Face à une explosion de la cyberdélinquance, le continent s'organise pour lutter contre les attaques numériques. Coopération internationale, développement des entreprises du secteur... La cybersécurité est au cœur du développement de l'économie africaine. Stratégies s'est entretenu avec Franck Kié, créateur du salon international Cyber Africa Forum, et fondateur du cabinet spécialisé Ciberobs.
Vous avez cofondé le Cyber Africa Forum, le premier salon dédié à la cybersécurité en Afrique subsaharienne, qui s’est tenu à Abidjan en Côte d’Ivoire. Pourquoi ?
Ce salon répond à trois objectifs. Le premier est un objectif de sensibilisation. Lors de l’ouverture du Forum de Dakar sur la paix et la sécurité en Afrique, qui s’est ouvert le 24 octobre, le président du Sénégal, Macky Sall, l’a redit: la cybersécurité est un des principaux enjeux pour l’économie africaine. Et ce discours, personne ne le tenait il y a quelques années. L’Afrique fait face à une cybercriminalité croissante. Tout le monde a pu en attester il y a quelques jours, encore, lors de l’attaque de l’Autorité de régulation des télécommunications et des postes au Sénégal, qui a fait grand bruit. C’est désormais une problématique et un sujet dont on ne peut pas se passer. Il faut sensibiliser tous les décideurs publics et privés, leur expliquer ce qu’il se passe, les solutions disponibles, et nous devons tous travailler ensemble pour lutter contre la cybercriminalité. Le deuxième objectif du salon consiste à répondre à des enjeux de business et créer des opportunités économiques pour de jeunes entreprises. Le marché de la cybersécurité est évalué à 20 milliards de dollars en Afrique, et nous manquons encore d’offres. Nous devons développer cet écosystème, et créer des réponses. Les entreprises viennent également se mettre à jour sur les dernières technologies. Comment peuvent-elles trouver la meilleure solution à leurs besoins ? Enfin, il y a un enjeu d’advocacy. Créer une plateforme qui fasse avancer les choses, et aboutissent à des mesures concrètes.
Pourquoi ce phénomène prend-il soudainement autant d’importance ?
Il y a une prise de conscience sur le continent face à la multiplication des cyberattaques. La crise du Covid-19 a digitalisé nos comportements, ce qui a renforcé la cybercriminalité. Le conflit en Ukraine nous atteint également, et nous montre que la guerre est hybride et se déplace aussi sur le terrain du numérique. C’est donc un sujet de premier plan pour les organisations et les États. Et nous sommes, comme partout sur la planète, aussi en proie aux fake news. Ce qui nous demande de trouver un équilibre entre la garantie de la liberté d’expression et la modération des contenus diffusés sur les plateformes. Cet équilibre est un gros enjeu dans certains pays.
Lire aussi : RSF crée un laboratoire de cybersécurité pour les journalistes
À quel type de cybercriminalité faites-vous face ?
Elle prend différentes formes. Une cybercriminalité organisée, qui s’attaque à des entreprises, perpétuée parfois en dehors des frontières du pays, mais provenant surtout du continent. Des personnes constituées en mafia, plutôt traditionnelle, et qui se déportent sur le terrain numérique. Elles produisent des attaques aux rançongiciels, des « arnaques au président », qui deviennent de plus en plus sophistiquées, pour toucher les institutions, les organisations financières, l'e-commerce ou les États. Et aussi une cybercriminalité plus éparse, qui cible les particuliers, et qui elle reste sous silence car elle touche des personnes pour des préjudices peu importants, en s’attaquant à leur porte-monnaie numérique. C’est une petite cybercriminalité, très répandue.
Quelle serait la priorité, selon vous ?
Sensibiliser l’humain. Faire de la formation. Dans 90% des cybercrimes, l’élément déterminant n’est pas la complexité technique de l’approche, mais le côté humain qui crée la faille. Vous pouvez avoir les meilleurs systèmes de défense, si vous n’avez pas formé vos équipes, cela ne sert à rien. L’humain est cœur du schéma des attaques que l’on soit un particulier, un gouvernement ou une multinationale.
Y a-t-il des disparités de sensibilisation entre les pays d’Afrique ?
Oui, naturellement. Certains territoires sont plus aguerris. Soit par choix, soit parce qu’ils l’ont subi, comme la Côte d’Ivoire, qui a toujours été un pays connu pour sa cybercriminalité. Mais l’État ivoirien a pris des mesures fortes avec la création d’une plateforme de lutte, qui résout aujourd’hui 50% des crimes. C’est un des taux d’efficacité les plus élevés dans le monde. Le pays a su aussi se doter d’une législation particulière en matière de données personnelles. En revanche, pour d’autres pays, la situation est totalement différente. Au total, seulement 20% ont une législation appropriée, si l’on prend les termes de la convention de Malabo, qui visait à créer un cadre juridique sur la cybersécurité en 2014. Et ce chiffre tombe à 10 ou 15% si l’on prend les termes de la convention de Budapest [convention datant de 2001, mais rejointe récemment par des pays africains]. Mais même en dehors de ces disparités, nous observons partout une prise de conscience sur ces sujets, et une tendance générale vers plus de régulation et de gouvernance. La semaine dernière, encore, la République démocratique du Congo a annoncé la mise en place d’une stratégie nationale, avec la création d’une agence dédiée à la cybersécurité.
Lire aussi : La France inaugure son centre de cybersécurité
L’enjeu demande aussi une coopération internationale, non ?
Oui, c’est d’ailleurs un problème avec les grandes plateformes. Facebook, Twitter, sont des multinationales gigantesques, aussi importantes que des États. Et en cas de cybercrimes, lorsque nous les contactons pour les résoudre, nous n’avons aucune réponse de leur part, aucun contact, comme si elles ne prenaient pas les demandes au sérieux. C’est un vrai sujet pour que ces plateformes coopèrent avec les États africains.
Il y a des initiatives en ce sens ?
Oui, les choses avancent. La France par exemple, ancre une initiative à travers Expertise France, mais nous travaillons aussi au sein de la Communauté économique des États de l'Afrique de l'Ouest pour structurer les réponses internationales en termes de cybersécurité, ou encore travailler sur la sécurisation des infrastructures. Nous développons aussi la formation et la sensibilisation, qui restent, comme je le disais, le point central du sujet.