Au coeur de l’urgence cyber en Afrique

Le 13 avril 2021, le directeur général de l’Observatoire guinéen de la cybersécurité, Nouhan Traoré mentionne l’urgence d’une stratégie de cybersécurité : « cela devient une affaire nationale ». À l’image de la Guinée, l’adoption de stratégies nationales de cybersécurité se multiplie et devient une priorité au sein des gouvernances. De nouvelles évolutions marquantes émergent, soldées par une prise de conscience accélérée des entreprises et des gouvernements.

Par Catherine Convert

L’urgence cyber

Avec seulement 20% des pays africains ayant établi un cadre légal contre la cybercriminalité, cette dernière représente pas moins de 2,5 milliards de dollars en 2020. 85% des institutions financières admettent avoir été touchées, suivies des gouvernements et des sites e-commerce. Selon le baromètre de la cybersécurité en Afrique du Club d’Expert de la Sécurité de l’Information en Afrique (CESIA), les entreprises semblent prendre le problème à bras-le-corps. Parmi les 18 pays africains interrogés, 70% des entreprises indiquent être conscientes des risques cyber et établissent des programmes de cyber-résilience. Une urgence lorsque 82% d’entre elles indiquent avoir subi au moins 3 attaques en 2020 (phishing, tentatives de connexions et ingénierie sociale)¹. La récente attaque par le nouveau groupe APT (Advanced Persistant Threat) BackdoorDiplomacy découvert par ESET, prouve une nouvelle fois que le continent est marqué par des campagnes d’espionnage : « le groupe utilise des vulnérabilités pour cibler des organisations diplomatiques et déployer l’espionnage. Des liens ou des documents contenants des macros dans des notes additionnelles sont envoyés aux personnes travaillant dans ces structures. Les logiciels peuvent détecter les supports amovibles afin d’en extraire les fichiers et les infecter à leur tour » précise Jean-Ian Boutin, chercheur en logiciels malveillants au sein du programme de Renseignement de sécurité. Le groupe Lazarus exploite lui aussi des portes dérobées au sein de certaines infrastructures critiques en Afrique. Le siège de l’Union africaine avait déjà été victime d’espionnage par Pékin, dont les serveurs étaient partagés en permanence depuis 2012 jusqu’en 2018.

Des stratégies structurantes

Une grande partie des fuites de données est due à des failles humaines. « Nous intervenons dans une banque qui a acquis énormément d’équipements, avec près d’un demi million d’euros investi pour sécuriser l’environnement, mais sans découler d’une stratégie. Ces investissements, réalisés en réaction à une cyberattaque, deviendront caduques à la suivante » témoigne Hervé Bah, senior manager IT et Cyber Risk Advisory chez Deloitte Côte d’Ivoire. À l’heure actuelle, seulement 47% des entreprises disposent d’une stratégie de cybersécurité². Pour autant, à l’échelle de l’Afrique, 35% des investissements relatifs à la cybersécurité concernent la sécurité de l’infrastructure contre 14% dans le monde mais seulement 5% des investissements sont dédiés à la protection des données. Didier Simba, fondateur du CESIA et RSSI au sein du groupe BPCE, ajoute : « Sur Telegram, nous retrouvons une masse importante d’informations mises en vente, qui ont fuité des différentes structures et institutions. Si les données provenant de Russie, des États-Unis ou d’Europe coûtent cher – autour de 600 000 dollars – les données des gouvernements africains sont dépréciées et s’élèvent à 100 000 dollars ».

Face à ce problème, le Togo a créé dès 2019 l’Agence togolaise de cybersécurité grâce à une coopération public-privé entre le groupe Asseco et le ministère de l’Économie numérique. La stratégie du Ministère de la communication, des Télécommunications et de l’Économie numérique du Sénégal datant de 2017 mise sur 2022 pour atteindre cinq objectifs stratégiques, incluant le renforcement de la protection des infrastructures d’informations critiques et les systèmes d’information de l’État, la promotion d’une culture de la cybersécurité et une plus grande participation aux efforts régionaux et internationaux de cybersécurité³. La Côte d’Ivoire a elle aussi établi une stratégie nationale en matière de cybersécurité dès 2015 portée par l’Agence de Régulation des Télécommunications et TIC qui travaille sur la sécurité des SI, le développement des transactions électroniques et la mise en place d’une plateforme de lutte contre la cybercriminalité en partenariat avec la police nationale⁴.

Une professionnalisation progressive des cybercriminels

« La cybercriminalité en Afrique atteint une sophistication inédite avec le développement des ransomware et l’exploitation de backdoor dans les institutions bancaires. » témoigne Franck Kié, fondateur du premier observatoire africain sur la cybersécurité Ciberobs

« À terme, nous pourrions être confrontés à des attaques sur les cartes prépayées qui peuvent contribuer au financement du terrorisme » ajoute Hervé Bah. Ces dernières avaient en effet contribuées en 2015 au financement de l’attentat du 13 novembre en France.

Clément Domingo, alias SaxX, hacker éthique, alerte lui aussi sur l’« urgence cyber. Dans les prochaines années les cyberattaques en Afrique vont se décupler. Le continent devient un véritable eldorado de technologies et de fintech ». SaxX explique avoir réussi à accéder en seulement 30 minutes grâce à un moteur de recherche dédié au IoT aux caméras de surveillance d’une banque, ayant été installées avec les réglages par défaut. « De nombreux budgets sont alLoués, notamment par l’AFD, mais si la majeure partie est fléchée vers les équipements de sécurité, une fois sur place, peu de personnes peuvent les configurer convenablement et les paramétrer selon des critères de sécurité exigeants » complète Clément Domingo.

Intensifier les coopérations multilatérales

La convention de Malabo et la Convention de Budapest, accords essentiels pour la coopération internationale en matière de lutte contre la cybercriminalité, ne rassemblent pour autant pas suffisamment de ratifications sur le continent. Seuls 13 pays sur 55 ont signé la Convention de Malabo, avec seulement deux ratifications – le Sénégal en 2016 et l’Ile Maurice en 2018. Le Bénin a soumis le texte à l’Assemblée Nationale et devrait trancher d’ici fin 2021- début 2022. Ce dernier signe par ailleurs des Memorandums of Understanding avec le Burkina Faso et la Tunisie sur le partage de données et d’informations. Il coopère également avec l’ANSSI française, la Côté d’Ivoire et le Togo. Le projet OCWAR-C (Organised Crime: West African response to Cybersecurity and fight against Cybercrime) renforce, de son côté, la coopération entre l’Union européenne et la CEDEAO (Communauté Économique des États de l’Afrique de l’Ouest).

La dynamique béninoise

Avec le Code du Numérique national établissant 600 articles, l’ANSSI du Bénin agit aujourd’hui auprès de la défense et du gouvernement, en plus du secteur privé et des particuliers. « Notre feuille de route permet de couvrir une grande partie des enjeux de cybersécurité nationale tout en étant sereins sur les questions de budget ». Une stratégie qui mise avant tout sur les ressources humaines avec le Hackerlab organisé par témoigne Ouanilo Medegan Fagla, directeur général de l’ANSSI du Bénin, qui permet de révéler les meilleurs talents qui seront embauchés par l’ANSSI.

La République du Bénin est également dotée d’une équipe nationale de réponse aux incidents de sécurité informatique (bjCSIRT). En cas d’incident, elle jouit d’une pleine autorité lors de ses interventions sur la sécurité et coopère activement avec les autres acteurs de la sécurité numérique comme la Police Républicaine dans la lutte contre la cybercriminalité et l’Office Central de Répression de la Cybercriminalité (OCRC). L’ANSSI cherche également à redéfinir un cadre plus favorable aux jeunes : « nous développons des compétences avec la création de masters cybersécurité et sensibilisons dès le collège avec des ateliers interactifs. Nous avons également mis en place un référentiel d’exigences applicables à la qualification de services informatiques, de sorte que si un État cherche à vendre au Bénin un service de conseil ou de cybersécurité, il sera tenu d’intégrer au moins 30% de Béninois dans ses effectifs, afin d’éviter toute fuite de compétences ».

Un attrait pour la coopération internationale venant compléter les stratégies évolutives en matière de cybersécurité : « toutes nos initiatives s’inscrivent dans une période de trois ans pour nous donner le temps d’identifier les faiblesses et nous réorienter fin 2022 pour gagner en efficacité » ajoute le directeur général.

« Nous avons tendance à beaucoup trop attendre de nos partenaires. Il faut avant tout avoir de la volonté au plus haut niveau et se lancer. De nombreux CERT nationaux attendent un budget alors que le Bénin s’est lancé avec de la récupération et deux personnes » appuie Ouanilo Medegan Fagla. Clément Domingo veut, quant à lui, mettre en garde : « le monde s’est familiarisé avec la notion d’urgence écologique. Je pense qu’en Afrique la notion d’urgence cyber va émerger. À titre de comparaison, nous pouvons voir notre planète disparaître à cause de l’écologie, et ce sont des systèmes économiques et politiques entiers qui peuvent être mis à genou par le cyber ».