Augmentation des cyberattaques en Afrique de l’Ouest : sous-évaluation du risque ou laxisme ? Expert en cybersécurité et membre fondateur de l’Association des professionnels de la sécurité de l’information de Côte d’Ivoire (APSI-CI), Gérard Konan décrypte le seuil de tolérance des entreprises face à l’interruption d’activité. Dans cet entretien, il insiste sur le fait que le coût d’une attaque dépasse largement la simple rançon, et décode l’équation cruciale pour la survie des organisations.
Cio Mag : En 2025, l’Afrique de l’Ouest a connu une augmentation significative des incidents de cybersécurité, affectant aussi bien les particuliers que les entreprises. Selon Interpol, les crimes liés au cyberespace ont augmenté de plus de 30% dans la région. Face à cette multiplication d’incidents (SUNU Bank, NBS Nigeria, Anka), peut-on considérer que les entreprises de la région sont laxistes en matière de cybersécurité?
Gérard Konan : Je préfère parler de “sous-évaluation du risque” plutôt que de laxisme. La plupart des entreprises ouest-africaines font face à un décalage important entre leur niveau de conscience du risque cyber et l’intensité réelle de la menace. Cette situation s’apparente à posséder une villa de standing à Cocody Angré tout en se contentant d’une clôture de 1,5 mètre pour la protéger.
Ce phénomène s’explique par le fait que la perception du risque cyber reste souvent abstraite jusqu’à ce qu’un incident majeur survienne, que les investissements sont perçus comme des coûts et non des investissements stratégiques, et qu’il existe un manque de compétences spécialisées locales. Les incidents récents démontrent que la menace est désormais mature et ciblée. Face à cela, nos stratégies de protection doivent impérativement évoluer.
Cio Mag : Selon vous, quels sont les principaux types d’incidents de cybersécurité auxquels les entreprises de la région sont confrontées?
G. K. : Notre région fait face à un “trio infernal” qui concentre l’essentiel des incidents : le phishing, les attaques BEC (Business Email Compromise) et les ransomwares.
Le phishing est le vecteur initial, exploitant l’ingénierie sociale. Les campagnes BEC, particulièrement sophistiquées, ciblent les processus financiers par usurpation d’identité pour détourner des fonds. Quant aux ransomwares, ils représentent la menace la plus destructrice, paralysant complètement les activités.
Au-delà de ce trio, nous observons une recrudescence des fuites de données massives, souvent par l’action d’infostealers. Ce qui rend ces menaces dangereuses ici, c’est leur capacité à s’adapter aux spécificités locales, utilisant le français et exploitant la confiance dans les relations d’affaires traditionnelles.
Cio Mag : Quid des impacts économiques et opérationnels liés à ces incidents?
G. K. : Les impacts sont bien plus diversifiés qu’on ne le pense. Il est crucial de comprendre que le coût d’une cyberattaque ne se limite pas à la rançon.
Premièrement, il y a l’impact opérationnel immédiat : l’indisponibilité des ressources critiques et des heures de productivité perdues. Deuxièmement, le coût de la gestion de crise, mobilisant les équipes pour le confinement, l’investigation forensique et les rapports aux autorités comme l’ARTCI. Troisièmement, les coûts de remédiation et de renforcement, incluant les honoraires d’experts externes. Quatrièmement, les coûts réglementaires et juridiques qui s’ajoutent à la facture. Enfin, le coût de la réputation endommagée et la perte de confiance des clients se traduisant par une baisse du chiffre d’affaires, un facteur souvent sous-estimé. Le coût moyen est en centaines de milliers de dollars selon IBM, et l’impact proportionnel sur les entreprises locales est souvent dévastateur.
Cio Mag : Partant du principe que le risque zéro n’existe pas, quels sont les risques acceptables ou critiques pour l’activité d’une entreprise dans un contexte où les attaques s’intensifient?
G. K. : Je préfère reformuler : il est possible de réduire le risque à un niveau proche de zéro et de minimiser considérablement l’impact de toute attaque résiduelle.
Un risque devient acceptable lorsque l’organisation a la capacité d’en assumer pleinement les conséquences sans compromettre la continuité de ses activités essentielles. C’est une décision éclairée. Par exemple, un serveur vieillissant est un risque acceptable si les données sont sauvegardées quotidiennement dans le cloud. Inversement, la perte de 10 années d’archives comptables stockées uniquement sur ce serveur est un risque clairement critique et totalement inacceptable.
La clé réside dans la capacité de chaque organisation à identifier ses actifs critiques et à mettre en place des mesures proportionnées.
Un risque acceptable est un risque pour lequel vous avez un plan B crédible et testé.
Gérard Konan
Cio Mag : Quelle perte de chiffre d’affaires peut être supportée par une entreprise face à une attaque cyber?
G. K. : Il n’existe pas de réponse universelle. Le paramètre fondamental est la durée maximale d’interruption d’activité que l’entreprise peut supporter avant d’atteindre un point de non-retour.
Cette durée varie selon le taux de marge, les coûts fixes, et les réserves financières. Prenons un exemple chiffré : une entreprise avec une marge nette de 20% peut consommer l’équivalent d’une année de marge après environ 75 jours d’inactivité complète. Pour une entreprise à faible marge, ce seuil critique peut être atteint en seulement 5 à 6 semaines. Cette analyse stratégique détermine le niveau d’investissement justifié en cybersécurité et les objectifs de temps de reprise (RTO) à viser.
Cio Mag : Quel est le seuil de tolérance en termes d’interruption d’activité pour une entreprise?
G. K. : Le seuil de tolérance dépend intrinsèquement de la résilience économique propre à chaque organisation. Si l’on s’en tient aux observations, au-delà de deux mois d’inactivité complète, la probabilité de survie d’une entreprise devient statistiquement très faible. Mais attention, la réalité est plus brutale : des organisations n’ont pas survécu à seulement deux ou trois jours d’interruption, en particulier celles opérant sur des flux tendus. C’est pourquoi chaque entreprise doit absolument déterminer sa Durée maximale d’interruption admissible (DMIA), ou RTO, pour chacune de ses activités critiques. Cet exercice méthodique est le fondement de toute stratégie de continuité.
Cio Mag : Quelles mesures transitoires recommandez-vous pour assurer la continuité de l’activité malgré un incident de cybersécurité?
G. K. : La meilleure stratégie de continuité repose sur une défense multicouche structurée en trois niveaux.
Premier niveau, la prévention : les mesures visant à empêcher l’incident, comme l’authentification à double facteur (2FA), la sensibilisation des utilisateurs et les passerelles de sécurité des emails. Deuxième niveau, la détection et la réponse : les technologies comme les EDR/XDR et les SIEM, dont le rôle est d’identifier et de stopper rapidement une attaque en cours. Enfin, le troisième niveau, la résilience : la pierre angulaire reste une stratégie de sauvegarde robuste basée sur le principe 3-2-1 (3 copies, 2 supports, 1 hors site), avec des tests de restauration réguliers et impératifs.
L’erreur est d’investir massivement dans une seule catégorie. Un équilibre est nécessaire. Parallèlement, chaque entreprise doit avoir défini et testé un “mode dégradé”, une procédure permettant de basculer sur des moyens alternatifs ou des processus manuels pour maintenir les activités essentielles le temps de la restauration.
Cio Mag : Quels sont les éléments clés pour assurer une reprise normale et durable après une crise cyber?
G. K. : La colonne vertébrale d’une reprise réussie est un plan de réponse à incident bien conçu, qui structure la réponse autour de quatre phases.
Phase 1, le confinement : isoler rapidement les systèmes compromis pour empêcher la propagation de l’attaque. Phase 2, la remédiation : éliminer totalement la menace, ce qui nécessite souvent une analyse forensique pour s’assurer qu’aucune porte dérobée ne subsiste. Phase 3, la restauration : remettre en service de manière sécurisée, en utilisant des sauvegardes saines et des images propres. Et phase 4, l’amélioration continue : c’est la phase la plus déterminante pour éviter la récidive ; elle passe par une analyse approfondie des causes racines qui doit déboucher sur le remplacement des mesures de sécurité défaillantes, et non de simples corrections superficielles.
Chaque incident est une opportunité d’apprentissage qui doit renforcer durablement la posture de sécurité de l’organisation.
Gérard Konan
Cio Mag : En conclusion, quelles sont les principales recommandations que vous adresseriez aux dirigeants d’entreprise pour renforcer leur résilience face aux menaces cyber ?
G. K. : L’action la plus impactante est un changement fondamental de paradigme : cesser de considérer la cybersécurité comme un risque purement technique et la reconnaître comme un risque d’entreprise majeur, au même titre que les risques financiers.
Lorsqu’un dirigeant intègre cette réalité et la communique clairement, en faisant de la maîtrise du risque cyber une priorité stratégique, un changement culturel profond s’opère. Cela légitime les investissements et mobilise les ressources. Le risque cyber ne doit plus être relégué au département informatique ; il doit être régulièrement abordé au niveau du conseil d’administration ou du comité de direction, avec la même gouvernance que les autres risques stratégiques.
En fin de compte, la résilience cyber n’est pas d’abord une question de technologies. C’est avant tout une question de leadership, de culture d’entreprise, et d’allocation appropriée des ressources. Lorsque ces fondamentaux sont en place, les bonnes décisions techniques suivent naturellement.
