Face à l’explosion des cyberattaques qui menacent un continent africain en pleine transition numérique, Didier Simba, expert international en cybersécurité, livre une analyse sans concession. Fondateur et directeur général de DSTrust, il est également l’initiateur du Club d’Experts de la Sécurité de l’Information en Afrique (CESIA) et de l’APSI-GA au Gabon. Dans cet entretien accordé à CIO Mag, il décrypte la montée des ransomwares et des fraudes au mobile money, tout en pointant les failles structurelles d’un écosystème en quête de coopération et de cadres juridiques robustes. Il plaide pour une prise de conscience urgente et des actions décisives.
CIO Mag : Comment évaluez-vous aujourd’hui l’évolution des cybermenaces en Afrique avec l’accélération de la numérisation ?
D.S. : Cela fait maintenant plusieurs années que nous alertons sur une intensification progressive des cybermenaces en Afrique, en lien direct avec l’accélération de la transformation numérique. Ce que nous observons aujourd’hui confirme pleinement ces prévisions : l’augmentation des usages digitaux, notamment dans les secteurs bancaires, télécoms et administratifs, élargit mécaniquement la surface d’attaque. Les cybercriminels, de plus en plus organisés et outillés, exploitent ces nouvelles opportunités avec des modes opératoires toujours plus sophistiqués.
Toutefois, nous sommes encore loin du pic de ces menaces. Le niveau global de maturité cyber sur le continent reste hétérogène et, dans de nombreux cas, insuffisant face à la rapidité de cette digitalisation. Cela crée un déséquilibre entre exposition au risque et capacité de défense. Les prochaines années seront donc déterminantes : soit les États et les organisations investissent massivement dans la cybersécurité (gouvernance, compétences, technologies), soit nous assisterons à une amplification significative des incidents avec des impacts économiques et stratégiques majeurs.
CIO Mag : Pourquoi les attaques de type Ransomware connaissent-elles une telle croissance sur le continent ?
D.S. : C’est en réalité un équilibre défavorable qui s’est installé entre, d’une part, le fait que les entreprises victime paient la rançon et, d’autre part, la facilité croissante avec laquelle les cybercriminels parviennent à atteindre leurs objectifs. Portés par les avancées en intelligence artificielle, ces derniers disposent désormais d’outils de plus en plus accessibles et performants pour concevoir et automatiser des attaques. Parallèlement, le faible niveau de prise en compte du risque cyber, que ce soit au niveau des États, des entreprises ou des utilisateurs, crée un terrain particulièrement favorable. Le phishing, qui représente encore aujourd’hui une large majorité des attaques réussies, illustre parfaitement cette vulnérabilité humaine exploitée à grande échelle.
Cependant, le facteur le plus préoccupant reste, selon moi, le manque de coopération du côté de la défense. Les cybercriminels sont organisés, structurés en réseaux et partagent activement leurs techniques, outils et vulnérabilités exploitées. À l’inverse, les acteurs de la cybersécurité demeurent trop souvent isolés, que ce soit au sein des organisations ou à l’échelle des pays, avec encore trop peu de partage d’information et de coordination. Ce déséquilibre structurel constitue aujourd’hui un frein majeur à l’efficacité collective face à des menaces de plus en plus globalisées.
CIO Mag : Quels secteurs sont aujourd’hui les plus vulnérables ?
D.S. : Aujourd’hui, aucun secteur n’est réellement épargné, mais certains concentrent davantage les risques en raison de la valeur des données qu’ils manipulent et de leur rôle stratégique. Les administrations publiques, la santé et l’éducation sont particulièrement vulnérables car elles combinent forte exposition, données sensibles et niveaux de maturité cyber encore insuffisants. À cela s’ajoutent les télécommunications, qui constituent des infrastructures critiques au cœur des États, et qui sont de plus en plus ciblées dans des logiques d’espionnage et de souveraineté.
Le secteur financier (banques, assurances, fintech) reste également une cible prioritaire en raison de la monétisation directe des attaques et de l’ouverture croissante des systèmes via des API et des partenaires. En réalité, les cybercriminels ne ciblent pas uniquement les secteurs, mais arbitrent en fonction d’un triptyque simple : valeur de la donnée, impact potentiel et facilité d’exploitation.
CIO Mag : Comment la fraude liée au Mobile money se manifeste-t-elle concrètement sur le terrain ?
D.S. : En Afrique, la fraude liée au mobile money se manifeste concrètement par des techniques d’ingénierie sociale et des prises de contrôle de comptes : les fraudeurs utilisent fréquemment le vishing (appels se faisant passer pour un opérateur ou une banque) pour soutirer les codes PIN ou faire valider des transactions, ainsi que le smishing (SMS frauduleux annonçant un gain, une erreur ou une urgence) pour inciter à cliquer ou rappeler. On observe aussi des arnaques dites “au faux remboursement” où un fraudeur envoie de l’argent puis manipule la victime pour récupérer plus. Globalement, ces attaques reposent davantage sur la manipulation des utilisateurs que sur des failles techniques, dans un contexte de forte adoption où la sensibilisation reste encore insuffisante.
CIO Mag : Quelles sont les failles principales exploitées par les cybercriminels dans les systèmes africains ?
D.S. : Comme nous l’avons déjà souligné, l’absence de coopération entre les professionnels de la sécurité constitue une faille majeure dont les cybercriminels tirent pleinement parti. À cela s’ajoute le défaut de gestion des correctifs : de nombreuses organisations continuent d’exploiter des systèmes non mis à jour, parfois même des logiciels piratés, les privant ainsi des patchs de sécurité. Or, les vulnérabilités associées à ces outils sont bien souvent publiques et parfaitement connues des attaquants, qui les exploitent à grande échelle.
Par ailleurs, l’insuffisance de sensibilisation — qu’il s’agisse des populations à l’échelle nationale ou des collaborateurs en entreprise — demeure un facteur critique. Le facteur humain reste aujourd’hui le principal vecteur d’attaque, notamment à travers le phishing et les techniques d’ingénierie sociale. Bien entendu, ces éléments ne sont pas exhaustifs : d’autres causes structurelles, organisationnelles et techniques viennent également renforcer l’exposition globale des organisations aux cybermenaces.
CIO Mag : Quelles stratégies prioritaires les RSSI doivent-ils mettre en place pour renforcer la résilience des systèmes ?
D.S. : Le RSSI, chargé de la gouvernance de la sécurité numérique, doit en priorité structurer son action autour d’une approche méthodique et pilotée par le risque. Cela commence par une analyse de risques formalisée afin d’identifier précisément les menaces, les vulnérabilités et les impacts métiers, puis par une évaluation de la maturité cyber de l’organisation, idéalement alignée sur des référentiels internationaux comme ISO 27001 ou autre. Ces deux exercices permettent d’obtenir une vision claire et objectivée du niveau d’exposition et des écarts à combler.
Sur cette base, le RSSI doit définir une feuille de route priorisée et mesurable, intégrant des actions concrètes. L’enjeu est de passer d’une cybersécurité réactive à une cybersécurité pilotée, continue et orientée résilience.
CIO Mag : Quel rôle doivent jouer les régulateurs pour encadrer la cybersécurité et protéger les usagers ?
D.S. : Le régulateur joue un rôle central dans la structuration de la cybersécurité en définissant un cadre normatif clair et contraignant, aligné sur les standards internationaux, afin d’imposer un socle minimal de sécurité aux organisations. Au-delà de la réglementation, il doit également accompagner les acteurs dans leur mise en conformité, notamment à travers des guides, des référentiels, des dispositifs de sensibilisation et parfois des mécanismes de soutien, en particulier pour les structures les moins matures. Par ailleurs, il lui revient de mettre en place des mécanismes de contrôle et d’audit efficaces, permettant de mesurer réellement le niveau de sécurité des entités régulées. Enfin, et c’est un levier essentiel, le régulateur doit avoir la capacité de sanctionner de manière dissuasive les manquements, afin d’instaurer une véritable culture de responsabilité et de protection des usagers, tout en favorisant un écosystème de confiance.
CIO Mag : Les cadres juridiques actuels sont-ils suffisants face à la sophistication croissante des attaques ?
D.S. : Les cadres juridiques actuels en Afrique constituent une base, mais ils restent globalement insuffisants face à la sophistication croissante des cyberattaques. On observe une forte disparité entre les pays : certains disposent de lois avancées et d’autorités dédiées, tandis que d’autres accusent encore un retard significatif, voire une absence de cadre opérationnel. Cette hétérogénéité fragilise l’ensemble du continent, notamment dans un cyberespace où les menaces sont transfrontalières par nature. Par ailleurs, malgré la volonté initiale de structuration à l’échelle continentale, la dynamique portée par l’Union Africaine montre ses limites. La Convention de Malabo, adoptée en 2014 pour harmoniser les législations en matière de cybersécurité et de protection des données, n’a toujours pas été ratifiée par la très grande majorité des États et n’a fait l’objet d’aucune révision pour s’adapter aux évolutions rapides du paysage des menaces.
Dans ce contexte, le principal enjeu ne réside pas uniquement dans la création de nouveaux textes, mais dans leur effectivité, leur harmonisation et leur mise à jour continue.
CIO Mag : Comment renforcer la coopération entre États africains face à des menaces transfrontalières ?
D.S. : Il est essentiel de multiplier les rencontres de haut niveau, telles que le GITEX Africa au Maroc, le Cyber Africa Forum en Côte d’Ivoire ou encore le Forum Brazza Cybersecurity au Congo. Ces plateformes permettent de mieux appréhender la menace, de partager les bonnes pratiques et surtout de structurer des coopérations concrètes entre États et acteurs du secteur.
CIO Mag : Quelle action urgente recommanderiez-vous pour sécuriser durablement les écosystèmes numériques africains ?
D.S. : Chaque pays doit impérativement se doter d’une stratégie nationale de cybersécurité claire, portée par un organe dédié, afin de définir une trajectoire cohérente et renforcer durablement sa résilience face aux cybermenaces.
