Reda Cherkaoui, Fondateur et directeur général d'Achilles secutiry. Les Echos quotidien : Vous avez récemment fait parler de vous en annonçant la découverte d'une faille au niveau de la messagerie vocale d'opérateurs télécoms marocains. Est-il fréquent de déceler des failles informatiques chez des entreprises marocaines ? Réda Cherkaoui : J'ai en effet révélé la semaine dernière une faille de sécurité chez deux opérateurs télécoms marocains. Cette faille qui n'a été réparée à ce jour que par un des deux opérateurs, permet à n'importe quelle personne d'accéder à distance aux boîtes vocales de millions d'utilisateurs de téléphonie mobile. Cette faille est très grave pour les données personnelles des utilisateurs. Par le passé, j'ai révélé plusieurs failles de sécurité sur des plateformes internationales telles que Gmail, Facebook, Dailymotion, Viadeo et bien d'autres encore. Mon objectif a toujours été d'alerter l'opinion publique quant au danger que représente la vulnérabilité des systèmes d'information pour les données personnelles. Justement, certains vous ont connu en juillet 2011 avec ce qui est devenu au Maroc «L'affaire Facebook». Vous aviez décelé une faille au niveau de leur système et créé un système de monitoring, Aghata. Comment cela s'est-il terminé ? J'ai en effet développé et dévoilé l'année dernière une plateforme exploitant une faille de sécurité de Facebook, qui permettait à n'importe qui d'accéder aux données personnelles des utilisateurs (messages, photos, etc.). Mon objectif était une fois encore de sensibiliser les utilisateurs de Facebook quant aux risques encourus pour les données qu'ils postent sur le réseau, un simple mot de passe ne suffisant pas pour les sécuriser. Suite à cette révélation qui a fait le tour du monde, Facebook a corrigé la faille découverte. Vous venez d'ailleurs, de lancer votre propre structure spécialisée dans la sécurité informatique, pouvez-vous nous expliquer de quoi il s'agit au juste ? Effectivement, après mon retour au Maroc il y a un an, j'ai ouvert le cabinet «Achilles Security», qui est une entreprise de consulting en sécurité informatique, mettant au service de ses clients des solutions globales et sur mesure, via des tests d'intrusion permettant d'évaluer l'impact d'un éventuel attaquant sur le système d'information d'une entreprise. La société est présente à Casablanca et à Paris. Nos services vont des tests d'intrusion aux tests de vulnérabilité, en passant par l'ingénierie sociale. Une fois les failles révélées dans les systèmes d'information de nos clients, nous accompagnons ces derniers pour y remédier. Avez-vous déjà des clients au Maroc ? À ce jour, nous sommes en phase de développement de la filiale marocaine. Nous nous sommes concentrés auparavant sur le marché français, tout en investissant dans la recherche et développement. Selon vos premières prospections, diriez-vous que le marché marocain, et notamment les entreprises sont conscientes de l'enjeu de «protéger» leur SI ? La problématique de la sécurité des systèmes information commence effectivement à être prise en compte par les entreprises marocaines. Désormais, on peut affirmer que ce volet relève du champ d'action et des responsabilités de tout DSI, même si une méthodologie rigoureuse n'est pas toujours employée. Finalement, est-ce que ça revient cher de faire sécuriser son SI ? Le coût de la sécurisation des systèmes d'information dépend bien évidemment de leur taille. On ne protège pas de la même manière le réseau d'une TPE de 5 employés et celui d'une multinationale. Toutefois, l'erreur dans tous les cas de figure est de penser rentabilité avant danger encouru.
