Par Myriam BEN SALEM-MISSAOUI
• « La cybermenace n’est plus un sujet réservé aux techniciens, elle est devenue une question de souveraineté »
• L’émergence technologique agit déjà sur les enfants, les adolescents, les adultes et les professionnels.
• L’IA ne fait pas qu’automatiser la fraude : elle industrialise le faux.
Pour Oussama Lahmar, expert de référence en cyberdéfense et en crimes émergents, la menace contemporaine ne se limite plus aux réseaux et aux systèmes. Elle agit sur les comportements, fragilise les repères, altère la confiance et place l’humain au cœur de la nouvelle conflictualité numérique.
Dans un monde saturé de technologies, soutient-il, les plus forts ne seront plus ceux qui en utilisent le plus, mais ceux qui sauront en dépendre moins, protéger leurs fonctions vitales et construire leurs propres “boîtes noires”.
Dans cette interview, Oussama Lahmar, expert de renom en cyberdéfense et en crimes émergents, nous parle des menaces et des précautions à prendre pour sécuriser notre espace numérique.
Il dirige depuis 2015 un bureau privé pionnier spécialisé dans l’investigation numérique légale, présenté comme le premier du genre en Afrique, il n’a cessé d’alerter, au fil de ses interventions radiophoniques, sur l’accélération technologique et sur des effets qui débordent désormais largement le seul champ des systèmes et des réseaux.
• Comment se défendre des menaces liées au cybercriminalité ?
• Il faut savoir que nous vivons une mutation qui atteint les sociétés en profondeur : elle influe sur les comportements, fragilise les repères, altère la confiance et expose enfants, adolescents, adultes comme professionnels à de nouvelles formes de vulnérabilité. Le monde est en train de changer. La Tunisie aussi. L’erreur serait de croire que cette bascule se gagnera par une fuite en avant technologique.
L’époque qui s’ouvre ne consacrera pas nécessairement les États, les institutions ou les entreprises les plus équipés. Elle avantagera d’abord ceux qui sauront discerner l’essentiel de l’accessoire, réduire leurs dépendances, maîtriser leurs usages, protéger leurs espaces sensibles et reprendre la main sur leurs circuits critiques de décision, de stockage, de contrôle et de vérification.
La cybermenace n’est plus un sujet réservé aux techniciens. Elle est devenue une question de souveraineté, de résilience, de discipline collective et d’indépendance intérieure. La machine n’est plus l’unique cible. L’humain, désormais, en est le point d’entrée principal.
• Cybersécurité, cybercriminalité et crimes émergents, quelle distinction faites-vous entre ces notions ?
• La confusion est fréquente, alors qu’il s’agit de réalités différentes. La cybersécurité, c’est la protection des systèmes, des réseaux, des équipements et des données. La cybercriminalité, ce sont les infractions commises à travers ou contre ces technologies. Les crimes émergents, eux, traduisent un changement d’époque : ce sont des formes de criminalité hybrides, rapides, discrètes, qui combinent technologie, manipulation, vulnérabilité humaine et pression psychologique.
Aujourd’hui, la question n’est plus uniquement informatique. Elle est devenue sociale, comportementale, psychologique et stratégique. La machine n’est qu’un vecteur. L’objectif réel, c’est souvent l’humain. Le point d’entrée le plus vulnérable reste l’humain.
• La Tunisie dispose-t-elle des moyens nécessaires pour se défendre ?
• Oui, des moyens existent. Mais la vraie question n’est pas là. La question décisive est la suivante : sommes-nous réellement prêts à agir lorsque la crise survient ? Une cyberattaque ne se gère pas uniquement avec des outils. Elle se gère avec de la préparation, une organisation claire, une connaissance précise du terrain et une chaîne de décision maîtrisée. Et il faut dire les choses sans détour : dans ce type de crimes, le point d’entrée vulnérable numéro un, c’est l’humain.
Très souvent, l’attaque passe par une personne : celle qui clique, celle qui ouvre, celle qui transmet, celle qui valide, celle qui croit agir correctement alors qu’elle vient d’offrir un accès. C’est pour cela que la sécurité ne peut pas s’arrêter aux machines. Il faut habiliter les personnes auxquelles on confie les données.
La confiance ne peut plus être intuitive ou approximative. Toute personne appelée à manipuler de l’information, de la plus petite à la plus sensible, doit être formée, encadrée, responsabilisée et évaluée. Les points faibles ne sont pas seulement techniques : ils sont aussi humains.
• Vous insistez sur la cartographie des vulnérabilités. De quoi parle-t-on concrètement ?
• On parle d’abord de lucidité. Connaître son réseau, ses équipements, ses accès, ses dépendances, ses flux, ses usages. Mais aussi identifier ses fragilités humaines, organisationnelles et comportementales. Les points faibles d’un système ne sont pas uniquement techniques. Ils peuvent être humains, et ils le sont souvent. Une institution peut disposer d’équipements modernes, de logiciels performants et de procédures écrites.
Si les personnes ne sont pas préparées, si les responsabilités sont floues, si les habitudes sont mauvaises, la faille existe déjà. La première résilience, c’est la connaissance de soi : savoir ce que l’on possède, ce que l’on expose, ce que l’on maîtrise, et ce que l’on ne maîtrise pas encore.
• Une donnée n’est jamais petite dès lors qu’elle entre dans une chaîne de confiance. Toutes les données ont-elles la même importance ?
• Une donnée n’a une taille que dans un système. Mais dans la réalité opérationnelle, une information apparemment minime peut produire un effet majeur. Un identifiant, une trace, un numéro, une habitude d’usage, une adresse, un accès secondaire, un simple élément contextuel peut suffire à ouvrir une chaîne de compromission. Dès lors qu’une donnée entre dans un mécanisme de confiance, de vérification, d’autorisation ou de décision, elle devient sensible. De la plus petite à la plus grande, toutes exigent le même sérieux.
• La Tunisie est-elle aujourd’hui directement visée?
• Oui. La Tunisie est une cible, comme tous les pays insérés dans les réseaux numériques mondiaux. Elle est concernée par la fraude électronique, le phishing, les malwares, le vol de données, le chantage numérique, les rançongiciels et les tentatives d’intrusion contre les institutions, les banques, les grandes entreprises et les structures sensibles. Il faut sortir d’une illusion dangereuse : personne n’est épargnée.
La sécurité à 100 % n’existe pas. Ce qui existe, en revanche, c’est un niveau de préparation qui permet d’absorber, de contenir, de comprendre et de corriger. La maturité n’élimine pas le risque ; elle réduit son impact. Le plus fort ne sera pas celui qui utilise plus de technologie, mais celui qui en dépend moins.
• Vous défendez une approche presque inverse de la course technologique actuelle. Pourquoi ?
• Parce que l’accumulation n’est pas une stratégie, nous entrons dans un cycle où le plus fort ne sera pas celui qui déploie le plus de technologies, mais celui qui saura en intégrer moins, ou les intégrer mieux. Celui qui saura réduire ses expositions inutiles, limiter certaines dépendances et reprendre la main sur ses fonctions vitales. Il faut apprendre à distinguer l’innovation utile de la surconsommation technologique.
Il faut aussi créer ses propres « boîtes noires : ses propres circuits de contrôle, de traçabilité, de conservation, de vérification et de décision. Lorsqu’un pays, une institution ou une entreprise remet l’ensemble de ses mécanismes sensibles à des outils conçus par d’autres, il délègue aussi une part de son autonomie. La souveraineté numérique ne consiste pas à acheter davantage. Elle consiste à savoir ce que l’on garde, ce que l’on externalise, ce que l’on protège, et ce que l’on refuse d’abandonner.
• Pourquoi insistez-vous autant sur l’impact socio-psychologique ?
• L’un des apports les plus singuliers du discours de l’expert réside dans son insistance sur l’impact socio-psychologique de l’accélération numérique. Dans plusieurs interventions radiophoniques, j’ai alerté sur les effets de cette mutation sur les enfants, les adolescents, les adultes et les professionnels. L’émergence technologique transforme les comportements, les rythmes, les réflexes, les seuils d’attention, le rapport à l’autorité, à la vérité, à la peur et à la confiance.
L’hyperconnexion, la sursollicitation et la dépendance aux interfaces créent un terrain favorable à l’impulsivité, à la fatigue cognitive, à la confusion et à la manipulation. C’est ici que la cybercriminalité moderne prend une dimension nouvelle. Elle ne vise plus seulement les systèmes ; elle vise l’esprit. Elle s’attaque au discernement, au réflexe, à l’émotion, au sentiment d’urgence. Elle exploite les fragilités invisibles autant que les vulnérabilités techniques.
• On dit souvent que l’erreur est humaine. Qu’en pensez-vous ?
• L’humain se trouve désormais confronté à une guerre contre lui-même, une guerre d’indépendances internes. Une lutte contre ses propres dépendances, contre ses automatismes, contre ses failles cognitives, contre la perte de maîtrise progressive de son attention et de son jugement.
• L’intelligence artificielle change-t-elle la nature du danger ?
• Oui, profondément. Le clonage vocal, les deepfakes, les messages parfaitement rédigés, les scénarios d’arnaque plus crédibles : tout cela change d’échelle. L’IA donne à la fraude une puissance nouvelle. Elle imite mieux, elle convainc mieux, elle personnalise mieux. Nous sommes entrés dans une phase où la menace n’est plus seulement numérique.
Elle devient cognitive. Elle agit sur la perception, sur le doute, sur l’urgence, sur le réflexe. Elle s’attaque à la confiance avant même de s’attaquer au système. Moderniser, oui ; multiplier les dépendances, non.
• La biométrie, notamment pour les passeports et cartes d’identité, vous paraît-elle une bonne orientation ?
• Oui, si elle est pensée avec rigueur. La biométrie peut renforcer la sécurisation de l’identité et limiter certaines fraudes documentaires. La Tunisie dispose de compétences et avance vers une modernisation progressive de ses outils liés à la sécurité intérieure.
Mais il faut rester cohérent : moderniser ne signifie pas se précipiter ni multiplier les dépendances. Toute technologie sensible exige une gouvernance claire, une maîtrise des accès, une protection forte des données et une architecture de confiance. Sans cela, l’innovation peut produire l’effet inverse de celui recherché.
• Quel autre danger vous paraît aujourd’hui sous-estimé ?
• Le danger des intrus, des arrivistes et des solutions superficielles. Dans le domaine de la cybersécurité, certains promettent beaucoup sans comprendre réellement les mécanismes de terrain. Or, dans ce secteur, l’approximation coûte cher.
La cybersécurité exige de l’expérience, de la méthode, de l’investigation, de la discrétion et une compréhension concrète des menaces. La communication ne remplace pas la compétence. Et les stratégies décoratives n’ont jamais protégé personne.
La vraie puissance sera dans la maîtrise, pas dans l’accumulation
C’est ici que se situe le cœur de mon message. À mes yeux, la compétition qui s’ouvre ne se gagnera pas à coups d’empilement technologique. Le plus fort ne sera pas celui qui détient ou utilise le plus de technologies, mais celui qui saura en intégrer moins, ou les intégrer mieux.
Cela suppose de réduire certains usages, de limiter les dépendances inutiles, de sanctuariser les fonctions critiques et de reprendre la main sur les mécanismes sensibles. Cela suppose aussi de construire ses propres “boîtes noires” : ses propres circuits de traçabilité, de stockage, de contrôle, de vérification et de décision, au lieu de confier l’essentiel à des solutions externes, opaques ou dépendantes d’intérêts qui ne sont pas les siens.
La souveraineté numérique ne consiste donc pas seulement à moderniser. Elle consiste à trier, à protéger, à arbitrer, à conserver chez soi ce qui relève de la confiance stratégique. Moderniser, oui. Se livrer sans réserve à la dépendance, non.
Le regard de l’expert : La prochaine guerre !
Au fond, le diagnostic posé est net : la Tunisie se trouve, comme le reste du monde, face à une transformation profonde de la menace. Celle-ci n’est plus seulement technique. Elle est humaine, psychologique, sociale, institutionnelle et stratégique.
Dans ce nouveau paysage, la véritable résilience ne viendra ni de l’excès d’outils ni de la fascination pour l’innovation permanente. Elle viendra d’une autre posture : mieux connaître ses vulnérabilités, mieux former ses femmes et ses hommes, mieux protéger ses données, mieux hiérarchiser ses dépendances, mieux sécuriser ses fonctions vitales.
En somme, il ne s’agit plus simplement d’adopter la technologie, mais de la maîtriser. Il ne s’agit plus de tout connecter, mais de savoir ce qui doit rester sous contrôle. Il ne s’agit plus d’utiliser davantage, mais d’utiliser avec discernement.
Le monde change. La Tunisie aussi. Et, dans cette ère nouvelle, la puissance ne se mesurera plus seulement à la sophistication des outils, mais à la capacité d’un pays à préserver son autonomie, sa lucidité et ses propres centres de confiance. C’est là, sans doute, que se jouera la prochaine frontière de la souveraineté.
M.B.S.M.