C’est une première au Togo : du 23 au 24 mars, le pays accueille des chefs d’Etats, des décideurs et des experts, de divers horizons, autour des enjeux de la cybersécurité. Ce Sommet international, organisé en partenariat avec la Commission économique des Nations-Unies pour l’Afrique (CEA), devrait permettre à l’Etat togolais de présenter son modèle de partenariat public-privé dans la cybersécurité. Dans cet entretien accordé à Cio Mag, Gbota Gwaliba, Directeur général de l’Agence nationale de Cybersécurité (ANCy) et Simon Melchior, Directeur général de Cyber Defense Africa (CDA), expliquent la portée de l’événement pour le Togo.
Cio Mag : Le Togo organise le premier Sommet sur la cybersécurité, les 23 et 24 mars. Quels sont les objectifs de ces journées ?
Gbota Gwaliba, DG de l’ANCy : Le Sommet de la Cybersécurité arrive à un moment charnière pour les États africains. Avec l’adoption massive des nouvelles technologies et la croissance exponentielle des utilisateurs d’internet, l’Afrique est définitivement entrée dans une nouvelle ère, pleine d’opportunités. Cependant, cette nouvelle ère arrive également avec son lot de menaces et de risques. Les citoyens, les administrations et les entreprises sont davantage exposés à la cybercriminalité. Entre janvier et août 2020 par exemple, vingt-huit (28) millions d’attaques informatiques sophistiquées ont été lancées à travers le continent, et la plupart sont arrivées à leur fin. Dans ce contexte, la cybersécurité est aujourd’hui un enjeu majeur de sécurité et de souveraineté.
Toutefois, nous constatons que les États africains ne mettent pas suffisamment ces enjeux au cœur de leur politique publique et ne développent pas encore assez de mécanismes de coopération à tous les niveaux. Ce premier Sommet de la cybersécurité réunit donc les États africains et les acteurs de l’écosystème numérique pour participer à la conception de solutions adaptées à nos environnements.
D’un point de vue juridique, cela implique la convergence, à l’échelle africaine, du cadre légal et réglementaire spécifique à la cybersécurité et à la lutte contre la cybercriminalité. Cela ne peut évidemment pas se faire sans la signature et la ratification par les États africains de la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel – dite « Convention de Malabo » –, adoptée le 27 juin 2014.
Cette convention est un instrument important dans la construction des mécanismes de coopération et de renforcement des capacités des États en matière de cybersécurité. Nous aborderons également les deux versants stratégiques. La conception de stratégies et politiques de cybersécurité et de lutte contre la cybercriminalité qui soient adaptées aux réalités africaines et leur opérationnalisation de façon performante, notamment à travers le partenariat public-privé. Enfin, les États présents au Sommet adopteront la déclaration de Lomé, qui promeut la coopération entre les États africains et la mise en place de cadres opérationnels efficaces.
Cio Mag : Le renforcement du leadership du Togo, pour attirer les banques et les institutions financières, est une volonté exprimée par les autorités. Comment bâtir la confiance dans le numérique ? Quelle est la stratégie de votre pays en la matière ?
GG : La vision du Togo est de bâtir un environnement cyber sécuritaire permettant d’offrir aux institutions financières, aux banques, aux potentiels investisseurs mais aussi aux citoyens, un service de qualité optimal. Pour qu’un utilisateur ait confiance dans les outils numériques, il faut que l’écosystème numérique du pays lui garantisse l’intégrité, la disponibilité, la confidentialité de ses données et systèmes d’information.
La stratégie du Togo pour offrir un cyberespace qui inspire confiance aux utilisateurs s’articule autour de cinq (05) axes principaux à savoir :
- La sensibilisation de la société togolaise et le développement des compétences via des partenariats avec les Universités et les structures de formation ;
- La sécurisation de l’administration, des services essentiels et de l’économie numérique. Le Décret 2019-095/PR relatif aux opérateurs de services essentiels, aux infrastructures essentielles et aux obligations y afférentes, décrit les principes généraux de protection des infrastructures essentielles et sera complété par des règles nationales de cybersécurité ;
- Le renforcement du système de réponse aux incidents de cybersécurité avec la mise en place du CERT.tg ;
- La poursuite efficace des crimes et des délits de cybersécurité avec le renforcement des capacités des forces de l’ordre et des magistrats en investigation numérique et en répression de la cybercriminalité ;
- La régulation et l’amélioration continue des mesures de cybersécurité par l’ANCy.
Cio Mag : Pour l’heure, le Togo dispose-t-il de compétences locales suffisantes pour la cyberdéfense ? Comment les repérez-vous ?
Simon Melchior, DG CDA : La cybersécurité est un domaine très dynamique. Il est vaste en termes de différenciation sectorielle des attaques et pointu en matière de techniques d’attaque. La palette de compétences requise est également très large, que ce soit pour des auditeurs d’infrastructures et/ou d’applications, des spécialistes réseau, des pentesters, des experts en criminalistique, et différents profils d’analystes nécessaires pour fournir un service complet. Il n’y a pas beaucoup de spécialistes et ils sont très demandés. Réunir toutes ces compétences localement au Togo, les former, les motiver et les garder est le défi que nous relevons tous les jours au sein de Cyber Defense Africa. Mais je suis heureux de vous dire que nous avons une excellente équipe dont je suis très fier.
GG: Effectivement la cybersécurité et la cyberdéfense sont des domaines transversaux, nécessitant des compétences dans plusieurs domaines tels que la technique, le juridique, la communication ou la formation.
Le Togo a la chance d’avoir l’un des systèmes éducatifs les plus performants de la sous-région. En plus, le pays dispose de structures de formation publiques et privées tant nationales qu’internationales. Par conséquent, il existe un vivier de compétences togolaises présent localement et à l’étranger. Notre défi est d’adapter ces ressources aux problématiques de cybersécurité.
Pour repérer ces talents, l’ANCy a entamé des démarches avec ces structures de formation afin d’établir des partenariats dans lesquels l’ANCy peut les accompagner dans le renforcement de leurs capacités, en facilitant l’obtention de bourses et formations des étudiants à l’étranger par exemple.
Cio Mag : Comment se passe la formation des locaux à la cybersécurité, en termes de compétences et de niveau de maturité des professionnels, au plan national et régional ?
SM : Il est assez facile de trouver des profils juniors, très motivés mais par définition inexpérimentés. Il existe aussi beaucoup de formations basiques et/ou théoriques en cybersécurité et elles sont plutôt accessibles localement. Notre différence, c’est que nous nous focalisons sur l’identification de profils seniors et sur une formation poussée et pratique. Nous organisons des boot camps, des exercices de simulation d’attaques dit cyber exe et capture the flag qui nous permettent non seulement de former nos collègues mais aussi de vérifier comment nous suivons nos process et comment nous pouvons les améliorer de façon continue.
Cio Mag : Un an après la création du Cert national, quel bilan en tirez-vous ?
SM : À ce jour, nous avons effectué un travail fondamental dont nous sommes satisfaits. Ce dernier consiste à développer la collaboration avec un certain nombre de Ministères Togolais, avec les forces de l’ordre sur des questions de sensibilisation ainsi qu’avec d’autres CERT nationaux ; européens, américains et africains. Cela étant dit, nous pouvons améliorer notre notoriété, particulièrement auprès de la population ainsi que des PME togolaises. Ils doivent savoir que le CERT national est là aussi pour eux. Nous sommes bien opérationnels, nous avons nos outils, notre personnel et nos procédures bien en place, mais nous n’avons pas assez communiqué auprès du grand public sur le fait que nous sommes là pour lui fournir notre service. Nous comptons notamment sur un évènement d’envergure à la fois nationale et internationale comme le Sommet de la Cybersécurité pour nous donner l’occasion de communiquer et de pallier ce défaut de notoriété.
Cio Mag : Pour lutter contre les cybercriminels et les risques inhérents, un travail de sensibilisation des acteurs est fondamental. Où en-êtes-vous ?
GG : La formation et la sensibilisation des différents acteurs des administrations, des entreprises et du public sur les enjeux de la cybersécurité est l’une des missions dévolues à l’ANCy. Dès notre prise de fonction, nous avons, en collaboration avec Cyber Défense Africa, le bras opérationnel de l’ANCy, lancé une campagne de sensibilisation de certaines administrations qui présentent de graves vulnérabilités en sécurité informatique.
Une autre campagne dédiée aux opérateurs de services essentiels en est cours pour les accompagner à renforcer la sécurité de leurs systèmes d’information. Dans les prochaines semaines, une campagne de sensibilisation cette fois-ci destinée au grand public va démarrer.
Cio Mag : Comment se positionne le Togo par rapport à ses pairs ouest-africains dans la gestion du cyberespace ?
GG : Avec le cadre légal et réglementaire que nous avons mis en place depuis 2018, la création de l’ANCy et de CDA, le modèle opérationnel basé sur le partenariat public privé, nous avons l’ambition de positionner le Togo comme un des leaders en la matière et surtout être la locomotive de l’intégration sous régionale et de coopération en cybersécurité. L’initiative de ce Sommet est une preuve supplémentaire, s’il le fallait.
Comme je l’ai dit précédemment, l’un des objectifs de ce sommet est le développement de la coopération continentale en matière de cybersécurité. Nous profiterons de ce moment fort pour mettre sur pied une coopération opérationnelle entre les différentes agences de cybersécurité en Afrique.
Propos recueillis par Souleyman Tobias