in

Cybersécurité : comment l’Afrique essaie de se défendre

Responsable sécurité

De plus en plus connectée à Internet, donc sujette aux cybermenaces, l’Afrique est en quête de la meilleure approche pour protéger ses internautes, et ce n’est pas simple.

L’Afrique est sur la voie de la connexion au cyberespace. Pour preuve, le taux d’accès à Internet de la population a doublé en quelques années, pour atteindre 23,4 % en 2015 (LiveStats). Bien que situant le continent loin derrière l’Europe ou l’Asie, ce chiffre montre une constante progression de la connectivité de la population africaine à Internet. Celle-ci va malheureusement de pair avec la multiplication des cybermenaces, une délinquance 2.0 que les pays concernés tentent d’éradiquer, le plus souvent à coup de lois et de CERT – Computer Emergency Response Team –, des centres d’alerte créés pour prévenir les cyberattaques.

})(jQuery);

Combien coûtent les cybercrimes. © Data Group Connect, McAfee, Deloitte

Quelle approche avoir ?

Très réactif sur le sujet depuis une dizaine d’années, le Maroc a par exemple mis en place une stratégie nationale de lutte contre la cybercriminalité en multipliant les structures dédiées. En Afrique de l’Ouest, le Sénégal a créé un Centre national de la cybersécurité (Cnc), ainsi qu’un laboratoire, qui dépend de la police nationale.

Comment s’organisent les pays d’Afrique de l’Ouest face aux cyberattaques

Lois contre les cybercrimes
CERT/CIRT/CSIRT
Source : Éléments français au Sénégal

 

Sur l’engouement des pays à créer des institutions nationales, l’avocat Patrick Amouzou est partagé. « La cybercriminalité transcende les frontières et les régions. Apporter des réponses pays par pays sera vain. Il faut des solutions régionales », explique-t-il. En effet, à une coopération ouest-africaine, les pays de la Cedeao préfèrent d’autres organisations ou d’autres pays comme la France. Après le Maroc et le Gabon, l’Agence nationale de la sécurité des systèmes d’informations (ANSSI), une institution française dépendant du Premier ministre, a, par exemple, établi un partenariat avec l’Agence de l’informatique de l’État (ADIE) du Sénégal en 2016.

Les logos des cyberhacktivistes « Anonymous Africa », « Anonymous Côte d’Ivoire », et « Anonymous Sénégal » © Facebook, Twitter

L’Union africaine s’en est mêlée mais…

Le continent a pourtant bien tenté d’harmoniser sa défense. Le 27 juin 2014, l’Union africaine a signé sa « Convention sur la cybersécurité et la protection des données à caractère personnel ». Elle prévoit que « chaque État partie s’engage à adopter des mesures législatives et/ou réglementaires pour identifier les secteurs considérés comme sensibles pour sa sécurité nationale et le bien-être de l’économie ». Une initiative à saluer, mais qui n’a satisfait personne. Ni les États membres – aucun ne l’a ratifiée – ni les organisations de défense des droits de l’homme, qui la considèrent trop intrusive. Une fois de plus, les pays africains se tournent vers l’Europe et la Convention de Budapest, établie le 8 novembre 2001 par le Conseil de l’Europe, et ratifiée par 55 pays en juillet 2017. En 2016, le Sénégal en est devenu État partie, après le Maroc et l’île Maurice.

L’échec de la Convention de l’UA – ou Convention de Malabo – illustre bien le peu d’appétence des pays africains pour des coopérations transnationales. Pour Patrick Amouzou, la raison est claire : « Les États ont peur de perdre de leur souveraineté ». « En dehors des surveillances et des écoutes, les moyens de lutte contre la cybercriminalité n’octroient pas aux États beaucoup davantage d’autorité », précise-t-il. Une coopération régionale laisse entendre une perte d’influence pour les États, et cela est dur à accepter pour la plupart d’entre eux. Mais pour une telle tâche qu’est la lutte contre les cyberattaques, la solution doit être globale. Les réactions africaines actuelles sont comparables au malade atteint de septicémie qui mettrait un pansement sur sa plaie. »

Une loi, et puis après ?

À défaut de coopération transnationale, les pays concernés par les cyberattaques, en premier lieu le Nigeria et la Côte d’Ivoire, ont avant tout opté pour le cadre judiciaire, à savoir la rédaction d’une loi. Mais cette approche est-elle la mieux adaptée ? « Faire une loi ne suffit pas », répond Patrick Amouzou, avocat associé chez Hoche Société d’Avocats, spécialiste de l’informatique et des nouvelles technologies. « La lutte contre la cybercriminalité est une problématique à 360 °. Or, une loi ne règle que deux aspects d’un tel phénomène : l’accès aux données et les conditions dans lesquelles elles sont transmises. »

Indipensable dans la lutte contre les cybermenaces, la loi n’est pourtant que la première pierre d’une stratégie anti-attaques. « Elle doit être complétée par des projets », précise Patrick Amouzou. « Les États africains doivent créer des outils qui leur permettent de combattre réellement les cyberhacktivistes, comme l’apprentissage du code. La sécurité informatique n’est composée que d’algorithmes. Les États africains doivent pouvoir former des ingénieurs informaticiens sur place, et leur permettre d’acquérir des compétences en mathématiques. Ce potentiel d’informaticiens africains représente un vrai marché. » Si les États africains allaient dans ce sens, cela pourrait permettre d’avoir moins d’inquiétude quant aux cybermenaces.