Cybersécurité. Comprendre les risques, les signes d’alerte et les moyens de riposte (expert)

La récente attaque informatique ayant visé le ministère de l’Inclusion économique, de la petite entreprise, de l’emploi et des compétences (MIEPEEC), ainsi que la Caisse nationale de sécurité sociale (CNSS), aurait compromis les données personnelles de près de 1,9 million de Marocains.

Un tel événement rappelle que la cybersécurité n’est plus un luxe ni un chantier à remettre à plus tard : elle doit désormais figurer parmi les priorités absolues, aussi bien pour les administrations que pour les entreprises. Cela suppose des investissements ciblés, des dispositifs préventifs solides et un plan de réponse post-incident rigoureux.

Dans ce contexte, Médias24 a recueilli le témoignage d'Anas Chanaa, expert en cybersécurité, spécialisé dans l’analyse de malwares, la cryptographie, et la protection des systèmes critiques. Il est également cofondateur et PDG de Nucleon Security, une entreprise qui propose une plateforme de cybersécurité innovante basée sur l’intelligence artificielle permettant de prévenir les attaques et d'assurer la résilience des entreprises et organisation de toutes tailles.

Selon notre interlocuteur, les administrations et les entreprises sont exposées à une diversité d’attaques informatiques, mais le phishing reste la technique la plus couramment utilisée.

"Aujourd’hui, les entreprises et les administrations sont surtout ciblées par des attaques de type phishing. Ces attaques consistent à envoyer des emails qui semblent venir d’un client, d’un fournisseur ou d’un service officiel, dans le but de tromper l’utilisateur. En ouvrant une pièce jointe piégée ou en cliquant sur un lien malveillant, la victime peut sans le savoir déclencher un rançongiciel (ransomware) ou permettre à un pirate de s’introduire dans le système. Les cybercriminels ciblent aussi directement les systèmes informatiques en exploitant des failles techniques, comme des serveurs mal configurés ou des logiciels non mis à jour", indique-t-il.Les hackers misent sur l’erreur humaine comme principale porte d’entrée pour infiltrer un système informatiqueConcernant les vecteurs techniques par lesquels les hackers parviennent à infiltrer un système d’information, Anas Chanaa insiste sur le facteur humain, qu’il considère comme la principale faille exploitée par les cybercriminels.

"La porte d’entrée la plus courante reste l’email avec pièce jointe piégée. Ces fichiers peuvent contenir des programmes malveillants conçus pour voler des informations confidentielles ou installer discrètement un ransomware. Les hackers utilisent aussi des failles techniques dans des serveurs connectés à Internet ou mal protégés, ce qui leur permet d’accéder à distance au système de l’entreprise. Dans tous les cas, ils misent beaucoup sur l’erreur humaine, car il suffit d’un clic malheureux pour qu’une attaque réussisse. C’est pourquoi il est important d’avoir des outils capables de scanner les pièces jointes avant ouverture, afin de détecter et bloquer les fichiers suspects automatiquement", souligne notre interlocuteur.

Détecter une cyberattaque : les signes qui doivent alerter

Il est essentiel de pouvoir détecter rapidement, et idéalement en temps réel, qu’on est victime d’une cyberattaque ou en cours d’intrusion. Pour établir ce diagnostic, voici les signes à surveiller de près.

"Certains signes doivent mettre en alerte : des ordinateurs qui deviennent anormalement lents, des fichiers inaccessibles ou chiffrés, des comptes utilisateurs qui ne fonctionnent plus, ou encore l’apparition de messages inhabituels à l’écran. D’autres fois, ce sont des emails envoyés automatiquement depuis des adresses internes, ou des comportements étranges sur le réseau qui peuvent signaler un problème. Il est donc essentiel de surveiller son système en continu pour repérer ces signaux, et pouvoir réagir avant qu’il ne soit trop tard", insiste-t-il.

Dès qu’une attaque est repérée, la priorité absolue, insiste notre source, est de couper sans délai la connexion des appareils au réseau pour limiter la propagation.

"En cas de suspicion d’attaque, le premier réflexe est de déconnecter les machines concernées du réseau pour éviter la propagation. Il ne faut surtout pas redémarrer les ordinateurs ni tenter de supprimer les fichiers suspects, car cela peut aggraver la situation ou effacer des éléments utiles à l’analyse. Il faut ensuite prévenir les équipes techniques ou le prestataire informatique, et conserver tous les éléments techniques liés à l’incident. Il est aussi recommandé d’informer les autorités compétentes, comme la CNDP ou la DGSSI, notamment si l’attaque touche à des données personnelles ou à des systèmes critiques. Une entreprise bien préparée pourra également activer une fonction de rollback via son EDR (Endpoint Detection and Response), ce qui permet en un clic de restaurer les fichiers et les machines dans l’état exact où ils étaient avant l’attaque".

Antivirus, EDR, double authentification… Quels outils pour se protéger efficacement ?

Alors, comment se protéger ? Quels dispositifs de sécurité mettre en place, et sont-ils vraiment efficaces ? Selon Anas Chanaa, le premier outil à déployer est une solution de type EDR.

"Contrairement à un antivirus classique, l’EDR surveille en temps réel ce qu’il se passe sur chaque poste de travail. Il est capable de détecter des comportements anormaux, d’arrêter une attaque en cours, et surtout de proposer une fonction de rollback, qui permet de revenir en arrière automatiquement si une machine a été compromise. C’est une sorte de “sauvegarde intelligente” qui peut sauver une entreprise de la paralysie totale".

"En complément, il faut activer la double authentification, effectuer des sauvegardes régulières déconnectées, et utiliser des solutions de filtrage des emails capables d’analyser les pièces jointes et de bloquer les fichiers suspects avant qu’ils n’atteignent l’utilisateur. Ce sont des protections simples, souvent peu coûteuses, mais très efficaces si elles sont bien combinées", poursuit notre interlocuteur.

Aujourd’hui, la plupart des ordinateurs sont équipés d’un antivirus à jour, capable d’effectuer des analyses régulières. Pourtant, les attaques persistent, même avec des solutions payantes et constamment mises à jour. Ces outils ne suffisent-ils donc pas à nous protéger ? Pour notre expert, la réponse est catégorique.En 2025, un simple antivirus ne suffit plus à assurer la sécurité d’une entreprise"Non, un antivirus seul ne suffit plus aujourd’hui. Ces logiciels se basent sur des listes de virus connus, mais les hackers utilisent désormais des techniques qui changent sans cesse pour contourner ces protections classiques. La majorité des ransomwares récents sont capables de passer sous le radar des antivirus. C’est pourquoi les entreprises doivent évoluer vers des solutions plus intelligentes comme les EDR, qui ne se contentent pas de bloquer un virus connu, mais analysent l’ensemble des comportements suspects et permettent une réaction rapide, voire une restauration automatique en cas de problème", précise Anas Chanaa.

"Les cybermenaces ne cessent d’évoluer, et aucune entreprise, quelle que soit sa taille, n’est à l’abri. En revanche, il existe aujourd’hui des moyens concrets, accessibles et efficaces pour limiter les risques. Une stratégie de cybersécurité ne repose pas uniquement sur la technologie, mais aussi sur la vigilance humaine, la formation et la préparation. En combinant des outils modernes comme les EDR, des sauvegardes bien pensées et une culture interne de la cybersécurité, il est possible de faire face, de résister et de rebondir après une attaque. L’enjeu est vital pour la continuité de toute activité professionnelle dans un monde de plus en plus connecté", conclut le PDG de Nucleon Security.