Un « chaos numérique ». Telle est la menace qui plane sur une Afrique de plus en plus interconnectée mais en retard dans le domaine de la sécurité informatique. Ce constat alarmant faisait l’unanimité parmi les participants du premier Cyber Africa Forum, un événement rassemblant des experts de la cybersécurité africains et internationaux, lundi 7 juin à Abidjan.
Ces dernières années, le numérique a progressé à pas de géant sur le continent. Le meilleur exemple concerne le secteur des services financiers, alors que de nombreux pays africains sont directement passés du cash au paiement mobile. Mais la cybersécurité demeure le parent pauvre de cette transformation. La faiblesse des infrastructures, le manque de compétences et l’absence de sensibilisation des entreprises et des usagers rendent l’Afrique particulièrement vulnérable aux cyberattaques.
« Digitaliser sans protéger, c’est dangereux », a martelé lundi Roger Adom, le ministre ivoirien de l’économie numérique. Pour cet ancien « Monsieur Tech » du groupe Orange en Côte d’Ivoire, les institutions et les entreprises de son pays comme de la sous-région sont face à un « défi majeur ». En dix ans d’existence, a-t-il rappelé, le centre des incidents de Côte d’Ivoire a chiffré le coût de la cybercriminalité pour l’économie du pays à 20 milliards de francs CFA (environ 30,5 millions d’euros).
Le télétravail augmente les risques
A l’échelle du continent, cette perte a été estimée à 3,5 milliards de dollars en 2017 (environ 2,9 milliards d’euros à l’époque) dans une étude publiée par le cabinet panafricain de cybersécurité Serianu. Un préjudice important qui inquiète de plus en plus les décideurs politiques et les dirigeants du secteur privé. Car les organisations cybercriminelles n’ont plus grand-chose à voir avec l’image archaïque des « brouteurs » ivoiriens et des « Yahoo boys » nigérians des années 2000, auteurs d’arnaques (au sentiment) et de petits rançonnages sur la Toile. Aujourd’hui, les attaques sont le fait d’individus rôdés et d’entités organisées.
En septembre 2020, l’éditeur de logiciels de cybersécurité Kaspersky indiquait que l’Afrique avait été la cible de 28 millions de cyberattaques entre janvier et août 2020. La pandémie de Covid-19 a démultiplié les risques. Dans une étude réalisée auprès de 211 grandes entreprises basées dans onze pays d’Afrique francophoneet dévoilée lundi, le cabinet de conseil Deloitte révèle que 40 % d’entre elles ont connu « une augmentation du nombre d’incidents » depuis 2020. En cause, la « surface d’attaque encore plus importante », conséquence du télétravail, auquel 92 % des entreprises interrogées indiquent avoir eu recours de manière partielle ou totale depuis le début de la crise sanitaire.
Si tous les secteurs d’activité sont visés, « les cyberattaques se concentrent essentiellement sur le secteur financier et les secteurs d’importance vitale ou critique, comme ceux de l’eau, de l’énergie et des télécommunications », car ceux-ci sont davantage interconnectés qu’auparavant, précise Dhia Hachicha, directeur chez Deloitte et corédacteur de l’étude. Et cela risque d’aller crescendo, rappelle-t-il, à mesure que les réseaux énergétiques passent au « smart grid », un modèle numérisant la distribution d’électricité.
La multiplication et la sophistication des attaques nécessitent le développement d’une culture de la cybersécurité. Or selon l’étude de Deloitte, les deux tiers des entreprises africaines interrogées consacrent moins de 200 000 euros par an à ce sujet. Des budgets faibles et dont l’essentiel est alloué aux infrastructures, sans réel investissement dans le domaine crucial de « la sécurisation des données », indique Dhia Hachicha. « Le niveau de cybersécurité sur le continent s’améliore, concède-t-il, mais pas au même rythme qu’ailleurs dans le monde. » Selon lui, le niveau de maturité en matière de cybersécurité est « plus important » en Afrique anglophone, en raison d’« une connectivité plus ancienne et plus déployée ».
« Convertir et recruter les brouteurs »
Du côté des autorités, la prise en compte du risque numérique avance lentement. A l’échelle nationale, la plupart des Etats ont adopté un arsenal juridique pour régir le cyberespace et sévir contre la criminalité. Mais les initiatives continentales sont déjà anciennes et peu suivies d’effet. Adoptée en 2014, la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel – appelée « convention de Malabo » – « n’a été signée que par 18 pays et ratifiée par huit », soupire Adnane Ben Halima, vice-président chargé des relations publiques de l’entreprise de télécoms Huawei Northern Africa.
L’enjeu est aussi la formation de nouvelles compétences dans ce domaine. Car le capital humain manque, notamment en Afrique francophone, où le marché est contraint d’aller recruter à l’étranger, à prix d’or. Provocateur, Charles Kié, cofondateur de la société d’investissement New African Capital Partners et fin connaisseur de la problématique, a suggéré de « convertir et recruter les brouteurs », à l’instar de ce qu’ont fait « les Etats-Unis et la Russie ». A ce jour, les initiatives de formation, notamment à Dakar, pataugent, et les universités n’ont pas encore intégré les besoins en compétences cybernétiques dans leur cursus.
En réunissant des personnalités des secteurs public et privé autour des enjeux de la cybersécurité, Franck Kié, le commissaire général du Cyber Africa Forum, espère qu’« une vision globale peut naître de cet écosystème ». Et pour convaincre les plus réticents à s’y intéresser, le jeune homme rappelle qui si la cybercriminalité a un coût, elle offre aussi des opportunités : selon l’organisation Africa Cyber Security Market, le marché africain de la cybersécurité ne cesse de se développer et serait passé de 1,33 à plus de 2,32 milliards d’euros entre 2017 et 2020.
Source : Le Monde Afrique/Mis en ligne : Lhi-Tshiess Makaya-Exaucée