Comment les États africains peuvent-ils améliorer leur cybersécurité ?

La pandémie de COVID-19 a accéléré la numérisation dans le monde entier, mais comme la vie s’est déplacée de plus en plus en ligne, les cybercriminels ont exploité l’occasion pour attaquer les infrastructures numériques vitales. Les États d’Afrique, où la capacité numérique reste à la traîne par rapport au reste du monde, sont devenus une cible privilégiée des cybercriminels, avec des conséquences coûteuses. Début octobre 2020, les secteurs des télécommunications et de la banque en Ouganda ont été plongés dans la crise en raison d’un piratage majeur qui a compromis le réseau d’argent mobile du pays, dont l’utilisation a considérablement augmenté pendant la pandémie. On estime qu’au moins 3,2 millions de dollars ont été volés lors de cet incident, au cours duquel les pirates ont utilisé environ 2 000 cartes SIM mobiles pour accéder au système de paiement par argent mobile. En juin, le deuxième plus grand opérateur hospitalier d’Afrique du Sud a été victime d’une cyberattaque en pleine épidémie de COVID-19, paralysant ce prestataire de soins privé de 6 500 lits et l’obligeant à passer à des systèmes de secours manuels.  

Face à la multiplication des attaques, des institutions telles que la Banque centrale du Nigeria et les organisations nationales de cyber-réaction en Tunisie, en Côte d’Ivoire, au Maroc et au Kenya ont tiré la sonnette d’alarme auprès des entreprises et des citoyens, les exhortant à améliorer les mesures de sécurité. Mais les États africains ne disposent toujours pas d’une stratégie publique spécifique en matière de cybersécurité. Par conséquent, les initiatives de cybersécurité liées à COVID-19 ont été principalement menées par le secteur privé, notamment les fédérations professionnelles et sectorielles. Ces initiatives sont rarement suffisantes, car la plupart des entreprises ont du mal à faire face à l’impact commercial de la pandémie sur leurs activités quotidiennes.

Pour remédier à ces vulnérabilités dans le contexte de l’intensification des cyberattaques, il faut un engagement coordonné et déterminé en faveur de la cybersécurité, à un moment où les gouvernements et les organisations sont déjà mis à rude épreuve par les conséquences sanitaires et économiques de la pandémie de COVID-19. Les États africains et les organismes régionaux ont pris des mesures initiales pour mettre en œuvre une stratégie à l’échelle du continent visant à améliorer la cyber-résilience, mais les vulnérabilités exposées par la pandémie de COVID-19 exigent que ces efforts soient accélérés par la mise en place de mécanismes institutionnels et de coordination pour mieux atténuer les menaces de cybersécurité.

Outils politiques pour les gouvernements africains

Afin de renforcer la cybersécurité, les gouvernements africains peuvent prendre un certain nombre de mesures pour améliorer leur capacité à prévenir et à répondre aux vulnérabilités en matière de cybersécurité. Tout d’abord, il est essentiel que les responsables politiques définissent une politique et une stratégie de cybersécurité à moyen et long terme afin d’intégrer la cybersécurité dans les initiatives gouvernementales et de préciser les ressources nécessaires à leur réalisation. Il faut pour cela créer des autorités ou des agences nationales dotées de ressources financières suffisantes pour mettre en œuvre la stratégie et renforcer la cyber-résilience du pays. En outre, les gouvernements doivent promouvoir une culture sociétale responsable en matière de cybersécurité afin de renforcer la confiance des citoyens et des organisations dans la cyberéconomie, les services numériques et l’internet au sens large. Les États doivent mettre en place des programmes de sensibilisation et de formation à la cybersécurité pour les secteurs public, privé, universitaire et la société civile afin de les doter des compétences et des connaissances nécessaires pour répondre aux risques de cybersécurité. Les gouvernements doivent également mettre en place les cadres juridiques indispensables pour réglementer l’utilisation du cyberespace et sanctionner les cybercrimes.

Heureusement, les gouvernements de la région ont pris des mesures prometteuses sur ces questions. L’Union africaine, dans le cadre de son « Agenda 2063 » pour la transformation de l’Afrique, a identifié la cybersécurité comme une priorité essentielle pour s’assurer que les technologies émergentes sont utilisées au profit des individus, des institutions et des États-nations africains et pour garantir la protection des données et la sécurité en ligne. Ce projet est guidé par la Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles (Convention de Malabo), qui a été rédigée en 2011 mais n’a été adoptée qu’en juin 2014. L’objectif de la convention est d’établir un « cadre crédible pour la cybersécurité en Afrique à travers l’organisation des transactions électroniques, la protection des données personnelles, la promotion de la cybersécurité, la gouvernance électronique et la lutte contre la cybercriminalité. » Mais en juin 2020, la convention n’a été ratifiée que par 8 des 55 membres de l’UA (Angola, Ghana, Guinée, Maurice, Mozambique, Namibie, Rwanda et Sénégal), tandis que 14 pays l’ont signée mais pas ratifiée. Le groupe d’experts en cybersécurité de l’UA, formé en 2018, doit assurer le leadership et la dynamique pour la ratification et le déploiement de la convention. Il est urgent de progresser sur cette question: L’indice mondial de cybersécurité de l’Union internationale des télécommunications évalue dans son rapport 2018 que les pays africains sont les moins engagés au monde en matière de cybersécurité.

Pour améliorer la résilience, les États africains doivent définir de toute urgence des plans d’intervention à déployer en cas d’attaque majeure de leurs infrastructures critiques. Ces plans doivent décrire les mesures immédiates qui seront prises à l’échelle nationale, ainsi que les solutions de repli numérique, afin de garantir que le gouvernement et les organisations seront toujours en mesure de fonctionner même en cas de perte soudaine des outils et des réseaux numériques. Les parties prenantes nationales et régionales devraient être impliquées dans le plan de réponse, et les niveaux de maturité et de capacité de la nation en matière de cybersécurité devraient être pris en compte, afin d’adapter la réponse au contexte local et aux ressources financières, humaines et technologiques disponibles. Cette réponse dépendante du contexte est particulièrement importante, car l’Afrique abrite de nombreux pays à faible revenu et manque de spécialistes de la cybersécurité ayant les compétences requises pour aider à mener des réponses rapides et adéquates aux cyberattaques. La cybercriminalité ne connaissant pas de frontières, la collaboration et la coordination internationales et entre les parties prenantes, ainsi que la coopération entre les responsables des secteurs public et privé, revêtiront ici une grande importance.

Les plans nationaux de cyber-réaction peuvent être renforcés par la mise en place d’équipes d’intervention en cas d’urgence cybernétique (CERT) régionales et nationales bien dotées en ressources et pleinement fonctionnelles dans toute l’Afrique. Début 2019, seuls treize pays africains avaient mis en place de telles organisations. Des exercices réguliers doivent être réalisés pour évaluer les plans et les améliorer, par exemple en participant aux cyber-exercices nationaux ou régionaux menés par l’Union internationale des télécommunications (UIT).

Le renforcement des capacités en matière de cybersécurité (CCB) permet aux pays d’améliorer leur économie numérique et de renforcer leur résilience face aux cybermenaces. De nombreuses initiatives mondiales de renforcement des capacités en matière de cybersécurité sont déjà en cours dans les institutions et les États africains. Il s’agit notamment du Centre mondial des capacités en matière de cybersécurité (GCSCC) et de son modèle de maturité des capacités en matière de cybersécurité (CMM) dans le cadre du Commonwealth Cyber Program, du Forum mondial sur la cyber-expertise (GFCE) et de l’Union internationale des télécommunications et de son GCI (Global Cybersecurity Index), pour n’en citer que quelques-uns. Ces initiatives encouragent la coopération internationale, qui est essentielle à la cybersécurité mondiale et nationale. Elles constituent également un point de référence pour les gouvernements qui élaborent leurs politiques et stratégies nationales en matière de cybersécurité. Il existe plusieurs cadres pour les initiatives de renforcement des capacités, le modèle de maturité des capacités en matière de cybersécurité (CMM) du GCSCC étant le plus complet. Ce modèle suggère que les cinq dimensions suivantes sont essentielles au renforcement des capacités d’un pays en matière de cybersécurité : politique et stratégie, culture et société, éducation et formation, législation et coopération, normes et technologies. Le renforcement des capacités est un objectif à long terme qui doit être bien planifié, doté de ressources adéquates et régulièrement contrôlé afin d’être réalisé avec efficacité. Une plus grande capacité des États permet une meilleure mise en œuvre des politiques et de la cybersécurité.

Des progrès notables ont été réalisés pour améliorer la position des pays africains en matière de cybersécurité. L’île Maurice est souvent citée comme une référence sur le continent en termes de cybercapacité, en raison de son infrastructure juridique et technique, de son agence nationale de cybersécurité (CERT-MU), de ses initiatives nationales de formation et de sensibilisation, et de l’implication des acteurs publics et privés dans ces efforts. Maurice se classe au premier rang des pays africains et au 14e rang mondial, dans le dernier rapport de l’indice mondial de cybersécurité (ICG) de l’UIT de 2018. Elle a mis en place un comité national de cybersécurité et de cybercriminalité en cas de catastrophe qui comprend les secteurs public et privé et facilite le suivi, le contrôle et la transmission des décisions en cas de cybercrise. Maurice est l’un des huit pays africains à avoir ratifié la Malabo, avec laquelle leur loi sur l’utilisation abusive des ordinateurs et la cybercriminalité est alignée, ainsi que la convention de Budapest sur la cybercriminalité. L’île Maurice a créé un portail centralisé pour signaler les cyberincidents et un centre d’opérations de sécurité pour détecter et surveiller le trafic malveillant en temps réel afin d’améliorer la préparation du pays aux cybermenaces.           

Les États africains, les institutions et la société civile doivent non seulement démontrer leur engagement en faveur de la cybersécurité, mais aussi travailler en étroite collaboration et en partenariat pour atteindre l’objectif commun de protéger les citoyens, les entreprises et les organisations à l’ère numérique. Cela sera impératif pour prévenir des cyberattaques plus dommageables, qui, dans la foulée de la pandémie de COVID-19, pourraient avoir des effets dévastateurs.

La rédaction CIberObs