C’est à Abidjan, au cours de la 3e édition du Cyber Africa Forum (24-25 avril 2023), que nous avons rencontré le Marocain Youssef Mazouz (Photo). Secrétaire général du Centre africain de cybersécurité, ce docteur en management des systèmes d’information a mis à profit son séjour dans la capitale économique ivoirienne pour expliquer à Cio Mag l’idée qui se cache derrière la création de cette organisation non gouvernementale. Basé à Rabat, ce centre regroupe en effet les professionnels de la cybersécurité [responsables de sécurité des systèmes d’information (RSSI), directeurs de systèmes d’information (DSI)], et toutes les entités qui œuvrent dans ce domaine.
Cio Mag : D’où est venue l’idée de créer le Centre africain de cybersécurité ?
Youssef Mazouz : La création de ce centre en juin 2019 vient de la nécessité de développer une synergie entre professionnels de la cybersécurité ; de créer un cadre de collaboration et de partage d’expériences, de risques et de vulnérabilités. Vous le savez, le RSSI ne peut pas vivre isolé. Donc, on met en place ce réseau pour permettre aux membres, victimes d’attaque, de pouvoir les partager au sein du réseau afin qu’on puisse les analyser et avoir une vision commune de ces vulnérabilités. Ces informations sont communiquées à l’ensemble des membres via un bulletin de vulnérabilités.
Lorsqu’une entreprise est attaquée, cette attaque doit être signalée à des collaborateurs, à d’autres RSSI afin de la décrypter et la vulgariser pour éviter que la même attaque soit utilisée contre une autre organisation.
Quand on travaille dans un cadre collaboratif, on peut facilement décrypter les vulnérabilités. Ce qui n’est pas possible si le RSSI reste isolé et fermé sur lui-même par peur de déclarer cette attaque ou de perdre son poste.
Le Centre africain de cybersécurité permet donc de réconforter les professionnels du domaine en leur disant que ces attaques peuvent survenir étant donné que des tentatives d’attaques sont lancées chaque jour par des cybers attaquants. Il faut donc signaler les attaques.
Et quelles actions avez-vous posées dans ce sens jusque-là ?
Dans l’approche de la société civile, on a des partenariats bilatéraux avec pas mal de pays africains. L’année dernière, on a créé l’Alliance africaine pour la cybersécurité. Elle est composée des organisations non gouvernementales de douze pays dont deux, le Congo Brazzaville et le Maroc, ont signé la déclaration de Marrakech l’année dernière et qui ont également signé une convention avec le Cyber Africa Forum pour la création d’un club CISO (responsables de la sécurité des systèmes d’information, ndlr).
Nous avons conscience que dans le cadre de la société civile, on a une grande marge de manœuvre pour travailler, ce qui est différent du cadre institutionnel. Ainsi, nous travaillons dans cette logique de société civile dans le but d’accompagner tous les acteurs qui œuvrent dans le domaine de la cybersécurité. C’est-à-dire les particuliers, les professionnels et même les gouvernements. L’objectif est de mettre en place des réglementations et des lois qui permettront d’accompagner l’essor de la transformation digitale que connaît le continent africain.
Vous êtes en contact permanent avec les entreprises et les politiques. Quelles sont actuellement les plus grandes menaces en matière de cybersécurité ?
Il y en a beaucoup parce que les intentions d’attaques sont nombreuses. Il y en a qui attaquent juste pour le plaisir, d’autres pour voler des données personnelles ou encore dans le but d’affaiblir la concurrence. La cybersécurité permet de faire face à ces attaques en identifiant les menaces et, par la suite, mettre en place une politique de sécurité adéquate selon les priorités de chaque organisation.
Mais on ne peut pas dire qu’il y a un type de menace qui soit spécifique aujourd’hui à l’Afrique.
Dans le système bancaire par exemple, on a le vol d’informations sur les cartes bancaires, le vol d’identité… Si on se trouve dans une structure qui stocke des données sensibles comme les hôpitaux, on peut avoir des attaques de ransomwares qui cryptent les données et demandent ensuite des rançons… En ce qui concerne les structures industrielles, les gens s’attaquent à des machines connectées pour arrêter l’activité de l’entreprise. Le type d’attaque est donc fonction du secteur d’activité.
Vous évitez de donner des chiffres alors que vos confrères en ont cités quelques-uns ce matin (lundi 24 avril 2023, ndlr) ?
Ce matin, effectivement, j’ai entendu des chiffres venant de quelques acteurs de la cybersécurité qui développent des solutions informatiques pour protéger les infrastructures. Mais les attaques sur les infrastructures ne représentent qu’un petit pourcentage des attaques en général. Il y en a d’autres sur lesquels des acteurs de cybersécurité n’ont pas la main.
Exemple ?
Les logiciels malveillants dormants. Des hackers utilisent des logiciels malveillants qu’ils installent subtilement dans une infrastructure juste pour collecter des données sur cette infrastructure et les utilisateurs. Ces hackers n’attaquent pas, donc ne représentent pas un danger. Pourtant, les informations collectées peuvent avoir un impact négatif sur l’entreprise. Dans ce cas-là, puisqu’on n’a pas de visibilité on ne peut avoir de chiffres.
On a aussi les incidents sur la continuité d’activité. Car, il faut préciser que quand on parle de cybersécurité, on ne parle pas que d’attaques.
La cybersécurité consiste à garantir la disponibilité, la confidentialité et l’intégrité des données.
Les attaques concernent la confidentialité et l’intégrité des données. Il peut ne pas y avoir d’attaque quand on parle de disponibilité des données. Une panne d’électricité, par exemple, peut avoir un impact sur une activité alors que cette panne n’est pas une attaque informatique. Mais il se trouve que quand on parle de cybersécurité, la plupart se focalisent sur les attaques alors qu’il existe plusieurs pratiques en matière de cybersécurité pour garantir la continuité d’une activité et la disponibilité des données.
Comment accompagnez-vous les populations pour qu’elles soient, elles aussi, plus averties en la matière ?
On réalise des campagnes de sensibilisation destinées à des particuliers, aux enfants… Dans la plupart des familles, pour se débarrasser d’un enfant on lui donne un smartphone pour regarder les dessins animés. On a des cas où des inconnus ont poussé les enfants à voler la carte de crédit de leurs papas et leur donner des informations. Ça aussi c’est de la cybersécurité. Il ne faut pas parler de la cybersécurité juste à des professionnels, les particuliers aussi sont exposés à des risques. Là, nous sommes en train de préparer une caravane de sensibilisation destinée au grand public pour expliquer les dangers auxquels ils sont exposés sur le Net.
Quels sont les autres projets du Centre à court terme ?
Nous travaillons sur une enquête africaine sur les types d’attaques, la fréquence d’attaque, etc. C’est le projet de 2023. On travaille également sur la mise en place de l’Alliance qu’on a signée avec douze pays africains en vue d’atteindre d’autres pays et soutenir l’Union africaine dans la production d’une réglementation qui pourra accompagner l’expansion de la transformation digitale sur le continent.