Cybersécurité. L’Office des changes va soumettre son système d’information à une expertise technique

Après l’attaque qui a visé la Caisse nationale de sécurité sociale (CNSS), l’Office des changes a décidé de soumettre son système d’information à une expertise technique par un prestataire externe.

« Cette prestation consiste en la réalisation des audits techniques et des tests d’intrusion pour vérifier la présence de vulnérabilités au niveau des systèmes d’information de l’Office des changes, puis de vérifier leur exploitabilité sur l’ensemble des surfaces d’attaques internes et externes », lit-on dans un avis d’achat lancé par l’Office.

Ces prestations, selon la même source, ont pour objectif l’identification de l’ensemble des failles techniques et des vulnérabilités pouvant être exploitées accidentellement ou volontairement pour corrompre la disponibilité, l’intégrité ou la confidentialité des actifs SI de l’Office des changes, puis de réaliser un ensemble de tentatives d’exploitation desdites vulnérabilités et failles découvertes dans l’objectif de faire apparaître les risques potentiels conséquents d’intrusions actives manuelles ou automatisées (tentatives de fraude, accès et manipulation illicites de données, interception de données critiques, arrêt de services SI, saturations de réseau, …) pouvant porter atteinte à la sécurité des systèmes d’information.

« Ces tests d’intrusions permettront ainsi à l’Office des changes d’évaluer l’herméticité des frontières du réseau, contre les tentatives d’attaques internes et/ou externes, puis d’apprécier la résilience des systèmes d’information, la robustesse des mesures de sécurité déployées, ainsi que la capacité desdites mesures à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation au niveau des systèmes d’information de l’Office des changes », précise l’organisme public.

Ainsi, les principaux objectifs de cette mission sont :

• Évaluer le niveau de sécurité actuel du SI ;
• Évaluer le degré d’exposition du SI à Internet par rapport aux dernières vagues d’attaques ;
• Identifier les failles et les vulnérabilités existantes au niveau des systèmes, des réseaux et des applicatifs de l’Office des changes ;
• Analyser les menaces internes et externes ;
• Déterminer les risques cyber auxquels l’Office des changes est exposé ;
• Proposer un plan d’actions concret et priorisé.

« Le prestataire devra prévoir tous les travaux nécessaires à la parfaite réalisation de la prestation conformément aux règles de l’art et aux directives de l’autorité nationale DGSSI », précise l’Office des changes.

L’équipe qui se chargera de ces travaux doit justifier d’un bac+5 en informatique ou équivalent pour chacun de ses membres, en plus d’une expérience de 5 ans dans le domaine de la cybersécurité.