Expert français et international en cybersécurité, Chrysostome Nkoumbi-Samba explique à CIO Mag les raisons qui l’ont amené à créer le réseau « Afrik@Cybersécurité ». Pour lui, la confiance numérique sur le Continent ne peut se concevoir que si tous les acteurs – publics et privés – jouent collectif.
Propos recueillis par Charles de Laubier
CIO Mag : Vous avez lancé au printemps le réseau « Afrik@Cybersécurité » à l’occasion de l’édition 2018 des « Security Days » à Dakar. En quoi consiste ce projet ?
Chrysostome Nkoumbi-Samba : Afrik@Cybersécurité agit et intervient conformément à un triptyque : nécessité pour l’Afrique d’être partie prenante de la nouvelle économie numérique ; nécessité pour les institutions africaines de se transformer selon leur culture locale mais dans un esprit global et collective ; nécessité au mieux d’une transformation encouragée, suscitée, accompagnée de l’intérieur par des hommes et des femmes en phase avec la culture de chacun des pays et institutions. Afrik@Cybersecurité » part du postulat selon lequel « gouverner, c’est prévoir », et cela est valable au sein de toutes les institutions à l’égard du dirigeant. Il y a avant tout la vision du dirigeant d’accompagner ses administrés ou ses concitoyens à une consommation efficiente du numérique, eu égard à la transformation numérique de l’humanité et nécessairement avec la sécurité qui va avec.
Afrik@Cybersecurité intervient alors comme un levier sur lequel peut s’appuyer le dirigeant pour mettre en œuvre la stratégie cybersécurité de l’institution : s’appuyer sur les nouvelles technologies et les réseaux sociaux de l’entreprise pour permettre aux membres qui sont les mandataires numériques – désignés au sein des institutions afin d’encourager, de susciter et d’accompagner à la transformation numérique – de réfléchir globalement et collectivement en vue de résoudre les problèmes localement au sein de chaque institution.
Car aucune institution ne parviendra, toute seule, à mettre en place une stratégie efficace. Apprendre donc des autres et avec les autres pour assurer un avenir collectif. A ce jour, le projet est incubé au sein du cabinet NP Consultants à Paris et dispose de points focaux à Cotonou (Bénin) et Dakar (Sénégal). A termes, pourquoi pas une organisation internationale digitalisée fonctionnant sur la base de la confiance.
« La cybersécurité doit désormais être considérée comme l’une de nos assurances collectives pour l’avenir… »
CIO Mag : Ce projet aura-t-il une dimension panafricaine et de quels moyens financiers sera-t-il doté pour mener à bien ses objectifs et lesquels ?
C. N-S. : Une dimension panafricaine, bien sûr, mais bien plus que cela dans la mesure où la confiance et la cybersécurité sont les deux piliers de l’entreprise de demain. Et puisqu’il s’agit in fine de l’économie numérique mondiale, je fais remarquer aussi que tout au long de l’histoire économique, c’est bel et bien la confiance qui a permis de favoriser l’éclosion de l’économie marchande. Donc, c’est bien la prise en compte de la cybersécurité par l’ensemble des parties prenantes – au niveau de chaque continent, de chaque Etat, de chaque institution, de chaque entreprise, de chaque citoyen – qui assurera l’éclosion de l’économie numérique mondiale.
D’ailleurs, les propos de Pascal Andrei* s’accordent parfaitement avec l’ADN d’Afrik@Cybersecurité : « La cybersécurité doit désormais être considérée comme l’une de nos assurances collectives pour l’avenir. Sans celle-ci, il manque un maillon à la chaîne globale de business des entreprises. Nous sommes à un moment charnière où il faut dépasser le partage de la peine. Tous les managers, toutes les directions exécutives des entreprises doivent prendre conscience du risque cyber actuel. Ce n’est pas un problème de subir les attaques. Mais ce qui est problématique, c’est soit de ne pas le savoir, soit de ne pas être capable de trouver des moyens de les parer. Cet enjeu concerne toute la chaîne de décision de l’entreprise. Tout ce qui va dans le sens de cette meilleure prise en compte des enjeux de la cybersécurité me paraît être une excellente initiative. Et, sur ce point, il faut jouer collectif… ».
CIO Mag : Quelles réponses concrètes l’édition 2018 des Security Days, qui s’est déroulée à Dakar en mai, a apporté aux organisations et aux Etats africains par rapport aux années passées ?
C. N-S. : Les Etats africains prennent de plus en plus conscience des enjeux liés à la cybersécurité et de leur souveraineté, à en juger par le nombre et la qualité des délégations présentes aux Security Days 2018 et aussi par la qualité des échanges. Ils ont conscience que la question de la cybersécurité est une des questions politiques des années à venir. Simple coïncidence ou hasard du calendrier, le Sénégal a adopté et publié au mois de mai sa stratégie nationale de cybersécurité [SNC2022, ndlr], ce qui à mes yeux est un signal fort de la part du président Macky Sall.
Toutefois, cela reste pour l’heure en deçà des défis qu’imposent la transformation numérique et l’économie numérique – donc la cybersécurité. L’événement reste une initiative privée comme il en existe partout en Afrique et au sein des diasporas, le partenariat public-privé pend son sens, étant entendu qu’un Etat tout seul ne peut pas tout faire, comme le privé tout seul ne pourra pas non plus tout faire ne disposant pas de la ressource fondamentale qu’est la donnée. Il s’agit donc pour toutes les parties de bâtir un socle de confiance.
Il a aussi été décidé que l’événement deviendrait panafricain à compter de l’année prochaine, pas seulement pour appréhender les menaces « panafricaines » – car les menaces cyber sont mondiales, diffuses, asymétriques et impalpables, se moquant des frontières physiques –, mais aussi pour apporter la contribution africaine dans l’atteinte des promesses de l’économie numérique.
CIO Mag : Y a-t-il d’autres événements de ce type en Afrique dédiés à la cybersécurité ?
C. N-S. : A ma connaissance, depuis le début de l’année, il y a eu deux événements en Afrique francophone (3 au 5 avril à Oran en Algérie et du 14 au 15 mai à Dakar au Sénégal) traitant très spécifiquement de la cybersécurité. La thématique étant bien évidement transverse, elle est revenue à chaque fois qu’il y a eu une rencontre sur le numérique et le digital. Les Security Day ont traité bien-sûr de la question de la souveraineté. Ma conviction est qu’il ne faut pas seulement un événement panafricain de la cybersécurité pour appréhender la menace mais bien une stratégie globale panafricaine de la cybersécurité au sens strict du mot avec : un leadership à l’image de l’Union africaine (UA), de la Banque africaine de développement (BAD), ou du Parlement africain, des rôles et des responsabilités bien définies, attribuées et assumées.
« Les institutions africaines sont dépassées par le phénomène »
CIO Mag : Selon vous, le continent est-il plus vulnérable ou pas aux cyberattaques ou aux cybers actes de malveillance que partout ailleurs dans le monde ?
C. N-S. : Comme partout ailleurs, il est difficile d’avoir les chiffres exacts – donc l’information nécessaire à la prise de décision – sur les cyberattaques et les cyber actes. Une réalité bien cruelle est que tous les accidents venant ou partant du Continent ont des effets néfastes sur toute la chaîne de la confiance numérique à travers le monde avec un très gros risque de défiance. Et c’est très probablement cette défiance qui fait qu’à ce jour, par exemple, l’Afrique de l’Ouest et Centrale soient les seules régions au monde où les acteurs de la finance locale n’ont pas recours à la notation.
Le Continent est tout aussi exposé que le reste du monde aux cyberattaques et cyber actes. L’absence et les difficultés liées à la mise en œuvre de stratégies en matière de cybersécurité rendent la majorité des pays vulnérables, presque coupables et responsables si l’on considère que la menace cyber est mondiale. Toutefois, admettons qu’il faille un management circulaire de la menace, le reste du monde est tout aussi coupable et responsable vis-à-vis de l’Afrique de ne pas l’inclure dans la chaîne de traitement de la menace.
Une étude de Serianu, entreprise kenyane de services IT, montre que la faiblesse des architectures de sécurité, la rareté du personnel qualifié et le manque de sensibilisation et de réglementations strictes ont augmenté la vulnérabilité des organisations. La cybercriminalité a coûté au Continent environ 3,5 milliards de dollars en 2017. Cette étude révèle aussi que plus de 90 % des entreprises africaines fonctionnent sous le « seuil de pauvreté » de la cybersécurité, ce qui signifie qu’ils ne peuvent pas se protéger adéquatement contre les pertes.
A mon humble avis, les institutions africaines sont dépassées par le phénomène par le fait aussi du manque de ressources capable d’animer les débats de niveau international, tant en interne qu’à l’extérieur, sur les enjeux de la transformation numérique et de proposer des solutions adaptées. Etre à la hauteur c’est d’être capable de fournir des preuves de la mise en pratique de recommandations internationales en la matière, ce qui est loin d’être le cas.
Cela justifie bien le positionnement de l’initiative Afrik@Cybersécurité : être aux côtés des institutions pour animer les communautés de confiance indispensable à l’exercice de leurs prérogatives, conformément aux recommandations internationales. Afrik@cybersecurité ambitionne, par une approche globale d’amélioration continue, de former des cadres capables d’accompagner – au travers d’un réseau – les institutions africaines dans la mise en œuvre de leur stratégie cybersécurité.
« L’innovation génératrice de richesse est peu encouragée ou soutenue »
CIO Mag : L’Afrique est pionnière par rapport au reste du monde en matière de transferts d’argent sur mobile et de m-paiement. Le téléphone mobile (smartphone en tête), premier moyen d’accès (et de loin) à Internet et aux services en ligne en Afrique, est-il le maillon faible de la cybersécurité sur le Continent ? Comment y remédier ?
C. N-S. : L’Afrique est bien-sûr pionnière dans le m-paiement, mais elle est par exemple absente dans le classement au nombre de brevets déposés – preuve que l’innovation génératrice de richesse est peu encouragée ou soutenue. Le Continent peut encore mieux faire sur ce qu’elle a déjà réalisé. Comme pour le reste du monde, le maillon faible de la cybersécurité reste l’humain, lequel doit être éduqué, formé, accompagné et protégé de manière continue vis-à-vis de la consommation efficiente du numérique. Sur ce point, de gros efforts sont attendus. A mon sens, l’enjeu fondamental en matière de transfert ou de m-paiement serait que le service soit utilisé en toute confiance par le plus grand nombre de personnes et cela en dépit des scandales et crises.
Vu sous cet angle, toutes les parties prenantes – fabricant de puces, éditeurs de logiciels, fournisseurs de services, compagnies bancaires, Etats, régulateurs, etc. – doivent jouer le jeu de la sécurité et de la confiance collective. Le téléphone mobile reste un outil, ne l’oublions pas, qui pourrait très bien être utilisé comme carte électeur pour les prochaines élections politiques en Afrique et pourquoi pas devenir un outil universel de vote.
*Pascal Andrei, directeur de la sécurité chez Airbus, dans la préface de « La cybersécurité face au défi de la confiance », par Philippe Trouchaud (éditions Odile Jacob).
Chrysostome Nkoumbi-Samba : des maths à la cybersécurité
Très jeune, Chrysostome Nkoumbi-Samba a eu un goût prononcé pour les matières scientifiques et plus particulièrement les mathématiques. Après un bac « C » de l’époque, puis une licence de mathématiques appliquées à l’informatique à la faculté des sciences de l’université de Brazzaville, il est parti du Congo Brazzaville, son pays d’origine, afin de poursuivre des études en informatique et applications fondamentales, disciplines qui n’étaient d’ailleurs pas dispensées au sein de l’université.
En France, c’est après une maîtrise de mathématiques et applications fondamentales, puis un master d’informatique appliqués au CNAM que Chrysostome Nkoumbi-Samba intègre – dix ans après son arrivée en France – l’ACCT, devenue Organisation Internationale de la Francophonie (OIF) en qualité de fonctionnaire international où, pendant presque vingt ans, il a initié, conseillé, accompagné, managé la transformation informatique des métiers et projets stratégiques de l’OIF. Actuellement directeur associé/conseil au sein du cabinet NP Consultant à Paris, il conseille et accompagne les dirigeants des PME/TPE dans la sécurisation de leur patrimoine informationnel.
Après sa collaboration avec l’OIF, il a intégré l’Institut Leonard de Vinci à Paris La Défense dans la filière « Management de la Sécurité des Données Numérique » sous la direction de Gérard Peliks. Cette formation de très haut niveau sanctionné par un MBA lui a permis d’acquérir une réelle expertise dans : le management de la sécurité des réseaux numériques et le management des projets, la connaissance des normes juridiques et les nouveaux risques juridiques, l’analyse des risques pays et l’intelligence économique, et la vision globale de la gestion d’une crise, la gestion managériale à l’intérieur de l’entreprise avec la capacité à diriger des équipes et de faire, le cas échéant, la relation entre les équipes très technique et le haut management de l’entreprise, ou soit d’être le manager de l’entreprise, soit de créer sa propre structure sur la sécurité des projets et de données numériques.
Il a décidé de créer le réseau « Afrik@cybersecurité ». « Il ne s’agit pas seulement de maîtriser la technique ; il s’agit aussi de la connaissance et de la compréhension de l’humain », indique Chrysostome Nkoumbi-Samba à CIO Mag.
Articles parus dans le Dossier Cybersécurité de CIO Mag N°53