Pour que numérique ne rime pas avec cauchemar sur le continent, il convient de créer un écosystème avec un souci permanent de sécurité pour tous les acteurs.
Les outils numériques représentent une formidable opportunité pour les économies des pays africains en termes de dématérialisation et de création de nouveaux circuits économiques. Pour en tirer un bénéfice optimum, il convient de protéger les chaînes de valeur y ayant trait en renforçant les défenses cyber et en dotant leurs sociétés d’une véritable culture de la cybersécurité. Même si la tendance est positive, il n’est pas rare que des cadres travaillant dans des administrations et sociétés publiques africaines utilisent des adresses e-mail se terminant par « @gmail.com », « @yahoo.com », voire « @outlook.com » dans l’exercice de leurs fonctions. Cela dénote une certaine absence de culture de cybersécurité, dont la conséquence est une plus grande vulnérabilité des systèmes nationaux d’information et d’administration et, par suite, des États eux-mêmes.
Partir d’une faiblesse cybersécurité constatée par l’UIT…
Dans le rapport de 2015 de l’Union internationale des télécommunications (UIT), « Indice de cybersécurité dans le monde et profils de cyber bien-être », la plupart des pays africains étaient en queue du classement mondial au regard de leur engagement et leur état de préparation en matière de cybersécurité. En 2018, le même classement a confirmé que la grande majorité des pays africains sont encore en situation de faiblesse face aux menaces informatiques. Sur 54 pays, seuls Maurice, le Kenya et le Rwanda afficheraient un niveau de préparation élevé par rapport aux cybermenaces. C’est là l’illustration d’une vulnérabilité qu’il importe de diagnostiquer et de corriger.
… s’expliquant par une vulnérabilité multiple pour…
La vulnérabilité en Afrique est d’abord matérielle. Elle porte sur l’accès aux infrastructures de qualité dont le coût peut s’avérer prohibitif pour les budgets des administrations et sociétés publiques destinés à la sécurité. Elle est ensuite immatérielle notamment à propos de l’information disponible. Comme le rappelait à juste titre Haweya Mohamed, directrice générale de la marketplaceTech Afrobytes, « le plus gros challenge sur le continent africain [concernant la cybersécurité], c’est l’accès à la formation ». Non pas que les formations soient inexistantes, mais elles demeurent encore trop peu connues. Il faut dire que les disciplines de la cybersécurité sont encore peu enseignées, car perçues comme peu attractives et peu investies par les jeunes étudiants en comparaison à l’informatique ou aux télécommunications. S’ajoute à cela, une insuffisance du nombre d’experts africains souvent happés par les grandes entreprises américaines, européennes et asiatiques.
La vulnérabilité africaine est également organisationnelle. En effet, le plus grand pourvoyeur de failles étant l’utilisateur, il n’est pas rare que le manque de sensibilisation à l’hygiène numérique engendre certaines situations de cyberrisque avec des conséquences désagréables. Bien souvent, les failles sont le résultat de fautes des utilisateurs qui n’ont pas été formés. Au Mali par exemple, la présidence de la République a vu son compte Twitter piraté début janvier 2020. L’auteur de l’acte avait tweeté une critique virulente à l’endroit du président américain, mais aussi des États-Unis qu’il avait osé qualifier d’« État voyou ». Comment cela a-t-il pu être possible ? En fait, un journaliste malien avait réussi à connaître le mot de passe dudit compte Twitter. La preuve d’une négligence qui aurait pu porter atteinte aux relations entre les États-Unis et le Mali. Ce fait est révélateur de l’existence de failles importantes dans l’organisation. Précision : ces failles ne sont d’ailleurs pas l’apanage du seul Mali en Afrique.
… faciliter les partenariats public-privé
Cela dit, il convient de nuancer ce constat en raison du fait que des efforts sont de plus en plus déployés pour améliorer la situation et poser les bases d’une meilleure cybersécurité. Ainsi, l’importance de la formation et de la sensibilisation semble être prise en compte. De plus en plus d’initiatives voient le jour, notamment en Afrique de l’Ouest. Citons la création de l’École de cybersécurité de Dakar, au Sénégal, l’ouverture de la première filiale internationale de l’école Epitech à Cotonou, au Bénin, ou encore les formations dispensées par Tata Communications et l’Alliance Smart Africa. Ajoutons-y les programmes proposés par de grands groupes internationaux tels que IBM, Cisco ou encore Huawei pour n’en citer que certains. Le résultat obtenu souligne la pertinence du rapprochement entre autorités publiques et acteurs du secteur privé. Par leurs moyens, leur présence – parfois internationale – et leur expertise, les structures privées disposent de ressources permettant à la fois de sensibiliser le grand public, de former les acteurs de la fonction publique et de développer des solutions permettant de renforcer la sécurité.
Plus que jamais, il s’agit donc de faciliter l’établissement de partenariats public-privé dans le domaine de la cybersécurité afin de permettre aux autorités des pays africains de bénéficier des meilleurs savoir-faire et ressources, l’objectif étant de mieux faire face aux menaces engendrées par le nouvel ordre numérique.
… améliorer la gouvernance
Pour ce qui est de la gouvernance, notons que la plupart des États africains disposent d’un CERT (Computer Emergency Response Team), voire de plusieurs entités dédiées à la cybersécurité. Ces dernières ne disposent pas d’un cadre juridique adéquat, comme l’a indiqué le directeur général de l’Alliance Smart Africa, Lancina Koné, lors d’une conférence sur le thème de « La cybersécurité dans un contexte post-Covid-19 », mais la trajectoire actuelle est encourageante. Au Bénin, une Agence nationale de la sécurité des systèmes d’information (Anssi) a été mise en place ; au Togo, l’Agence togolaise de cybersécurité (ANCY) et son bras armé, Cyber Defense Africa, sont en place ; en Côte d’Ivoire où il y a une Autorité de régulation des télécommunications (ARTCI), la fusion du Security Operation Center (SOC) avec la Plateforme de lutte contre la cybercriminalité (PLCC) pourrait conduire à une Anssi. Ce sont là autant d’éléments qui illustrent une prise de conscience et une volonté au niveau des États de faire évoluer le « vieux logiciel » d’approche du numérique et d’améliorer la compréhension de l’environnement cyber.
… mieux affirmer la volonté politique
Dernier point et il est d’importance : sans une volonté politique forte, affirmée, fixant les objectifs à atteindre, il ne peut y avoir ni de culture ni de formation, encore moins de cybersécurité pour nos pouvoirs publics et nos sociétés. Il apparaît donc crucial aujourd’hui de sensibiliser les politiques, de les accompagner dans leurs choix et réflexions. La souveraineté numérique de l’Afrique et la garantie de l’autonomie stratégique de l’Afrique l’exigent.
lepoint.fr
