Interview réalisée par Souleyman Tobias
Au Togo, l’économie numérique commence par prendre un réel sens à travers plusieurs initiatives publiques comme privées. Les questions d’infrastructures, de services, d’investissements sont régulièrement évoquées. Cependant, la sécurité informatique, semble-t-il, n’est pas forcément au centre de ces initiatives. Et pourtant les enjeux sont énormes. Le ministère de l’Economie numérique vient à peine de lancer un processus pour la création d’une Agence de cyber sécurité et d’un Computer emergency response Team (CERT). Pendant ce temps, la troisième édition de l’IT Forom Togo se penchera sur la question avec comme enjeu la construction d’un environnement numérique de confiance au Togo. Dans cet entretien, Willy Nassar, spécialiste en sécurité informatique et enseignant à l’Ecole Supérieure d’Informatique et de Gestion (ESIG) Global Success, revient pour CIO Mag sur les enjeux de la cyber sécurité pour une économie numérique réussie au Togo.
CIO Mag : Quelle réaction à l’idée de la création d’un CERT au Togo ?
Willy Nassar : C’est une très bonne idée ! Mais nous en tant que spécialistes du domaine, nous aurions voulu que cette idée voit le jour plutôt (peut-être il y a 5 ans) pour que nous ayons une équipe CERT assez expérimentée. Quand on parle d’une équipe CERT, il faut imaginer ceci : une équipe de différents spécialistes en Informatique, à savoir des spécialistes du droit appliqué à l’informatique, des analystes en programmation et retro-ingénierie des logiciels malveillants, des analystes en systèmes de sécurité. Bref, une équipe CERT est en quelque sorte le conclave des meilleurs informaticiens dans un pays. Une entreprise privée peut aussi décider d’avoir une équipe CERT en son sein.
Nous devrions retenir que le rôle d’une équipe CERT est si vaste qu’il faudrait dédier tout une revue pour en décrire les confins. Si le ministère en est arrivé-là, cela voudrait dire qu’il y a d’énormes insuffisances à combler afin de mieux protéger les infrastructures informatiques de l’Etat ; surtout qu’en ces temps, des efforts louables sont faits pour doter les institutions de l’Etat, d’une large bande passante pour l’accès Internet à travers le projet e-Gouvernement. Ceci dit, les infrastructures informatiques des institutions de l’Etat sont exposées à Internet qui n’est autre qu’une jungle numérique où la protection des données s’avère indispensable. L’idée étant émise, est-ce que les programmes pédagogiques de nos écoles d’informatique sont adaptés aux besoins sur le terrain ? La question reste posée.
Justement, le ministère de l’économie numérique a dû revoir la copie de son appel à candidature en l’élargissant à la diaspora. Nonobstant la volonté de faire appel à toutes les compétences, pensez-vous le Togo forme et prépare des acteurs aguerris pour répondre aux enjeux de la cyber sécurité ?
Ce fut une tristesse pour nous spécialistes de la cybersécurité d’avoir constaté que l’appel à candidature pour intégrer l’équipe CERT fut restreint à juste trois ou quatre grandes écoles du Togo. Or parmi ces écoles, il n’y a pas d’unités d’enseignement spécialisées qui montrent aux étudiants en Informatique, comment les attaques informatiques s’effectuent et comment s’en protéger. Loin de faire du lobbying pour des écoles rares où ces cours s’enseignent ; en tant que formateur et praticien du domaine, j’ai envoyé un courriel au ministère pour leur signifier que cette restriction d’un recrutement à caractère national, à seulement 4 grandes écoles, ne fut pas du tout une bonne idée. Si vous nous permettez de lever le voile sur certains aspects de la cyber sécurité, alors il faut retenir ceci : avoir un master ou un doctorat en Informatique ne fait pas de vous un doué et un professionnel apte à travailler dans une équipe CERT.
Une équipe CERT a pour mission première la défense des systèmes informatiques contre des personnes malveillantes. D’où cette première citation que j’ai apprise dans le premier livre de cyber sécurité que j’ai lu : « To catch a thief, you must think like a thief. » ce qui signifie littéralement : « afin de pouvoir attraper un voleur, il faut réfléchir comme un voleur. » Il y a par exemple des jeunes qui sont super doués aux USA et dans d’autres pays et qui n’ont même pas un diplôme universitaire mais qui font partie d’une équipe CERT de leurs pays. A moins que l’objectif du ministère ne soit de former une équipe CERT composée de théoriciens, il faut plutôt chercher des passionnés du domaine, des autodidactes, des jeunes qui par le passé auraient été impliqués dans des affaires d’intrusions informatiques, etc. Pour les reconvertir en des analystes loyaux.
« Le Togo ne forme pas encore de la main d’œuvre qualifiée pour la cyber sécurité. »
J’aurais préféré que ce recrutement se passe comme suit : organiser un hackathon dont l’objectif serait de contourner la sécurité d’un système informatique pour s’y infiltrer et faire un rapport des vulnérabilités qui se trouvent sur ce système et proposer des solutions pour pallier ces failles. Si le recrutement se passe dans ce sens, alors le ministère aurait les meilleurs qui seront prêts pour travailler au sein de l’équipe CERT. Heureusement, quelques jours avant le test en ligne sur le site du ministère des Postes et de l’Economie numérique, les conditions de participation ont été modifiées pour donner la possibilité à tout Togolais d’y participer. Il est certain que l’équipe CERT aura besoin d’assez de mains d’œuvre pour relever les défis en cyber sécurité. Je reste quand même optimiste en croyant que dans les jours à venir, d’autres vagues de recrutement seront encore lancées car plus les infrastructures numériques du pays augmentent en nombre, il faut du personnel hautement qualifié pour les protéger.
Pour revenir à la question de savoir si le Togo forme et prépare des acteurs aguerris pour répondre aux enjeux de la cyber sécurité à l’échelle nationale, il faut juste une analyse globale du système de la formation.
D’abord, si aujourd’hui les autorités togolaises s’acharnent sur le sujet de la cybersécurité, c’est certainement parce qu’il y a un vide à combler.
En analysant les programmes pédagogiques des écoles d’informatique, je dirai que le Togo ne forme pas encore de la main d’œuvre qualifiée pour la cybersécurité. Car, le contenu de nos programmes pédagogiques ne reflète pas réellement le profil d’informaticiens que les étudiants auraient à la sortie de l’université ou de l’école supérieure dans laquelle ils étudient. Beaucoup de formateurs sont plutôt des généralistes au lieu d’être des spécialistes d’un domaine technologique pointu.
Bien d’écoles et université ne disposent pas de laboratoire informatique pour les séances de travaux dirigés et travaux pratiques accessibles aux étudiants. L’Etat n’exige pas des écoles et des universités qui offrent des formations en informatique, un certain profil d’informaticiens précis pour répondre à des besoins précis.
Je ne saurai énumérer tous les détails concernant les insuffisances de nos formations en informatique au Togo. Celles que j’ai citées sont assez suffisantes pour attirer l’attention des autorités togolaises afin de recadrer l’enseignement des TIC. Par exemple, la protection des données à caractère privé, les objets connectés et le Big Data font partie du quotidien des occidentaux. Par conséquent, le contenu de leurs formations universitaires a été mis à jour pour répondre à ces besoins.
Quelles sont les approches de solutions pour remédier à ces insuffisances ?
Nous ne sommes pas les premiers à faire face à ces enjeux de la cyber sécurité, et pour être certain qu’il y a une insuffisance dans les programmes pédagogique de nos écoles d’informatique, il faut analyser le profil des formateurs qui doivent impérativement être des spécialistes dans un domaine.
Nous devrions prendre comme référence les programmes pédagogiques des universités occidentales qui forment en cyber sécurité et comparer le programme pédagogique de nos écoles aux leurs. Ainsi, lorsque les manquements sont identifiés, il faut organiser un recyclage des formateurs ; car ce sont eux les premiers responsables des contenus de formation. Dans cette optique, il faudra alors espérer avoir une bonne qualité de la formation.
L’Etat doit pouvoir identifier ses besoins, ceux des entreprises privées et ceux des utilisateurs terminaux. Ensuite, il doit consulter le patronat pour identifier les besoins dans l’utilisation des TIC. A partir de cette collecte d’informations, les institutions chargées des programmes pédagogiques dans nos écoles pourront définir un canevas précis pour les programmes pédagogiques afin qu’ils soient à jour et répondent aux besoins technologiques d’actualité.
Si vous me le permettez, j’aimerais toucher ce point sensible : même l’armée aura besoin de son équipe CERT car non seulement il faut protéger les institutions mais aussi protéger les citoyens togolais. Supposons par exemple qu’un présumé coupable d’un crime planifié à partir d’équipements informatiques ait été interpellé par une autorité judiciaire et que les enquêteurs ont saisi des ordinateurs dont les accès sont verrouillés. Comment la police ferait-elle pour déverrouiller ces machines et collecter des preuves qui sont relatives au crime commis ? Seuls les membres de l’équipe CERT de la police ou de la gendarmerie qui ont cette compétence, pourrons le faire. C’est pourquoi aux USA par exemple, il y a des équipes CERT mixtes composées de militaires et de civils.
« Au début de tout projet numérique, il devrait y avoir une équipe chargée d’analyser l’aspect cyber sécurité. »
Quel devrait être la place de la sécurité informatique dans les projets numériques privés comme publics ? Quels en sont les enjeux ? A quel niveau ces questions devraient-elles être abordées dans le déploiement des projets ?
La cyber sécurité devrait normalement occuper la première place dans les projets numériques privés comme publics mais dans beaucoup de pays au monde, elle vient toujours en dernière position. Pourquoi ? En effet, lorsque d’énormes ressources ont été investies dans la recherche et le développement d’une technologie, les investisseurs pensent d’abord à une meilleure vente de cette technologie avant de penser à son aspect sécuritaire. Au début de l’Internet, les ingénieurs ont pensé à l’avantage qu’offriraient les interconnexions au lieu de penser d’abord à l’aspect sécuritaire. Ce n’est qu’avec l’utilisation de l’Internet à des fins malveillantes que la cyber sécurité est née. Je doute fort que ce soit le contraire aujourd’hui puisque l’histoire se répète après un certain cycle. Aujourd’hui, nous entendons parler des objets connectés et de l’Internet des objets (IoT : Internet of Things) qui seront 50 milliards d’ici 2020 (source : https://digital-festival-tahiti.com/50milliards-dobjets-connectes-2020/ ) et personne, du moins pas dans nos pays, ne se penche réellement sur l’aspect sécuritaire de ces objets connectés.
Il faut aussi rappeler que les lois juridiques évoluent très lentement dans le domaine technologique. Dans l’immédiat, il n’y a pas de loi qui sanctionne précisément de tels actes. Il faudra faire des analogies avec des lois similaires pour les punir. Normalement, au début de tout projet numérique, il devrait y avoir une équipe chargée d’analyser l’aspect cyber sécurité du projet avant sa réalisation.
L’autre sujet évoqué ces derniers temps à l’international, c’est la protection des données personnelles ! Pensez-vous que les acteurs de l’écosystème togolais ont pris la pleine mesure de ces questions ?
Les fournisseurs de services, les marchands d’objets numériques notamment ne sont pas conscients des enjeux relatifs à la protection des données personnelles de leurs clients. Ceci est dû au fait que lorsqu’ils ont de nouveaux produits à vendre aux consommateurs, leur premier souci est d’atteindre le nombre maximum de consommateurs. Si ces acteurs se préoccupaient réellement des aspects de la cyber sécurité vis-à-vis de leurs clients, ils offriraient déjà des services de cyber sécurité aux clients. Quel opérateur de téléphonie mobile au Togo serait capable de récupérer les données d’un client à distance sur son téléphone qui aurait été volé et ensuite le détruire à distance, de façon logicielle, pour qu’il ne soit plus utilisable par le voleur ? Même les services de récupération du répertoire sont récents !
En ce qui concerne les consommateurs, cette prise de conscience ne peut avoir lieu que par de vastes campagnes de sensibilisation. Il est quand même déplorable de savoir que la majeure partie des consommateurs ne soit pas encore consciente des enjeux liés à la protection de leurs données personnelles. J’avoue que c’est très dangereux pour leur vie privée et professionnelle car il y a quelques années, ce n’était que ce simple terminaux GSM mais aujourd’hui ce sont des téléphones intelligents (smartphone) qui possèdent des capacités qui n’ont rien à envier aux ordinateurs de bureau. Combien d’utilisateurs ou de consommateurs sont conscients qu’un smartphone a besoin d’un logiciel de sécurité ou d’une mise à jour de sécurité ? Combien savent qu’un smartphone peut être infiltré à distance pour exploiter le microphone et/ou la camera à titre de chantage ou de menace ? Ces questions relatives à la prise de conscience des utilisateurs ou consommateurs du numérique sont loin d’être exhaustives.
« La promotion du numérique au Togo doit impérativement avoir deux ramifications : l’innovation et le juridique »
A votre avis, les autorités togolaises ont-elles conscience de cette réalité ? Si oui, quels mécanismes pour la protection justement des données privées des Togolais ?
A mon humble avis, juste une poignée des autorités togolaises en est consciente. Malgré cela, quelles sont les mesures et les moyens mis à disposition pour la collecte et l’exploitation de ces données numériques au Togo ? Il faut d’abord que les autorités togolaises prennent conscience de ce fait : il est impossible de vivre aujourd’hui sans une technologie numérique. Nos vies en dépendent quotidiennement et ce phénomène sera encore plus prépondérant d’ici quelques années. Cette prise de conscience doit s’accompagner d’une mise à jour des textes de loi qui régissent notre vie comme c’est le cas aux USA par exemple où toutes ces lois sont regroupées sous l’acronyme CFAA (Computer Fraud and Abuse Act). Si nos lois sont adoptées, alors il faudrait les enseigner dans nos écoles pour que la jeunesse instruite devienne le relais des informations contenues dans ces lois auprès des autres qui n’en ont aucune connaissance.
Ensuite, il faut recruter du personnel adéquat qui sera chargé de la cyber sécurité au sein de chaque institution de l’Etat. Notons que les auteurs d’attaques informatiques avancées s’informent bien sur les possibilités de contourner les mesures de sécurité mises en place. Il faut aujourd’hui plusieurs couches de cyber sécurité dans nos institutions et il faut aussi former les utilisateurs lambda qui ne sont pas des professionnels de l’informatique. Il est prouvé aujourd’hui que les auteurs d’attaques informatiques, cherchent à manipuler les utilisateurs terminaux afin qu’ils participent indirectement au déroulement de ladite attaque. Si par exemple le personnel des institutions est suffisamment formé sur les dangers ou risques qui sont relatifs au fait de cliquer par exemple sur un lien URL envoyé par email, alors nous pourrions sauver beaucoup de choses. Car, souvent ce simple clic peut enclencher le téléchargement d’un logiciel malveillant qui permettrait la prise de contrôle à distance d’une machine. Par conséquent, il ne suffit pas de disposer uniquement d’une main d’œuvre technique adéquate mais il faut aussi que la pratique des mesures de sécurité de base soit de mise dans la vie quotidienne des utilisateurs.
S’il vous était donné de proposer une politique pour la promotion du numérique au Togo, par quoi commenceriez-vous ? Qui seront vos principales cibles ?
Je commencerais d’abord par les écoles, les centres de formation et les universités. Ce sont les premiers acteurs qu’il faut impérativement impliqués dans la promotion du numérique. Je rappelle que la promotion du numérique au Togo doit impérativement avoir deux ramifications : l’innovation et le juridique. Si nous ne voyons pas cette promotion dans ce sens, alors nous ne pourrions en bénéficier positivement. Par exemple, nous assistons aujourd’hui à une vulgarisation des drones civils. Est-ce que cette vulgarisation donne le droit à un citoyen togolais qui possède un tel objet de survoler n’importe quelle zone géographique du Togo ou faudrait-il une autorisation spéciale pour l’utilisation de ces engins ? Voilà une image pour ressortir l’importance d’innover dans un cadre juridique serein, rassurant et adapté.