Bâtir une société résiliente et inclusive grâce à la transformation digitale des services de l’Etat. C’est l’ambition du Togo qui a mis le numérique au cœur de sa politique de développement socio-économique. Tous les secteurs de la vie socioéconomique du pays connaissent ainsi une digitalisation accélérée, facilitant la vie aux usagers des services publics. Documents administratifs, transactions financières, prises en charge médico-sociales… les Togolais peuvent accéder à des services essentiels, à travers une diversité d’infrastructures publiques numériques (IPN) dont la sécurité devient une question d’enjeu vital pour le pays. Comment sécuriser ces infrastructures critiques de l’État ? Quels en sont les enjeux ? Le pays en a-t-il les moyens ? Tour d’horizon des garde-fous pour renforcer la sécurité numérique des infrastructures publiques numériques dans un écosystème de plus en plus numérisé !
Priorité nationale
Dans son processus de digitalisation, le Togo, comme les autres pays, met en place ses infrastructures publiques numériques (IPN). Elles permettent de faciliter l’accès des populations aux services de l’Etat. Ces infrastructures, dites “critiques” « désignent l’ensemble des réseaux, plateformes et services numériques déployés par l’État pour offrir des services publics efficaces et innovants », explique l’Agence nationale de la cybersécurité (ANCy), le gendarme qui veille sur l’écosystème numérique du Togo. Dès lors, c’est à elle que revient la mission de mettre en place les stratégies et outils nécessaires à la protection des IPN. En effet, « la compromission, la perturbation ou la destruction de ces infrastructures pourraient entraîner des conséquences graves sur l’Etat et la société. En outre, les IPN traitent et stockent des informations sensibles, notamment des données personnelles, financières ou gouvernementales. Les protéger est donc une priorité nationale », confie, à Cio Mag, le Commandant Gbota Gwaliba, Directeur général de l’ANCy Togo (Photo).
En interagissant avec l’environnement numérique mondial, les IPN togolaises sont confrontées aux mêmes menaces qu’ailleurs. Selon l’ANCy, ces menaces sont très variées. Ce sont, entre autres : « Des Ransomwares : des attaques qui chiffrent les données ou paralysent les systèmes en demandant une rançon ; les IPN critiques en sont des cibles privilégiées en raison de leur importance pour le fonctionnement de l’État et des secteurs stratégiques. Des Phishing où les cybercriminels ciblent les employés pour obtenir des accès privilégiés aux systèmes critiques ; Des Attaques par déni de service distribué (DDoS) ou la saturation des serveurs pour interrompre les services en ligne ; en guise d’exemple, une DDoS va consister à rendre inaccessible un portail fiscal lors des déclarations annuelles. Le Cyber espionnage, avec des acteurs malveillants, souvent soutenus par des Etats, qui ciblent les IPN pour voler des informations sensibles. »
Pour le Directeur général de l’ANCy, le maillon le plus faible reste l’humain. Le Commandant Gwaliba précise que les cyberattaques sont le fait de l’homme, soit par simple erreur (configuration erronée, mise à jour mal exécutée, mauvaise gestion des droits d’accès), soit du fait d’une volonté de poser un acte de nuisance (un employé mécontent ou corrompu qui pourrait délibérément saboter un système ou divulguer des informations sensibles).Les failles dans les infrastructures de tiers connectées aux IPN ou encore le détournement de technologies axées sur l’intelligence artificielle constituent (aujourd’hui) d’autres formes de menaces pour les infrastructures publiques numériques.
Coordonner la réponse
« La prévention est la meilleure réponse aux cybermenaces », souligne le DG de l’ANCy. Il renseigne qu’au Togo, « plusieurs acteurs et initiatives concourent à l’effectivité de cette prévention, en s’appuyant sur un cadre légal et stratégique robuste ». En 2024, le Togo s’est doté d’une stratégie nationale de cybersécurité. Elle constitue la feuille de route du pays en pleine digitalisation. Aux côtés de l’ANCy, il faut compter avec le CERT.tg, le Centre national de réponse aux incidents de cybersécurité. Ce centre opère à travers une délégation de mission à Cyber Defense Africa (CDA).
Si l’ANCy coordonne l’ensemble des réponses face aux cybermenaces, « le CERT.tg, en tant que service délégué par l’ANCy à Cyber Defense Africa S.A.S (CDA), joue un rôle central dans la prévention et la gestion des incidents. Ses fonctions préventives comprennent : la supervision en temps réel 24h / 24 et 7j / 7 du cyberespace togolais, la diffusion d’alertes et d’informations sur les menaces, la publication de recommandations et de bonnes pratiques, la réalisation d’audits et de tests d’intrusion, la coordination avec les CERT internationaux ». Le challenge est de rester en alerte permanente pour « surveiller les réseaux et systèmes d’information afin de détecter les activités suspectes en ligne », indique l’institution chargée de la protection de l’écosystème numérique du pays.
La réponse aux cybermenaces passe aussi par la sensibilisation. Professionnels et grand public, tous sont pris en compte dans la stratégie de l’Agence nationale de la cybersécurité. Il s’agit de « promouvoir les bonnes pratiques en matière de cybersécurité (par exemple, l’utilisation de mots de passe robustes, la vigilance face aux tentatives de phishing, les mises à jour régulières des logiciels)…», explique le Commandant Gbota Gwaliba.
Sur ce chantier, l’ANCy a du travail à abattre. D’après son rapport 2023, « certains acteurs clés (tant au niveau de la gouvernance qu’au niveau de l’exécution ou de l’utilisation) ne comprennent pas encore l’importance de la cybersécurité ; en conséquence, ce sont seulement quelques mesures superficielles qui sont prises ». Et pourtant, comme le confie le rapport du gendarme du numérique, « l’erreur humaine est impliquée dans plus de 90% des incidents de sécurité (clic sur un lien de phishing, consultation d’un site web suspect, activation de virus ou autres menaces persistantes avancées) ».
Face à cette réalité, le DG de l’ANCy regrette : « Le manque de formation et la sous-estimation du risque font que certaines attaques contre ces infrastructures peuvent aboutir, alors qu’une simple cyber vigilance pourrait permettre de déjouer les tentatives. » C’est pourquoi il estime qu’il ne faut pas baisser la garde.
Le Commandant Gwaliba insiste : « La sensibilisation et la responsabilisation des acteurs impliqués dans la gestion des infrastructures numériques publiques de l’État sont les piliers pour la prise de conscience. Ceci, du fait que l’humain tient le rôle central en matière de sécurité. Il conviendra donc de sensibiliser davantage les utilisateurs de ces IPN aux bonnes pratiques afin de garantir une sécurité optimale. » A l’ANCy, 2025 est placée sous le signe du renforcement de la sensibilisation. Une “arme” efficace pour parer aux éventualités, soutient l’Agence de l’Etat togolais.
Anticiper et collaborer
L’une des règles d’or dans la cybersécurité reste l’anticipation. « Pour assurer la continuité des services des infrastructures publiques numériques, qu’elles soient détenues par l’État ou par des fournisseurs privés, il est crucial de mettre en place des stratégies robustes qui couvrent la prévention, la réponse aux incidents, et la reprise après incident », conseille le patron de l’ANCy. En professionnel averti, il insiste sur la nécessité de garantir la continuité des services en cas d’incidents. Au Togo, la gestion de la continuité des activités est un point central des règles de la cybersécurité éditées par le gouvernement.
Ce que recommande l’ANCy, c’est la mise en place de Plans de Continuité d’Activités (PCA). Détaillés avec des procédures claires en cas d’incident, ces PCA doivent prévoir les rôles et responsabilités de chaque acteur, de la gestion de l’incident à la reprise totale des activités. Pour le Commandant Gwaliba, la meilleure anticipation, c’est celle qui permet d’éviter l’incident informatique. En d’autres termes, il exhorte les acteurs du secteur à préférer soigner le mal que de vouloir le guérir, ce qui est souvent périlleux avec des issues incertaines.
C’est pourquoi l’institution s’évertue à créer des mécanismes de partage d’informations avec l’ensemble de l’écosystème numérique du pays. « Dans cette dynamique, le renforcement de la coopération entre les acteurs publics (ANCy, CERT.tg, forces de l’ordre) et les acteurs privés (entreprises de cybersécurité, opérateurs télécoms), ainsi que la création des plateformes de partage d’informations sur les menaces et les incidents entre les différents acteurs, sont en cours, en vue de faire efficacement face à tous ces défis », se félicite la sentinelle de la sécurité numérique au Togo.
L’objectif au bout du processus est d’instaurer une culture de la cybersécurité à tous les niveaux, des moins informés aux plus aguerris. C’est d’ailleurs pourquoi la stratégie nationale de la cybersécurité cible par exemple les écoles et toutes les couches socioprofessionnelles du pays.
S’adapter et rassurer
L’évolution rapide des technologies de la communication est aussi synonyme de la montée rapide des menaces. Le développement des menaces nourries par l’IA en est une preuve. Là aussi, le Togo met en place ses boucliers. Et la stratégie reste toujours inclusive. « C’est dans cette dynamique que la semaine de l’IA et le Grand Atelier du Digital (GAD), qui se sont respectivement tenus à Lomé, du 4 au 8 juin 2024 et le 13 novembre 2024, ont été organisés par les autorités nationales, avec pour objectif, l’élaboration d’une stratégie nationale pour l’intelligence artificielle. Cette stratégie vise à encourager l’innovation technologique, à mettre en place un cadre réglementaire adéquat pour encadrer l’utilisation de l’IA, à protéger les données personnelles, garantir la sécurité des utilisateurs, et identifier et anticiper les risques liés aux nouvelles technologies », confie le Directeur général de l’ANCy.
Pour le Togo, l’enjeu est de s’adapter à l’évolution des technologies et d’en anticiper les menaces. Avoir une stratégie nationale de l’IA « permettra, entre autres, d’identifier et d’analyser des risques liés à l’utilisation de l’IA, pour mieux comprendre leurs vulnérabilités, de mettre en place des mécanismes de protection contre le vol ou la modification des données utilisées pour entraîner les systèmes d’IA, de former les responsables des IPN aux risques spécifiques liés à l’IA et, enfin, d’encourager les équipes de sécurité à maîtriser les outils et techniques d’IA pour mieux défendre les infrastructures », commente le Commandant Gwaliba.
En réalité, la sécurité des infrastructures publiques numériques (IPN) est gage de confiance vis-à-vis des usagers. Il n’existe pas d’usages sans confiance. Ainsi, ces infrastructures critiques doivent être « robustes et résilientes et assurer la disponibilité et la continuité des services numériques, même en cas d’incident ». La sensibilité de la question oblige l’ANCy a désigné certains acteurs comme des fournisseurs de services essentiels. A ces acteurs, l’ANCy offre un accompagnement pour les amener, à intégrer dans leurs pratiques, les standards internationaux de cybersécurité recommandés.
Et pour cause ? Comme le martèle si bien le DG de l’ANCy, la sécurité des infrastructures critiques, est un gage de confiance, car elle incite à l’utilisation des services numériques, notamment pour les démarches administratives en ligne, les services de santé numériques ou les transactions financières, etc.
Et le Commandant Gbota Gwaliba de poursuivre : « Si les citoyens craignent pour la sécurité de leurs données, ils seront réticents à utiliser ces services. » « De même, des pannes fréquentes ou des interruptions de service peuvent décourager l’utilisateur. En revanche, un environnement numérique perçu comme sûr et protégé encourage l’utilisation des services en ligne », argumente l’homme dont la mission est de veiller, avec toute son équipe, à maintenir à un niveau optimal la sécurité des IPN en particulier, et de l’écosystème numérique togolais en général.
C’est donc la condition pour « permettre à toutes les couches de la population, y compris les personnes les plus vulnérables (personnes âgées, personnes handicapées, populations rurales), d’accéder aux services numériques ; la sécurité est un facteur d’accessibilité car elle garantit la disponibilité et la fiabilité des services pour tous, indépendamment de leur niveau de connaissance technique », conclut le Directeur général de l’Agence nationale de la cybersécurité du Togo.
