SÉCURITÉ DES INFRASTRUCTURES CRITIQUES ET DES SERVICES ESSENTIELS

11 octobre 2022

I-INTRODUCTION

De Soweto au Caire en passant par Douala , plus personne n’est épargné.

Selon l’éditeur mondial de logiciels de cybersécurité Kaspersky , l’Afrique a été la cible de 28 millions d’attaques entre Janvier et Août 2020. 

La sous région ouest africaine, n’est pas une exception et ce ne sont pas les “Yahoo Boys” qui diront le contraire. 

Sur cette partie du globe,  les vulnérabilités sont légions. Selon une étude menée par Jighi Inc en 2017, près de 80% des entreprises et institutions de certains pays de la sous-région ne possédaient pas de systèmes de remontée et de traitement d’ alertes de sécurité. La situation de crise sanitaire vécue ces deux dernières années, a rendu visible la récurrence des cyberattaques à destination des secteurs clés de l’économie allant de l’ingénierie sociale au ransomware. 

De plus, plusieurs insuffisances sont à noter dont les plus flagrantes concernent la méconnaissance des bonnes pratiques de sécurité des Systèmes d’Information(SI) et  l’absence d’investissements considérables pour la sécurisation des SI. Toute chose égale par ailleurs, ces faiblesses soulèvent de nombreuses interrogations sur le niveau de sécurité et de résilience des infrastructures critiques et des services essentiels. 

Ces composants critiques requièrent une analyse de risques plus exhaustive et un niveau de maîtrise de ces risques on ne peut plus satisfaisant. Les citoyens s’en remettent à des institutions et à des services en bon état de fonctionnement pour leur santé, leur sécurité et leur bien-être économique. 

Dans un contexte économique marqué par l’ubérisation des services  (transports, e-commerce, paiement…) et impulsé par l’émergence de start ups (Wave, Cinetpay, Yango, Jumia… ), la haute disponibilité des composants critiques est requise. 

L’interdépendance de ces composants à travers les différents secteurs, entre les domaines virtuel et physique et au-delà des frontières nationales, signifie qu’une attaque serait lourde de conséquences.

À l’heure où certains pays africains ont conçu un schéma directeur pour la création d’autorités nationales de cybersécurité, à l’instar de la Côte-d’Ivoire, plusieurs points d’attention restent à formuler. 

Quel niveau de priorité ces États devraient-ils accorder à la protection des infrastructures critiques et services essentiels ? 

Sur quelle base, ces composants critiques seraient-ils potentiellement identifiés ? 

Quelle méthode serait-elle adoptée pour identifier les risques et réduire les impacts potentiels que pourraient provoquer ces composants sur la Nation ? 

II-DEFINITIONS

Yahoo Boys : jeunes amateurs cyber criminels opérant en Afrique de l’ouest. 

Composants critiques : ce terme est utilisé pour désigner à la fois infrastructures critiques et services essentiels. 

Service essentiel : un service essentiel est un service dont l’altération partielle ou totale aurait un impact grave sur le fonctionnement de l’État, de la sûreté, de la sécurité et de la vie des populations. Tout service essentiel repose sur une ou plusieurs infrastructures critiques.

Infrastructure critique : une infrastructure critique est une infrastructure pour laquelle l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation.

Uberisation : remise en cause d’un modèle économique existant par un nouvel acteur proposant le même service à des prix moindres effectués par des indépendants au lieu de salariés via une plate-forme de réservation en ligne. 

Ingénierie sociale : technique de manipulation utilisée par les Cybercriminels pour inciter les gens à partager des informations confidentielles. 

Ransomware : logiciel rançonneur qui prend en otage des données personnelles. 

Opérateur d’infrastructure critique : opérateur public ou privé qui opère une infrastructure critique ;

Opérateur de service essentiel : opérateur public ou privé qui fournit un service essentiel 

UEMOA : Union Economique Monétaire Ouest Africain.

L’appétence aux risques : L’ appétence au risque consiste en un niveau d’ acceptation ou souhaité de risque pour atteindre un ou plusieurs objectifs financiers.

Convention de Malabo : la Convention de Malabo porte adoption d’un cadre juridique sur la cyber sécurité et la protection des données à caractère personnel prend en charge les engagements actuels des États membres de l’Union Africaine aux plans sous régional, régional et international en vue de l’édification de la Société de l’Information. Ladite convention a été adoptée par la session ordinaire de la Conférence de l’Union à Malabo, le 27 juin 2014.

Convention de Budapest : Convention sur la cybercriminalité est le premier traité international qui tente d’aborder les crimes informatiques et les crimes dans Internet y compris la pornographie infantile, l’atteinte au droit d’auteur et le discours de haine en harmonisant certaines lois nationales, en améliorant les techniques d’enquêtes et en augmentant la coopération entre les nations. Elle a été signée par le Canada, le Japon et l’Afrique du Sud le 23 Novembre 2001, à Budapest.

III-CADRE DE PROTECTION DES INFRASTRUCTURES CRITIQUES ET SERVICES ESSENTIELS

Propositions de solutions pour pallier la fragilité du cadre réglementaire ouest africain 

Selon une étude menée par Symantec en 2016, sur un échantillon de 12 pays, le Maghreb semblait être en avance sur l’ensemble des pays de l’UEMOA au sujet de la sécurité des données.

De plus, 14 des 55 pays africains ont signé la convention de Malabo de 2014 portant sur la protection des données à caractère personnel. 4 des 14 signataires dudit accord sont issus de l’Afrique de L’ouest. 

Par ailleurs, la convention de Budapest (2004) a quant à elle connu moins de succès… 

Ces constats mettent en évidence la fragilité du cadre réglementaire en matière de sécurité des SI en général.

Le cadre réglementaire pour la protection des composants critiques devrait être pensé par l’instance sous-régionale et décliné au sein des pays qui la composent. 

Malgré l’hétérogénéité des niveaux de maturité des Systèmes d’Information (SI) de la sous-région, les règles applicables à la sécurité et la résilience des infrastructures critiques , et services essentiels devraient s’adresser aux secteurs critiques notamment ; la défense, les télécommunications , la finance …. Ces domaines, soumis aux diktats du numérique méritent une attention particulière.

 Très concrètement, des règlements et directives émanant de la CEDEAO autour de la sécurité des SI des secteurs critiques devraient être fixés. Ensuite, chaque État devrait dans un souci d’harmonisation, s’approprier et mettre en œuvre ces politiques intergouvernementales.

Enfin, l’instance sous-régionale de bon aloi avec les autorités gouvernementales de chaque Etat , devra veiller à l’application de cette réglementation par le biais des rapports d’audit , des restitutions des évaluations d’indicateurs SI sur une fréquence régulière bien définie. 

Ces mesures permettront d’outrepasser les disparités existantes et déboucheront sur l’existence d’un cadre réglementaire homogène et solide en matière de sécurité et de résilience des infrastructures critiques et services essentiels.. 

Définition d’un cadre de protection des composants critiques au niveau de chaque Etat

La déclinaison du dispositif réglementaire susmentionné devra également s’étendre aux secteurs transverses où l’on retrouve éventuellement des services essentiels (fintech , e commerce ….).

La définition d’un cadre de protection des composants critiques reste un préalable.

La liste ci-dessous (non-exhaustive) est un ensemble d’actions que chaque Etat devra mettre en œuvre:  

  • Inclure dans sa stratégie nationale de cybersécurité , une politique de protection des infrastructures critiques et des services essentiels;
  • Définir les critères d’identification d’infrastructures critiques et de services essentiels; 
  • Définir les critères d’identification des opérateurs d’infrastructures critiques et de services essentiels;
  • Dresser un inventaire des infrastructures critiques et des services essentiels; 
  • Définir les mesures de sécurité applicables à ces composants;
  • Veiller à la mise en oeuvre de ces mesures; 
  • Etablir un plan de continuité d’activité (incluant la gestion de crise ) pour assurer un maintien des activités opérationnelles en cas d’arrêt partiel ou total d’un composant critique;
  • Définir un plan d’actions pour la sécurité et la résilience des infrastructures critiques et des services essentiels hébergés à l’étranger en parfaite collaboration avec les responsables des composants concernés.

IV-IDENTIFICATION DES INFRASTRUCTURES CRITIQUES ET SERVICES ESSENTIELS (liste non exhaustive) 

Perçue comme la cheville ouvrière de la Sécurisation des Systèmes D’Informations (SSI),  l’exhaustivité des composants critiques doit être la priorité de toute organisation encline à fournir des services de haute disponibilité aux usagers.

Ciberobs, vivier de professionnels et d’experts de la Cybersécurité en Afrique a identifié une liste formelle des secteurs critiques et adaptée à la plupart des Etats Africains. 

Ladite liste ci-dessous tire son origine de la déclinaison de la politique régionale de protection des infrastructures critiques de la Communication des Etats de L’Afrique de l’Ouest (CEDEAO).

Outre les secteurs participant traditionnellement à la vie des populations , de nouveaux acteurs transverses et ubérisés sont  en lice : les start ups. 

Les startups africaines de la fintech à titre illustratif, devenues indispensables aux développements et à la survie des organisations sont les nouvelles attractions des investisseurs dans des régions très peu bancarisées. Selon un rapport de Disrupt Africa, le continent a enregistré des investissements de 160,319 millions USD en 2020,soit une croissance de plus de 49% par rapport à 2019. De plus, le nombre de  bénéficiaires est passé de 77 en 2019 à 99 en 2020 en pleine période de crise sanitaire.

Cette réalité présage une croissance soutenue du secteur de la fintech en Afrique suscitant  un grand intérêt de la part des opérateurs des marchés financiers. Les plus éclairés et les rétors y voient l’équivalent des “Trentes glorieuses” du digital.

Liste des secteurs et infrastructures critiques selon la CEDEAO

Secteurs Infrastructures et services
1. Activités de l’État Sécurité publique – Sécurité intérieure – Services judiciaires – Défense nationale – Finances publiques – Parlement – Processus électoraux – Administration électronique, notamment certains services publics en ligne 
2. Énergie Production, transport et distribution électrique – Production, transport, raffinage, stockage et distribution de produits pétroliers – Production, transport, traitement, stockage et distribution de gaz – Installations nucléaires 
3. Transport Transport aérien, routier, ferroviaire, maritime et fluvial – Contrôle de circulation aérienne – Gestion de plate-forme aéroportuaire et portuaire (y compris les systèmes de sécurité) – Gestion d’infrastructure routière et ferroviaire 
4. Logistique  Gestion des plateformes logistiques
5. FinancesDistribution de minima sociaux (intervention de sécurité/aides financières/incitations sociales) – Gestion du recouvrement et de la trésorerie des organismes sociaux – Transactions bancaires – Services financiers et compensation de crédit – Infrastructures de marchés financiers-Transfert d’argents  
6. SantéCapacités ou procédures de soins de santé uniques (dans des établissements ou par télémédecine) – Distribution pharmaceutique – Laboratoires de recherche – Bases de données de dossiers médicaux
7. Eau et assainissementProduction, transport, stockage et distribution d’eau potable (par canalisation ou en bouteille) – Systèmes de collecte et de gestion des eaux usées 
8. Communications électroniquesRéseau Internet national et interconnexion à l’Internet régional et mondial (câbles sous-marins et terrestres, points d’atterrage de câbles, points d’échange Internet, etc.) – Gestion de noms de domaine Internet (DNS) – Fourniture d’accès à Internet – Services de télécommunication (téléphonie, etc.) – Data centers y compris les Data centers nationaux
9. Information Stations radio et télévision (incluant la web TV)
10. Alimentation Approvisionnement, stockage et distribution des principales denrées alimentaires 
11. IndustrieIndustries essentielles pour le pays 
12.Divers Infrastructures susceptibles de causer des dommages graves à la population en cas de destruction accidentelle ou malveillante (barrage par exemple

V-GESTIONS DE RISQUES

Il est nécessaire de mettre en place une stratégie des gestion des risques SI en vue de :

  • Identifier les risques liés aux composants critiques;
  • Analyser les impacts des risques encourus par les composants critiques affectant la survie de la Nation: un inventaire des menaces devra être dressé pour chaque risque identifié ex-ante;
  • Traiter ces risques en fonction de l’appétence aux risques des opérateurs d’infrastructure critique et service essentiels ; le traitement du risque peut se faire sous plusieurs formes: l’acceptation, la réduction, le transfert et ou l’élimination de ce risque.

Le traitement des risques devrait tenir compte des aspects suivants :

  • La définition des mesures pour contrer les menaces;
  • L’acceptation des risques résiduels;
  • La mise en œuvre des mesures définies pour protéger les composants critiques des menaces identifiées.

De plus, il serait judicieux de réaliser une cartographie des risques résiduels dont le but est de leur attribuer une cotation en fonction de la Politique SSI(PSSI) définie par chaque organisation.

Cette cotation devrait être revue selon une fréquence bien définie. Un plan d’actions resterait à mettre en oeuvre le cas échéant.

La gestion des risques SI/SSI adaptée à chaque type d’organisation (public, privé) constituerait la pierre angulaire de l’amélioration continue de la sécurité des infrastructures critiques et services essentiels.

En définitive, un niveau de priorité assez élevé devrait être accordé à  la protection des composants critiques eu égard à leur utilité à la survie et au fonctionnement des Etats (Santé, sécurité, sûreté… ). 

Chaque Etat devrait inclure une politique de gestion des risques, dans sa stratégie nationale de cybersécurité. Ladite politique serait déclinée au sein de chaque opérateur d’infrastructures critiques /services essentiels en fonction de son appétence aux risques. La protection des composants critiques en Afrique de l’ouest reste une gageure  dont le succès réside dans la définition claire et précise d’un cadre de protection, de l’inventaire des composants critiques concernés et la mise en œuvre d’une politique des gestion des risques. 

Références bibliographiques

Cybersécurité : l’Afrique sous la menace d’un « chaos numérique »

Les nouvelles « cyberarnaques » africaines

Cyber-sécurité  : en Afrique de l’Ouest, 45% des grandes entreprises restent vulnérables

Cybersécurité : quels défis attendent l’Afrique francophone dans le futur ?

La Fintech en Afrique : un secteur en croissance malgré les disparités

Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel