La numérisation des entreprises, combinée à une automatisation accélérée des usages, a augmenté la surface d’attaque des États. En Afrique, les organisations ont subi le plus grand nombre moyen de cyberattaques hebdomadaires au cours du premier trimestre 2023, renforçant la nécessité d’une stratégie de cyber-résilience par secteur d’activité et au niveau global. Senior Vice President Content Strategy & Evangelist Africa pour KnowBe4 – plateforme mondiale de formation sur la sensibilisation à la cybersécurité -, la Sud-africaine Anna Collard replace la cyber-résilience dans le contexte de culture de la sécurité tout en permettant aux entreprises de se projeter dans leur transformation digitale.
En règle générale, la cyber-résilience désigne la capacité d’une organisation à poursuivre ses activités et à fournir des services en dépit d’événements cybernétiques défavorables. Il ne s’agit pas seulement de la capacité à se protéger contre les cyberattaques et à les prévenir, mais aussi de la capacité à réagir, à se rétablir et à s’adapter rapidement lorsque de tels incidents se produisent. Telle que définie par Anna Collard, cette approche holistique de la cyber-résilience combine des éléments de cybersécurité, de continuité d’activités et de résilience organisationnelle afin de résister aux perturbations et de s’en remettre rapidement.
« La cybersécurité et la cyber-résilience sont des concepts étroitement liés, mais qui ont des objectifs distincts dans la stratégie de défense numérique d’une organisation », soutient Anna Collard. Elle précise que la cybersécurité se concentre sur les contrôles mis en place pour protéger les systèmes, les réseaux et les données contre les cyberattaques. La cyber-résilience, quant à elle, va au-delà de la simple protection contre les attaques. Elle englobe la capacité à maintenir et à rétablir rapidement les opérations critiques pendant et après un cyber incident. Cela implique non seulement des mesures de sécurité solides, mais aussi l’élaboration d’un plan complet de réponse et de sauvegarde. C’est ainsi que la cyber-résilience façonne de manière significative le paysage de la cybersécurité en mettant l’accent non plus uniquement sur la prévention des attaques, mais sur la capacité à récupérer et à s’adapter aux cyber-incidents, explique la Cyber Evangelist. Non sans reconnaitre « qu’aucune défense n’est efficace à 100 % » et souligner l’importance d’ « être prêt non pas si l’incident se produit, mais lorsqu’il se produit ».
Niveau de préparation aux menaces cyber
Le rapport 2024 de KnowBe4 sur la Culture de la sécurité pour l’Afrique[1] nous en donne un aperçu. Ce rapport présente un examen complexe et exhaustif de 18 secteurs d’activité, évaluant l’état de préparation de chacun en matière de culture de sécurité. Si tous les continents sont couverts par cette étude, elle trouve un écho particulier en Afrique où les 20 pays passés à la loupe obtiennent un score moyen “flatteur” de 72 montrant un niveau modéré de préparation à la cybersécurité.
Pour Anna Collard, ce score est la preuve que les organisations participant à ces enquêtes sont modérément bien préparées aux cybermenaces et qu’elles ont encore du travail à faire pour améliorer leur culture de la sécurité à un niveau plus mature. En pratique, ce score est le reflet des scores de culture recueillis auprès des organisations africaines partenaires de KnowBe4. Ces organisations, qui ont activement investi dans des contrôles de cybersécurité tels que la formation sur la sensibilisation, tombent donc automatiquement dans une catégorie plus proactive que l’organisation africaine moyenne. En réalité, « le score réel de la culture de sécurité dans les pays et les entreprises d’Afrique est beaucoup plus bas », confie-t-elle.
Difficile de lui donner tort. Une étude de Check Point Research[2] – également citée dans le rapport de KnowBe4 – soutient la même opinion. Celle-ci révèle que les organisations africaines ont subi le plus grand nombre moyen de cyberattaques hebdomadaires par organisation au cours du premier trimestre 2023. Les criminels ont principalement ciblé les ordinateurs, les serveurs et les équipements de réseau dans 85 % des attaques contre les organisations, tandis que les ressources web ont été ciblées dans 15 % des cas, conduisant souvent à des attaques de déni de services (ou DDoS) réussies. Les logiciels malveillants ont été utilisés dans 80 % des attaques réussies contre des organisations, l’ingénierie sociale étant impliquée dans 52 % des incidents. En outre, des vulnérabilités ont été exploitées dans 37 % des attaques réussies, et des informations d’identification compromises ont été utilisées dans 10 % des cas. Parmi les incidents notables, Anna Collard rapporte une attaque du groupe BlackCat contre le siège de l’Union africaine[3] ayant paralysé le réseau interne et diffusé des logiciels malveillants sur plus de 200 ordinateurs. Un incident produit après le sommet annuel de l’organisation, mettant en évidence les perturbations potentielles que de telles attaques peuvent causer.
Analyste dans la salle des serveurs sur la maintenance de la base de données. Image DC Studio sur Freepik
Succès ghanéen
L’enquête de KnowBe4 fait apparaître de grandes différences entre les secteurs et les pays en matière de préparation à la cybersécurité. Par exemple, le secteur bancaire kenyan a surpassé tous les autres secteurs industriels du continent avec un score moyen de 83 (10 points au-dessus de la moyenne). « Les banques africaines et l’industrie financière ont une longue histoire de cultures de sécurité plus matures. Elles maintiennent d’importantes opérations SOC et CSERT et sont un employeur majeur pour les professionnels de la sécurité », commente la Cyber Evangelist. Puis d’ajouter que les secteurs du public, de la construction et de l’éducation affichent des scores moins élevés en matière de culture de sécurité.
Le secteur de l’hôtellerie et de la restauration a également obtenu des résultats médiocres dans certains pays. Les pays africains les plus performants dans ce rapport sont le Kenya, le Nigeria et le Ghana, qui ont tous des stratégies de cybersécurité plus matures, sous l’impulsion de leurs gouvernements locaux. « En fait, la réussite du Ghana en matière de cybersécurité l’a fait passer de la 89e à la 43e place dans l’indice mondial de cybersécurité (GCI) de l’Union internationale des télécommunications pour 2020. Il fait partie des sept pays africains qui figurent dans le top 50 de l’indice mondial de cybersécurité. »
Dichotomie entre numérisation et impréparation à la culture de sécurité
« Région de croissance, l’Afrique augmente rapidement son utilisation de la technologie et de la connectivité. Mais la croissance et la numérisation s’accompagnent de nouveaux risques et de nouvelles vulnérabilités qui peuvent compromettre les progrès. » C’est de cette manière, observe l’analyste de KnowBe4, que le continent a connu la croissance la plus exponentielle en matière de cybercriminalité[4] au cours des dernières années, en particulier pour les PME.
Technicien analysant le système d’information à l’aide d’une tablette effectuant les ajustements nécessaires.
Pour Anna Collard, l’un des plus grands défis auxquels sont confrontées les organisations africaines est le manque de priorité des gouvernements, un niveau relativement faible de sensibilisation générale à la cybersécurité ainsi qu’un manque de compétences en matière de technologies de l’information et de cybersécurité. S’appuyant sur une analyse du Fonds monétaire international (FMI)[5], elle observe que 2023 a été une année difficile pour l’économie de l’Afrique subsaharienne, avec une croissance ralentie à 3,3 % contre 4 % en 2022. Selon elle, la région est confrontée à certains des défis les plus redoutables au monde : les ressources limitées, les besoins humanitaires et de développement urgents, les crises énergétiques, la pauvreté et des taux de chômage élevés chez les jeunes peuvent expliquer le fait que l’on accorde moins d’importance aux tâches perçues comme non essentielles pour les entreprises, telles que la culture de la cybersécurité.
« Souvent, poursuit-elle, les gouvernements ne surveillent pas suffisamment les menaces, ne recueillent pas de preuves numériques et ne poursuivent pas les crimes informatiques. Le continent est confronté à un manque croissant de professionnels certifiés en matière de cybersécurité. Beaucoup d’entreprises, d’agences et de consommateurs ne sont pas sensibilisés à la cybersécurité et les entreprises ne mettent pas en œuvre les contrôles de cybersécurité de base. » Alors forcément, quand survient une cyberattaque, on mesure amplement les efforts à fournir pour s’en remettre rapidement, encore que la majorité des pays africains manquent de réglementations en matière de cybersécurité et de capacités d’application des lois.
« Pour faire face à l’augmentation de la cybercriminalité, certains pays africains ont imposé des lois strictes en matière de conformité réglementaire, mais la majorité d’entre eux ne l’ont pas fait. Actuellement, seuls 15 des 55 pays africains ont ratifié la Convention de Malabo de l’Union africaine, qui constitue un cadre législatif visant à promouvoir la protection des données et les garanties générales contre la cybercriminalité ; 11 pays ont des lois partielles ; et 30 n’ont aucune loi significative sur la cybercriminalité. Cela fait de l’Afrique un havre de paix pour les cybercriminels qui se considèrent comme “intouchables” dans les pays non réglementés. Et les pays qui ont mis en place des réglementations n’ont souvent pas les moyens de les faire appliquer, car les capacités nationales en matière de cybersécurité présentent des lacunes considérables. »
IA et menaces supplémentaires
Depuis l’avènement de ChatGPT le 30 novembre 2022, le grand public a pris conscience de la réalité et de la puissance de l’IA. Du côté positif, l’IA améliore la détection et la réponse aux menaces grâce à la détection rapide des anomalies. Cependant, l’IA permet également de développer des attaques sophistiquées et d’automatiser des activités malveillantes à grande échelle. Ainsi, le potentiel des techniques d’évasion pilotées par l’IA pose des défis supplémentaires aux mesures de sécurité traditionnelles. De quoi inquiéter les organisations africaines telles que le Conseil sud-africain pour la recherche scientifique et industrielle (South African Council for Scientific and Industrial Research (CSIR)[6]. Lequel s’attend à une augmentation des cyberattaques contre les services gouvernementaux et les infrastructures critiques. Ce qui aura un impact non seulement sur les organisations du secteur privé, mais aussi sur les sociétés et les économies des pays.
Selon Anna Collard, le niveau de préparation relativement faible des gouvernements et des organisations africaines, associé à de nombreuses industries fortement dépendantes de la cybernétique, est vraiment préoccupant. Car, les menaces qui pèsent sur les infrastructures critiques de l’Afrique peuvent avoir des conséquences néfastes sur son économie et ses sociétés dans leur ensemble. Elle en veut pour preuve, les récentes cyberattaques subies par les organisations sud-africaines du secteur public telles que la Commission des sociétés et de la propriété intellectuelle (CIPC)[7] et l’Agence d’administration des pensions du gouvernement sud-africain (GPAA)[8]. « Comme l’a montré l’attaque par ransomware contre Transnet[9], se souvient-elle, une entreprise publique de gestion des ports, en 2021, les attaques contre les infrastructures critiques peuvent avoir des conséquences économiques dévastatrices qui vont au-delà des pertes directes subies par l’organisation touchée. »
Pourtant, les organisations africaines disposent de nombreux moyens pour comprendre et renforcer leur cyber-résilience. C’est en tous cas ce que pense la SVP Content Strategy & Evangelist Africa. Elle cite, entre autres initiatives, la Convention de Malabo de l’Union africaine et AfricaCERT, l’équipe africaine qui assure le soutien et la coordination des interventions en cas d’incident sur l’ensemble du continent. Ces moyens s’ajoutent autant aux financements et subventions accordés par des institutions telles que la Banque mondiale et l’Union internationale des télécommunications (UIT), qu’au programme UK FCDO Africa Cyber program (Royaume-Uni) visant à soutenir les initiatives de renforcement des capacités et des compétences en matière de cybersécurité. En outre, le World Economic Forum Global Cyber Center et le Global Cybersecurity Capacity Centre (GCSCC) proposent des lignes directrices, recherches et boîtes à outils, ainsi que des évaluations et des programmes de renforcement des capacités adaptés aux besoins des différents pays.
Sur le continent, des programmes de formation et de certification en cybersécurité et des outils de sécurité gratuits et des contenus de sensibilisation gratuits sont aussi offerts par des acteurs du secteur de la sécurité et de la technologie tels que Coursera, Udemy, KnowBe4, Cybrary, Paolo Alto cybersecurity academy, Fortinet free training et Amazon. Des formations auxquelles s’ajoutent de nombreuses filières diplômantes proposées par des universités africaines en cybersécurité et dans des domaines connexes. Tout ceci ayant pour but d’offrir aux organisations africaines, la possibilité d’améliorer leur posture en matière de cybersécurité et de cyber-résilience, même si les ressources limitées, le manque de compétences et l’absence de réglementation dans de nombreux pays de la région continuent de poser des défis importants.
[1] KnowBe4 Research, Security culture report 2024, mai 2024
[2] Check Point Research, Cybersecurity threatscape of African countries 2022–2023, juillet 2023
[3] Check Point Research, Cybersecurity threatscape of African countries 2022–2023, juillet 2023
[4] Nir Kshetri, Cybercrime and Cybersecurity in Africa, 2019
[5] IMF, Opening Remarks at Press Briefing on the Regional Economic Outlook for Sub-Saharan Africa, octobre 2023
[6] CSIR, Cybercrime and South Africa: An Introspective Look, 4 avril 2023
[7] Businesstech, CIPC securing accounts after major hack – what you need to know, 5 mars 2024
[8] Darkreading, South African Government Pension Data Leak Fears Spark Probe, 18 mars 2024
[9] Reuters, Cyber attack disrupts major South African port operations, 22 juin 2021
