Monétique, pensez-vous que les banques algériennes sont aujourd’hui assez solides face aux risques ?
Depuis plus de deux années, nous avons travaillé avec les responsables de sécurité et des systèmes d’information de l’ensemble des banques. Nous avons atteint un niveau de maturité assez appréciable. Cette maturité doit être consolidée par des audits externes. Les référentiels utilisés au GIE Monétique sont inspirés des deux principaux référentiels internationaux en matière de sécurité, à savoir PCIDSS et ISO 27.000, qui est un standard plus universel. Nos 350 exigences de sécurité se réfèrent à ces deux référentiels internationaux. Les banques sont à un stade très avancé en termes de conformité à ces exigences. Il faudra qu’on commence les audits externes au niveau de toutes les banques. Nous prévoyons de lancer ces audits à l’issue de l’année 2023, lesquels devraient être menés par des bureaux externes et dont la mission est de conforter tout le travail qui a été fait jusqu’ici. La réponse à votre question est oui, les banques sont suffisamment solides mais le risque zéro n’existe pas. La sécurité est avant tout une question de prévention et de veille. Et, comme les technologies de hacking évoluent, les failles sont corrigées au fur et à mesure qu’elles sont identifiées. La sécurité est aussi une affaire de tout le monde.
Quel bilan faites-vous des infractions aux normes de sécurité et des incidents affectant le système monétaire interbancaire ?
Il y a deux choses à distinguer dans la sécurité ; il y a un volet de sécurité qui est lié au fonctionnement et un autre volet lié au piratage, pour n’utiliser que ce terme. Ce qu’il faut savoir est que notre système interbancaire est cloisonné étant donné qu’il n’est pas exposé à Internet. C’est-à-dire que plus nous sommes exposés plus le risque est grand. Comme le réseau interbancaire est isolé, les failles du premier niveau sont faibles et sans incidence. Nous avons recensé trés peu de failles de fonctionnement et sans incidences majeures sur le système durant l’exercice écoulé. Sur le volet piratage, il n’y avait aucun incident signalé. Cela pour dire que le réseau monétique interbancaire algérien est bien sécurisé, sachant que le risque zéro n’existe pas.
Vous le dites, à l’instant même, le système monétaire interbancaire algérien reste isolé et non connecté à la toile, que faut-il faire comme travail de sécurisation et de normalisation en prévision d’une quelconque ouverture à l’international ?
Pourquoi exposé quelque chose qui n’est pas censé être exposé ? Je veux dire par là que les données monétiques ne sont pas censées être exposées sur la toile. L’ouverture à l’international se fait via le réseau VISA et Master Card. Les flux transactionnels sont véhiculés par ces deux plateformes présentes en Algérie. Lorsqu’on parle d’ouverture à l’international il faut distinguer plusieurs volets, à savoir, entre autres, l’ouverture web qui se fait à travers les web marchands. Nous en avons plusieurs en Algérie et notre objectif est d’atteindre 1000 webs marchands.
Quelles perspectives faut-il donner aux normes de sécurité alors que l’évolution des risques est quasi permanente ?
Le GIE monétique dispose d’une cartographie des risques et nous faisons une évaluation annuelle. Cette évaluation a pour objectif de réviser chaque année cette cartographie des risques par rapport aux incidents que nous avons rencontrés l’année précédente. Des mesures de remédiation sont aussitôt prises.
L’Algérie est-elle conforme aux derniers standards mondiaux en matière de sécurité ou bien faut-il actualiser les mécanismes de sécurité actuellement en vigueur en Algérie ?
Dès son installation dans ses fonctions suprêmes, le Président de la République a aussitôt donné l’importance qu’il faut à la sécurité des systèmes d’information stratégiques dans le pays. Nous disposons aujourd’hui de lois et de règles qui obligent toutes les institutions du pays d’avoir une structure de sécurité des systèmes d’information. Il y a un travail énorme qui a été fait avec plusieurs secteurs pour mettre en place le référentiel national en matière de sécurité. En matière de normes, l’Algérie se conforme continuellement. Une agence nationale de la sécurité a été mise en place. Des structures ont été également installées au niveau de tous les organismes algériens. Au niveau des banques, à titre d’exemple, il y a un comité de sécurité qui siège au niveau de l’ABEF et qui traite de tous ces aspects liés à la sécurité et qui travaille à l’implémentation de toutes ces normes internationales.
Des banques algériennes s’apprêtent à ouvrir des agences à l’étranger pour pouvoir accompagner les exportateurs, quelles sont les règles de sécurité qui s’appliquent sur ces succursales ?
Comme je viens de le dire, la loi fait obligation aux différents établissements d’avoir tous les outils nécessaires et d’implémenter ces référentiels de sécurité. Le comité de sécurité qui siège périodiquement au niveau de l’ABEF est chargé, entre autres, de traiter tous ces aspects liés à la sécurité et veiller à l’implémentation des référentiels de sécurité. Si une banque venait à être délocalisée géographiquement, cela n’exclut en rien l’obligation de se conformer aux exigences de sécurité.
A. T.