L’essor de la digitalisation a favorisé le développement des entreprises numériques et des cyberattaques. Souvent en ligne de mire, les Etats et les grandes entreprises, plus ou moins mieux préparés, se dotent des moyens nécessaires pour riposter. Encore embryonnaires, les startups quant à elles, y laissent des plumes, parfois au prix de leur existence.
En matière de cybersécurité, il n’y a pas que les Etats et les grandes entreprises qui sont confrontés aux cybermenaces. Cibles privilégiées, les startups, jeunes entreprises innovantes se développant généralement dans le secteur des nouvelles technologies, en font les frais. Leurs infrastructures critiques et leurs informations confidentielles sont généralement affectées par des campagnes d’hameçonnage ou des attaques par déni de service via des logiciels malveillants ou des chevaux de Troie.
Selon le secteur d’activité et le pays, le coût des cyberattaques varie. Cependant, des chiffres officiels font état d’en moyenne 1,2 million USD de perte de revenus en Afrique centrale due aux cyberattaques. Lesquelles touchent plus souvent les startups du secteur de la finance et de la santé dont les données sont très sensibles ; et ces attaques exposent la vulnérabilité des petites entreprises. Selon une étude récente, victimes de cyberattaques, 60 % de ces entreprises cessent leurs activités dans les six mois.
Au Bénin, les startups tâchent d’être prudentes. « Nous n’avons encore jamais subi de cyberattaques. Toutefois, nous avons déjà été confrontés à des tentatives de phishing et des accès non autorisés à certaines données sensibles », nuance Raynald Ballo, dirigeant de la startup RAYNIS, créatrice de la plateforme RMobility, dédiée au VTC et au covoiturage en Afrique de l’Ouest.
A AgroSfer, startup agro-technologique œuvrant à structurer des chaînes de valeur agricoles fiables et durables, « nous n’avons pas subi d’attaques majeures qui aient gravement compromis nos activités ; mais comme toute organisation numérique, nous sommes exposés à des tentatives d’intrusions, des scans de vulnérabilités sur nos infrastructures », révèle Roméo Djigli, le directeur technique.
Au Bénin, AgroSfer connecte les petits producteurs aux industries agroalimentaires locales, régionales et internationales grâce à des solutions technologiques et une présence terrain avec des équipes d’agents/conseillés agricoles auprès des producteurs.
Pas de pôle cybersécurité !
A l’instar de ces startups, la plupart des jeunes pousses numériques béninoises sont à l’abri d’attaques sérieuses. Cela n’exclut pas qu’elles subissent, à leur échelle, des conséquences peu reluisantes sur leurs activités.
Pour Raynald Ballo, il faut rester alerte : « Nous utilisons des outils de sécurité tels que des pares-feux, des solutions antivirus de pointe sur tous nos appareils ; interdiction d’utiliser des clés USB extérieur, des systèmes de sauvegarde réguliers et des protocoles stricts de gestion des mots de passe cryptés ; double authentification ; modification régulière de nos mots de passe ; toutes nos données ne restent jamais sur un seul serveur. De plus, nous effectuons des audits réguliers pour identifier les éventuelles vulnérabilités sous recommandation de l’APDP qui a certifié nos process en interne. »
Ces entreprises misent beaucoup sur la prévention. A AgroSfer, la stratégie vise « une approche proactive pour sécuriser les infrastructures ». Il s’agit du chiffrement des données sensibles à chaque étape de leur cycle de vie, en transit ou au repos, l’authentification multi-facteurs pour tous les accès aux systèmes et la surveillance continue des infrastructures via des outils de détection d’intrusions et des journaux d’événements.
En plus, elle veille à la mise en œuvre régulière de tests de pénétration pour identifier et combler les failles potentielles et surtout la sensibilisation des collaborateurs sur les menaces courantes, comme les attaques de phishing pour renforcer la sécurité humaine. Par ailleurs, l’utilisation de solutions de sécurité avancées peut, en dernier ressort, s’avérer une démarche essentielle pour renforcer la sécurité des infrastructures et protéger les données sensibles.
Aucune des deux startups, qu’il s’agisse d’AgroSfer ou de RMobility, ne dispose d’un pôle cybersécurité dédié. Cependant, elles adoptent chacune des stratégies distinctes en matière de sécurité informatique. AgroSfer s’appuie sur les compétences internes de certains membres de son équipe pour garantir un haut niveau de sécurité et collabore avec un expert externe afin de réaliser des audits réguliers et assurer la conformité aux meilleures pratiques.
De son côté, RMobility gère entièrement sa cybersécurité en interne, sans recours à une expertise externe. Ses équipes assurent elles-mêmes la protection de l’ensemble des infrastructures et travaillent en étroite collaboration avec le pôle cybersécurité des fournisseurs de serveurs afin de renforcer la sécurisation des systèmes et d’adapter en continu leurs pratiques aux évolutions des menaces.
Définir une stratégie de cybersécurité
Malgré les moyens coercitifs mis en place, les startups béninoises ne sont pas à l’abri d’une éventuelle cyberattaque. Ayant des moyens limités, elles ont besoin du soutien de l’Etat. Raynald Ballo parle de subvention pour l’accès à des solutions de cybersécurité avancées et des formations accessibles pour sensibiliser et renforcer les compétences en cybersécurité pour les startups.
« Il faut créer un cadre juridique clair pour protéger les entreprises victimes de cyberattaques et encourager la collaboration avec les institutions spécialisées », recommande le fondateur de RMobility.
Roméo Djigli est du même avis. Mieux, il exhorte l’Etat à soutenir les startups dans l’acquisition de technologies de protection coûteuses, simplifier les démarches administratives pour obtenir des certifications de conformité en cybersécurité et mettre en place des ateliers et des certifications en cybersécurité accessibles à tous les professionnels du numérique pour améliorer les compétences locales.
Au Bénin, le dispositif de sécurisation des infrastructures critiques et des informations confidentielles est supporté par des agences étatiques. Il s’agit respectivement de l’Agence des systèmes d’information et du numérique (ASIN) qui dispose d’une direction de la cybersécurité et de l’Autorité de protection des données à caractère personnel (APDP).
Au-delà de leurs prérogatives et du soutien étatique, des experts sont unanimes qu’il est prioritaire pour les startups d’intégrer la cybersécurité dès le premier jour de leur création. Plus important : il faut adopter une stratégie de cybersécurité à l’échelle de la startup, dégager un budget de mise en œuvre et élaborer un plan structuré de cybersécurité.
