Menaces de Boko Haram à l’Est, velléités djihadistes à l’Ouest… C’est dans un contexte sécuritaire qui mobilise toutes les énergies que la Nigérienne Aïssata Chanoussi a rejoint, il y a deux ans, l’Agence nationale pour la société de l’information (ANSI) de son pays comme Directrice de sécurité des systèmes d’information. Auparavant, elle a occupé le poste de Responsable de la sécurité des systèmes d’information (RSSI) chez un opérateur de téléphonie privée pendant trois ans. Dans cet entretien réalisé à Abidjan en marge de la quatrième édition du Cyber Africa Forum (15-16 avril 2024), l’informaticienne s’est attachée à dresser le tableau le plus précis possible de la situation sécuritaire du Niger tant sur le plan physique que dans le cyber espace, en ayant à l’esprit que le numérique est un ingrédient bien approprié pour faire face à ces défis.
Cio Mag : Quel est le niveau de maturité numérique des entreprises publiques nigériennes ?
Aïssata Chanoussi : Le niveau de maturité n’est pas terrible parce qu’on a du mal à trouver le juste milieu entre ce qu’on appelle coût lié aux infrastructures qu’il faut mettre en place et certaines priorités de l’Etat. Mais je pense que le gouvernement a compris que les Nouvelles technologies de l’information et de la communication constituent un relai pour pouvoir réduire la fracture numérique entre les zones urbaines et les zones rurales, et pouvoir rattraper aussi le retard qu’on a accusé entre nous et les pays développés. Le gouvernement a compris que ces infrastructures numériques constituent un vrai tremplin pour le développement et la santé économique du pays.
Quelles sont les principales conclusions que vous tirez des rapports que vous entretenez avec les entreprises publiques ?
L’ANSI est un établissement public à caractère administratif. C’est donc une structure gouvernementale. Et l’une des premières missions de l’ANSI, est la promotion du numérique et s’assurer que les besoins de toutes les couches sociales du Niger sont adressés. On constitue un support pour les organisations de l’Etat parce qu’on intervient en termes d’appui-conseil au niveau de ces différentes institutions pour pouvoir les accompagner dans leurs projets de digitalisation.
… tant que les premiers responsables ne comprennent pas ce que c’est que la cybersécurité et les risques auxquels ils sont exposés, ils ne vont pas comprendre le besoin d’avoir de nouvelles ressources dans ce domaine-là…
Alors que la plupart des entreprises manquent de directeurs ayant une expertise en cybersécurité, comment l’ANSI remet ce sujet au cœur des débats dans les comités de direction ?
Effectivement, pour pouvoir expliquer le besoin, c’est de pouvoir justement sensibiliser parce que tant que les premiers responsables ne comprennent pas ce que c’est que la cybersécurité et les risques auxquels ils sont exposés, ils ne vont pas comprendre le besoin d’avoir de nouvelles ressources dans ce domaine-là ou même de former les ressources actuelles pour qu’elles puissent faire face aux menaces existantes. Du coup, dans nos campagnes de sensibilisation on adresse certes les cadres de l’administration publique pour qu’ils comprennent eux-mêmes les problèmes auxquels ils sont exposés mais on fait aussi appel aux secrétaires généraux des différents ministères. On mène aussi des campagnes de sensibilisation au niveau des membres du gouvernement pour qu’ils comprennent réellement les enjeux et qu’ils puissent mettre en place avec nous des dispositions permettant de répondre, on va dire d’un point de vue humain, en termes de compétences pour faire face à ces menaces.
A propos de compétences, pensez-vous que les entreprises publiques et privées nigériennes sont réellement préparées pour lutter contre les menaces cyber ?
Moi je venais d’une entreprise privée pour rejoindre le secteur public. Et il n’y a rien à cacher : le niveau entre le secteur public et le secteur privé n’est pas pareil parce que les enjeux ne sont pas les mêmes. Aujourd’hui, les cybers attaquants ont compris que les institutions privées reposent essentiellement sur les infrastructures numériques et donc ils les attaquent pour les nuire et après ils demandent de payer une certaine rançon, ou bien carrément de faire des transactions qui sont illégales à partir de leurs réseaux. Au niveau de l’administration publique, on est en train de mettre en place progressivement les services publics qui reposent sur les infrastructures donc l’enjeu n’est pas pareil. Mais là, vu que ça commence à venir, les cybers attaquants n’hésiteront pas à saisir cette opportunité pour nuire au gouvernement, pour ternir l’image de notre pays et pour nous bloquer dans l’atteinte de nos objectifs de pouvoir délivrer ces e-services à nos populations.
Très peu de pays africains disposent de lois qui obligent les entreprises à divulguer les détails sur les cyberattaques. En plus, les données sur les piratages sont rares. Dans ces conditions, de quels moyens disposez-vous pour comprendre ces attaques et les prévenir ?
Je sais que depuis un moment les pays membres de l’Union africaine étaient confrontés aux mêmes réalités. Ils se sont retrouvés en Guinée équatoriale en 2014 pour discuter de ces problématiques et ont abouti à ce qu’on appelle la Convention de Malabo. Le Niger a ratifié cette convention. Et à partir de cette convention, le Niger a mis en place un certain nombre de lois. Notamment la loi qui a permis la création de la Haute autorité pour la protection des données à caractère personnel. Le Niger a également mis en place la loi qui permet de réprimer la cybercriminalité, et la loi qui permet d’intercepter les communications électroniques parce que depuis un certain moment aussi on fait face à une crise sécuritaire dans l’Est et l’Ouest de notre pays, et ça devenait nécessaire. Voilà d’un point de vue loi. D’un point de vue données, on travaille beaucoup avec le ministère de l’Intérieur. Notamment la Direction générale de la police nationale qui a compris l’enjeu et qui a mis en place au niveau de la police judiciaire un département qui s’occupe essentiellement des questions de cybercriminalité. Grâce à ce département, on a pu collecter des plaintes qui ont été répertoriées et on a même pu quantifier le coût financier de ces différentes menaces cybercriminelles.
Et ce coût financier s’élève à combien de nos francs ?
Entre 2019 et 2022, il y a eu une progression de 70 %. Si je ne me trompe, ça doit aller dans les 200 millions de francs CFA en 2022. Il faut dire aussi que, malheureusement, beaucoup de victimes ne déclarent pas réellement l’étendue des dégâts qui leur sont causés et beaucoup hésitent même à porter plainte. Donc là, il s’agit juste des entreprises qui ont porté plainte. Mais je suis sûre que beaucoup ont été victimes. Mais pour protéger leurs images et préserver leurs clients, ils préfèrent taire ces informations et ne pas les rendre disponibles.
… l’usage de ces drones a apporté un peu de répit, on va dire, dans la réponse à ces menaces sécuritaires auxquelles on est exposés.
Pays du Sahel, le Niger est en bute contre les velléités djihadistes et d’autres menaces terroristes. Cette situation particulière revêt-elle des enjeux spécifiques en matière de cybersécurité ?
Oui, cette situation revêt des enjeux spécifiques depuis des années, à l’Est avec les attaques de Boko Haram et à l’Ouest avec les groupes terroristes djihadistes dans la zone des trois frontières entre le Niger, le Mali et le Burkina. La guerre est asymétrique. Elle est injuste. Les personnes qui sont attaquées sont des populations civiles qui vivent paisiblement et qui sont dépossédées de leurs maigres biens, de leurs champs, de leurs bétails. Et quand on déploie des militaires pour protéger ces villageois, eux-mêmes sont attaqués. Le Niger a donc compris qu’il faut changer de stratégie pour pouvoir se protéger, et effectivement on fait appel aux drones. Et l’usage de ces drones a apporté un peu de répit, on va dire, dans la réponse à ces menaces sécuritaires auxquelles on est exposés.
… dans ce domaine on ne peut survivre que si on coopère
Comment une plateforme comme le Cyber Africa Forum (CAF) peut permettre d’avancer sur toutes ces problématiques ?
Ce qui est extraordinaire au niveau de ce forum, c’est qu’il y a énormément de thématiques qui ont été abordées. Hier (lundi 15 avril, ndlr), on a parlé de l’art de la cyberguerre dans notre espace. On a parlé de l’intelligence artificielle. Aujourd’hui, on a parlé de ce qui se fait dans l’espace francophone. On a vu les efforts que les différents départements de police sont en train de déployer notamment en Guinée, en Côte d’Ivoire, à Genève, en France, au Sénégal. Ce qui est extraordinaire, c’est le partage d’expérience. C’est cette coopération qu’il y a entre ces différents Etats. Moi je ne suis pas de la police certes, mais j’ai pu échanger mes coordonnées avec ces personnes-là et je n’hésiterai pas à partager ces coordonnées avec mes confrères nigériens qui sont de la police pour qu’ils puissent également profiter de l’expérience de ces différents pays. Un des panélistes l’a rappelé : dans ce domaine on ne peut survivre que si on coopère.