Les piratages informatiques dont ont fait les frais plusieurs banques africaines le mois dernier démontrent la nécessité de faire évoluer notre paradigme en matière de cyber-sécurité. Une réponse régionale doit être apportée à cette menace qui pèse comme une épée de Damoclès sur le continent.
Le « risque cyber » est encore mal appréhendé en Afrique
D’après l’étude d’un assureur européen[1], les cyber-menaces figurent au second rang des 10 risques les plus redoutés par les entreprises dans le monde. Un risque aggravé pour les entreprises africaines, vulnérabilisées par le coût élevé des systèmes de protection, la faiblesse de l’expertise locale et le manque de pédagogie auprès des utilisateurs et de formation aux métiers de la cyber-sécurité. Ainsi, au cours des dernières années, avec le nombre croissant de cyberattaques en Afrique, la région a identifié ce risque comme l’une de ses priorités.
La traduction économique de cette situation : un marché en pleine expansion, passé de 1,7 milliard de dollars en 2017 à plus de 2,5 milliards en 2020 d’après l’Africa Cyber Security Market report de 2017. Les sociétés africaines – notamment dans les secteurs du pétrole et du gaz, des services publics et des banques – ont considérablement investi le champ, en cherchant à renforcer leurs capacités. À raison puisqu’en 2017, elles avaient perdu l’équivalent de 3,5 milliards de dollars à cause des cyber-attaques[2].
Au demeurant, les acteurs africains sont encore largement dépourvus de solutions efficaces et souveraines. En Afrique de l’Ouest, une étude réalisée par une société informatique ivoirienne estime que jusqu’à 80% des entreprises et des institutions ne disposent pas d’outils de détection active et de réponse appropriée à ces menaces. Une autre étude, réalisée par le Harvard Berkman Center for Internet & Society, indique que seules l’Algérie et la Tanzanie figurent parmi les fournisseurs d’outils performants, sur un marché dominé par les États-Unis, le Royaume-Uni ou encore le Canada, la Suisse et la France.
Une concertation régionale qui tarde à se matérialiser
Autant de facteurs expliquant la position de l’Union internationale des télécommunications (UIT), qui a établi que les efforts en matière de cyber-sécurité en Afrique étaient les plus faibles au monde. En effet, la vitesse lente à laquelle les structures africaines déploient des solutions de sécurité les positionne à la merci de cyber-risques qui ont tendance à croître parallèlement au taux de pénétration d’Internet et des outils numériques sur le continent.
Cette situation démontre les limites de l’impulsion politique nationale. S’il est vrai qu’il existe des stratégies étatiques (au Maroc, à l’île Maurice ou encore au Sénégal), ces dernières peinent à se matérialiser concrètement et, surtout, à s’intégrer dans une dimension plus régionale, alors même que la cybercriminalité s’appuie sur des réseaux transnationaux. Il n’est pas rare que le « brouteur » ivoirien collabore avec le « hacker » nigérian, selon une division internationale du travail à l’efficacité redoutable. Mais les tentatives de former une coalition régionale contre la cybercriminalité sont restées lettre morte.
Dès juin 2014, les États de l’Union africaine (UA) s’étaient saisis de la question avec la Convention africaine sur la cyber-sécurité et la protection des données à caractère personnel (ou Convention de Malabo). Mais, sur les 55 États de l’UA, seulement 14 États l’ont signé, quand 5 l’ont ratifié. La plupart lui ont préféré la Convention de Budapest, établie le 8 novembre 2001 par le Conseil de l’Europe et ratifiée en 2016 par le Sénégal, le Maroc, l’île Maurice… De même en 2018, avec le forum de l’Union africaine sur la cybercriminalité qui s’est construit autour de trois axes : (i) l’élaboration de politiques efficaces contre les risques cyber ; (ii) l’organisation de la coopération internationale ; (iii) le renforcement des capacités des autorités et des acteurs économiques. Là encore, la mise en œuvre demeure balbutiante.
La nécessité de renforcer les capacités des acteurs publics et privés du continent
Cela prouve l’importance du rôle de la société civile en tant qu’acteur de changement : par le débat et la co-création de solution efficaces et souveraines. C’est en pensant le cyber et ses spécificités africaines que nous serons en mesure de penser efficacement notre action de cyber-sécurisation.
À ce titre, il est bon de constater l’essor de laboratoires technologiques, d’observatoires et de fora sur le continent. Notons par exemple la tenue du Cyber Africa Forum (CAF) à Abidjan, le 29 avril 2020. Soutenu par de nombreuses autorités politiques et économiques africaines, le CAF abordera de manière transverse les liens entre le cyber et la gouvernance, la sécurité, la finance ou encore la communication lors de tables rondes, de workshops et d’une présentation d’étude. Un tel événement aurait le mérite de relancer le dialogue et de favoriser l’émergence de nouvelles solutions : innovantes, collégiales, concrètes.
Cet événement se tiendra en Côte d’Ivoire, un État qui porte le projet « cyber » dans le cadre de l’Alliance Smart Africa, visant à permettre à l’Afrique de prendre le contrôle de sa révolution numérique. D’autant plus marquant que la Côte d’Ivoire est considérée comme un « mauvais élève », le terrain de jeu des « brouteurs » et « hackers » les plus notoires – mais également les plus talentueux – selon où l’on place le curseur. Pourquoi n’envisagerions-nous pas une reconversion de ces acteurs vers la formation, la défense éthique et la sécurité ? Si nous voulons renforcer nos propres solutions technologiques et notre expertise, il nous faut d’ores et déjà penser à la manière dont nous les rallierons à notre cause.
Nous espérons que les acteurs publics et privés sauront se saisir de la vaste question du cyber sur le continent afin de faire progresser le débat public, notamment lors du Cyber Africa Forum 2020. C’est en nourrissant ainsi notre réflexion commune que nous parviendrons à pallier nos manques, renforcer notre protection et nous assurer une place non subie sur un secteur aussi stratégique que compétitif.
Une Tribune de Franck Kié, Président de l’association CIBerOBS, fondateur du Cyber Africa Forum et consultant en cyber-sécurité
[1] Baromètre des risques 2018
[2] Rapport Serianu 2017