L'interpellé (Ph Koaci)

Dans un monde de plus en plus connecté, les défis de la cybersécurité concernent autant les grandes entreprises que les plus modestes structures. Et parfois, les menaces ne viennent pas de l’extérieur, mais d’anciens visages familiers.

C’est précisément ce qui est arrivé à une société ivoirienne qui, croyant avoir tourné la page d’un stage sans histoires, s’est retrouvée au cœur d’une cyberattaque interne aux allures d’exercice… illégal.

Tout commence par un email inhabituel adressé à une comptable de l’entreprise, la dénommée OS. Le message, présenté comme urgent, émane prétendument du directeur hiérarchique, OG, et exige un virement immédiat de 200 000 FCFA. Heureusement, OS, alertée par le ton inhabituel du message, choisit de confirmer la demande de vive voix. Le verdict tombe rapidement : OG n’a jamais envoyé ce mail.

Face à ce qui s’apparente à une tentative d’escroquerie par usurpation d’identité, l’entreprise saisit l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), via la Plateforme de Lutte Contre la Cybercriminalité (PLCC). L’enquête technique, rapidement enclenchée, remonte à une adresse IP bien connue de la structure. La surprise est totale lorsque l’auteur est identifié : il s’agit de VPE, ancien stagiaire du service informatique.

Interpellé, le jeune homme passe aux aveux. Il reconnaît avoir accédé frauduleusement au serveur de messagerie de la société, non pas pour soutirer de l’argent, jure-t-il, mais pour évaluer son niveau en cybersécurité. Un test personnel, dit-il, motivé par une passion pour le hacking et les défis techniques. Sauf que cette passion s’est exercée sur un terrain illégal, sans autorisation ni encadrement, et avec des conséquences réelles.

Ce qui, dans l’esprit de VPE, semblait n’être qu’un défi intellectuel se transforme en affaire judiciaire. Il est désormais poursuivi pour usurpation d’identité, accès frauduleux à un système d’information et tentative d’escroquerie. Trois chefs d’accusation lourds qui pourraient lui coûter cher.

Cette affaire, aussi surprenante soit-elle, rappelle à quel point la cybersécurité ne se limite pas aux antivirus et aux pare-feu. Elle souligne la nécessité, pour les entreprises, de contrôler l’accès à leurs ressources numériques, même après le départ d’un collaborateur, et pour les passionnés de technologies, de distinguer clairement ce qui relève de l’apprentissage et ce qui tombe sous le coup de la loi.

Jean Chresus, Abidjan