ENVOYER À UN AMI

Votre nom * Email de ton ami * Commentaire

Entretien avec Emmanuel Cheriet : « Les jeunes Africains ont une carte à jouer dans la cybersécurité »bersécurité

Pour Emmanuel Cheriet, directeur général d’Orange Cyberdéfense pour le Maghreb et l’Afrique de l’Ouest, il devient urgent que les Etats africains investissent dans la sécurité informatique autant qu’ils le font dans la connectivité. D’autant plus que le déficit mondial en compétentes dans ce domaine offre de grandes opportunités aux jeunes Africains.

We Are Tech : Quelle appréciation faites-vous du niveau actuel de préparation de l’Afrique en matière de cybersécurité ?

Emmanuel Cheriet : C’est assez disparate en fonction des pays et aussi en fonction des entreprises. Ça va dépendre de la maturité de chacun, à la fois la maturité des pays en matière de protection cyber mais aussi la maturité des entreprises. Une grande entreprise qui a un chiffre d’affaires conséquent et une position dominante sur son marché va en général réaliser plus d’investissements en matière de protection et aura déjà une politique de sécurité, aura des infrastructures et des ressources compétentes, comparée à une PME qui a moins de moyens pour se protéger.

De ce fait il y a une disparité en termes de préparation en matière de cybersécurité. C’est également le cas au niveau des pays. Il y en a qui ont déjà lancé des stratégies de sécurité et d’autres qui sont plus en retard.

WAT : Dans les marchés où votre groupe opère, quel est le niveau de prise de conscience des décideurs ?

EC : Nous avons constaté ces dernières années une accélération des États pour légiférer en matière de cybersécurité et mettre les stratégies en œuvre. Au Maroc, par exemple, la Direction générale de la sécurité des systèmes d’information (DGSSI) a lancé en 2014 un plan sur la sécurité nommé DNSSI (directive nationale de la sécurité des systèmes d’information), dans lequel elle a identifié à la fois les acteurs qu’on appelle organisations d’importance vitale pour la continuité des activités du pays, les infrastructures d’importance vitale et un certain nombre de règles et de mesures auxquelles les entreprises et administrations doivent se conformer pour assurer un minimum de couverture sur les risques de cybersécurité. La DGSSI a également lancé un plan pour identifier et homologuer les prestataires de services capables d’auditer des entreprises d’importance vitale ou des systèmes d’importance vitale (PASSI : Prestataire d’Audit de Sécurité des Systèmes d’Informations).

Orange Cyberdefense s’est d’ailleurs inscrite dans cette démarche d’homologation. Dans d’autres pays du continent, la démarche est déjà également adoptée. On observe qu’au Maroc il y a une poussée de l’Etat pour améliorer la législation et l’écosystème, accompagner les entreprises et inciter les décideurs à considérer les risques de cybersécurité. Dans d’autres pays d’Afrique aussi il existe déjà des administrations dédiées à la cybersécurité, qui mettent en place un cadre correspondant autour de la cybersécurité et de la conformité.

En matière de protection des données par exemple, plusieurs pays ont mis en place des législations pour protéger les personnes en cas de fuite d’informations. Nous remarquons aussi une poussée de la souveraineté. De plus en plus de pays légifèrent pour que le maximum d’opérations soit réalisé dans le pays et non plus sur un autre continent par exemple. « Nous remarquons aussi une poussée de la souveraineté. De plus en plus de pays légifèrent pour que le maximum d’opérations soit réalisé dans le pays et non plus sur un autre continent par exemple ».

Ces différentes initiatives et actions montrent une prise de conscience de l’importance de la cybersécurité. Bien qu’il soit compliqué de donner une vision précise sur le niveau de chaque pays, il ressort tout de même une tendance croissante avec des pays bien avancés. Tout cela dépend de leur maturité, des financements disponibles et du contexte du pays.

A ce sujet, l’Union internationale des télécommunications, agence des Nations unies pour le développement spécialisé dans les TIC, publie chaque année depuis 2014 une étude nommée Global Cybersecurity Index pour classer les pays selon leur niveau de Cybersécurité.

WAT : La législation en matière de cybersécurité semble effectivement importante. Mais qu’en est-il de l’infrastructure de sécurité ?

EC : Les infrastructures suivent à la vitesse des entreprises et des États qui investissent. La Covid a accéléré la digitalisation. Des services publics qui n’étaient pas digitalisés se sont mis à la page. On voit que les infrastructures, applications et ainsi de suite qui n’étaient pas là sont en train d’être mis en place. C’est une question de budget, de compétence et de temps. Il est vrai que cela ne va pas aussi vite que cela devrait mais tout cela se fait en fonction de l’économie locale. Cette évolution est dépendante des moyens alloués par les pays et les entreprises qui doivent investir dans la sécurité. Les infrastructures, il y en a déjà un certain nombre.

L’Afrique connaît un saut technologique très rapide où elle rattrape et utilise déjà les mêmes infrastructures que l’Europe. Il n’y a pas de retard dans l’utilisation des nouvelles technologies. C’est juste qu’elles sont potentiellement moins répandues, mais elles existent. « L’Afrique connaît un saut technologique très rapide où elle rattrape et utilise déjà les mêmes infrastructures que l’Europe. Il n’y a pas de retard dans l’utilisation des nouvelles technologies ».

On parle d’Office 365, on parle d’Azure, du Cloud. Effectivement, il n’y a pas encore le même niveau de couverture que l’on peut observer dans des continents où il y a plus de moyens et plus d’antériorité, comme l’Europe par exemple. Cependant nous observons une tendance qui va vers l’accompagnement de cette digitalisation par l’investissement dans l’infrastructure, les applications, le cloud et donc normalement sur la sécurité.

WAT : Dans la majorité des financements débloqués pour la transformation numérique en Afrique, l’on constate que l’attention est beaucoup focalisée sur la connectivité. Cette approche vous semble-t-elle judicieuse ?

EC : Il y a effectivement une course vers la connectivité, ce qui est tout à fait normal. Il faut démarrer par la connectivité, mais la sécurité n’est pas toujours intégrée par défaut. Et c’est dommage. Quand on met en place des moyens de communication multiple cela augmente la surface d’attaque d’une entreprise, d’un Etat. Si cette mise en place et le développement de services numériques ne sont pas accompagnés dès le début (phase de design) afin d’intégrer la sécurité dans le process, alors le risque de cybersécurité ne sera pas suffisamment couvert et les attaques augmenteront. Il y a une nécessité d’accompagner le développement des infrastructures de connectivité en intégrant la Cybersécurité by Design. L’Afrique accélère vraiment dans la digitalisation pour rattraper un gap. Il faudrait systématiser l’approche intégrée de la cybersécurité au développement des réseaux de connectivité et non la voir comme une contrainte ou une obligation annuelle à remplir. La sécurité doit rentrer dans un cycle continu. Les réseaux évoluent tous les jours, les infrastructures se modernisent, donc la sécurité doit être une préoccupation perpétuelle.

WAT : Avec cette numérisation rapide du monde, quels sont les principaux types de menaces qu’identifie Orange cybersécurité ?

EC : Déjà si l’on regarde au niveau mondial, on constate que les typologies d’attaques sont les mêmes quels que soient les continents. C’est-à-dire qu’on ne voit pas d’attaques particulières en Asie, en Europe ou en Afrique. Il y a un développement des attaques qui est assez similaire quels que soient les continents. Maintenant, nous pouvons tout de même observer des tendances d’attaques et des tendances géographiques dépendant notamment des usages.

Sur la tendance des attaques, nous avons vu sur l’année 2020/2021 – et nous pensons que cela va continuer dans les prochaines années– le développement des menaces du type malware. Ce sont des codes malveillants qui vont permettre potentiellement d’exfiltrer de la donnée, prendre la main sur une machine, chiffrer des données et réclamer une rançon. Les ransomwares sont un type de malware de plus en plus répandu qui et cible l’ensemble des acteurs. A la fois les petites entreprises, les grandes, les administrations, les hôpitaux. Tout le monde est potentiellement victime.

Nous pouvons classifier les attaques en 2 grandes familles, à savoir, les attaques massives et les attaques ciblées. Les premières sont lancées à grandes échelles pour toucher le maximum de personnes peu importe de qui il s’agit. Les secondes ont pour but d’attaquer une cible précise, de déstabiliser une entreprise ou un État précis. Comme sur les autres continents nous observons en Afrique un développement des attaques de type malware et notamment ransomware.

En Afrique nous identifions tout de même certaines tendances en matière de typologie d’attaques. Il s’agit notamment des attaques sur les environnements de Mobile Money. Ces services étant beaucoup plus développés qu’ailleurs, il y a donc automatiquement plus de fraudes en Afrique sur ce service qu’en Europe.

Nous pouvons également citer une autre tendance d’attaque relevée en Afrique ou de l’Afrique vers l’Europe. Il s’agit du « social engineering ». C’est la recherche d’informations sur quelqu’un pour lui soutirer de l’argent, lui envoyer de faux messages. Les attaques sont préparées et diffusées par les réseaux sociaux, les mails, divers vecteurs qui permettent de récolter et diffuser de l’information.

Nous observons une troisième tendance forte, générée par le déficit de gestion des vulnérabilités. Moins une entreprise gère et traite ses vulnérabilités, plus elle s’expose. De plus cela facilite le travail des attaquants qui s’introduisent dans les systèmes des entreprises et administrations publiques. En Afrique, beaucoup de systèmes sont attaqués via des vulnérabilités connues mais pas traitées par manque de moyens humains et techniques. A cela s’ajoute une absence de cloisonnement qui contribue à la propagation de l’attaque. Enfin, les systèmes de sauvegardes ne sont en général pas suffisamment protégés, ce qui génère un impact fort sur l’activité et empêche la relance rapide après l’attaque.

WAT : Quelle ampleur a pris la cybermenace à ce jour ?

EC : On voit clairement qu’il y a une forte progression des attaques. En 2021, Check Point Research a constaté une augmentation de 50 % du nombre de cyberattaques par semaine sur les réseaux d’entreprise par rapport à 2020, avec un pic en décembre, en grande partie dû à la faille de sécurité qui a impacté Log4J. Les pirates ont surtout ciblé l’Afrique, l’Asie-Pacifique et l’Amérique latine, mais l’Europe a connu la plus forte augmentation en pourcentage des cyberattaques d’une année sur l’autre. Les secteurs les plus touchés ont été l’enseignement/Recherche (+75%), le gouvernement/Militaire (+47%), les Communications (+51%), les fournisseurs de services (67%), la santé. Les régions les plus visées ont été l’Europe (+68%), l’Amérique du Nord (+61%), Asie Pacifique (+25%) et l’Afrique (+13%).

Les analystes de Cybersecurity Ventures prédisent que les coûts associés à la cybercriminalité vont croître de 15 % par an au cours des cinq prochaines années. Ils parviennent à cette conclusion en évaluant à 10,5 milliards de dollars les données financières historiques des cyberattaques et l’environnement futur des menaces comme les vols de propriété intellectuelle, le vol d’argent ou la destruction de données.

Nous observons une professionnalisation accrue des pirates informatiques ainsi qu’une très bonne organisation. En effet ils ont formé des sortes de syndicats et s’appuient sur une conjonction d’acteurs spécialisés pour gagner en productivité. Il s’agit d’une spécialisation des acteurs, ceux qui réalisent l’intrusion, d’autres l’exécution, l’exfiltration, la négociation, etc. Ceci est une preuve de l’élévation de la maturité de la filière « hack to cash ».

Ces groupes mettent aussi à disposition des profanes des attaques déjà prêtes. Il existe aujourd’hui dans le dark web des sortes de place de marché pour les pirates où l’on peut acheter des attaques prêtes à l’emploi pour quelques euros. Cette démarche démocratise la cybercriminalité.

L’autre évolution enregistrée au cours des quatre dernières années est l’augmentation des attaques ciblées pour le maximum d’impacts et la difficulté à mettre la main sur des pirates qui sont basés à l’étranger, changent de groupes quand l’ancien est débusqué. Il y a vraiment une élévation de la maturité de la filière, pas seulement en Afrique mais dans le monde entier.

WAT : Quel est le profil type du hacker ?

EC : Généralement il y a trois grands types d’attaquants. Il y a l’adolescent qui veut se prouver quelque chose. Il s’introduit dans le système d’une grande organisation comme un défi pour éprouver de la fierté. Bon, lui il ne fait pas trop de mal en général bien que ce soit embêtant. Il y a les organisations de cybercriminels. Ils sont à l’origine des trois quarts des attaques. Très organisés, ils sont en quête d’argent. Enfin il y a les Etats ou les bandes très organisées qui ont essentiellement des objectifs de déstabilisation à des fins politiques ou économiques.

WAT : Pourquoi en Afrique la question de la cybersécurité semble prendre du temps ?

EC : C’est une impression qui découle du fait qu’au préalable un état ou une entreprise doit d’abord définir une stratégie et cela demande du temps. Ensuite il est nécessaire de débloquer les investissements, ce qui peut aussi être un long processus. Dans certains pays il peut y avoir d’autres contraintes, sociales, économiques, politiques, climatiques qui peuvent impacter la capacité à allouer du budget à d’autres projets ou sujets comme la Cybersécurité. L’autre contrainte impactant le délai de mise en œuvre et de développement est le manque de ressources compétentes en sécurité dans de nombreux pays. Les Etats peuvent débloquer des investissements mais s’il n’y a pas d’équipes compétentes pour mettre en œuvre les solutions, les suivre, alors les gouvernements retarderont ces investissements.

En résumé, se lancer dans la cybersécurité pour un État requiert de définir une stratégie, débloquer le bon niveau d’investissement et avoir les ressources pour gérer tout cela.

WAT : Quand on parle de cybersécurité, s’agit-il juste d’une affaire technique ?

EC : Ces dernières années ce secteur a connu de fortes évolutions technologiques. La technologie est une pièce très importante dans la lutte contre la cybercriminalité et la protection des entreprises. Beaucoup d’investissements ont été et continuent d’être réalisés sur ces outillages et ces technologies mais ne permettent pas pour autant de sécuriser efficacement les entreprises contre les cyberattaques.

En effet la sécurité n’est pas qu’une question de technologie. Même si c’est une brique très importante, ce n’est pas la seule.

Il y a un triptyque à considérer dans une démarche Cyber, à savoir : la technologie, l’humain et les process. Une entreprise doit allier tout cela, tout comme les particuliers. La technologie c’est toutes les solutions technologiques qui vont être achetées pour protéger un système. L’humain c’est vous, c’est moi, les utilisateurs, c’est toute la prudence dont il faut faire preuve et aussi les équipes de sécurité en charge de cette activité. Cela passe par la formation, la sensibilisation, etc.

Le process c’est l’ensemble des attitudes et des procédures de sécurité à mettre en œuvre pour éviter, se défendre contre des attaques, les anticiper et réagir.

WAT : Quel est le rôle des CERT dont certains pays d’Afrique se sont déjà dotés ?

EC : Plusieurs pays ont mis en place des équipes de veille/anticipations et de réponses aux incidents contre les Cyberattaques afin d’accompagner les entreprises et administration du pays. C’est une bonne initiative. Les CERT servent principalement à détecter et à anticiper les menaces. Leur tâche c’est d’identifier les attaques qui sont en train de se préparer contre une entreprise, contre un Etat, et d’identifier les vulnérabilités pour prévenir les responsables sécurité. Pour que leurs actions portent leurs fruits, il est nécessaire que les différents acteurs prennent les mesures permettant de traiter ces vulnérabilités. Le CERT a un rôle d’information, de détection et d’anticipation de la menace. Il ne se substitut pas au rôle des responsables de sécurité des entreprises et administrations qui doivent prendre en charge les actions de remédiations. Aussi il faut préciser que les CERT ont plus une mission et démarche défensive qu’offensive.

WAT : Sur le continent, l’on constate une faible proportion des professionnels dans la cybersécurité. Qu’est-ce qui explique cela ?

EC : Déjà, il faut préciser qu’il y a un déficit de compétences dans le monde entier. Ce n’est pas uniquement un problème lié à l’Afrique, c’est un sujet mondial. Selon Cybersecurity Ventures, le nombre d’emplois non pourvus en cybersécurité a augmenté de 350 %, passant d’un million de postes en 2013 à 3,5 millions en 2021. Sur les cinq prochaines années, on estime que le besoin va encore se creuser davantage. L’avenir de la cybersécurité s’annonce radieux.

C’est une filière très spécialisée avec des besoins croissants. Cependant il y a aujourd’hui encore trop peu d’ingénieurs formés qui sortent des écoles pour couvrir le besoin en termes de ressources. C’est une préoccupation de l’ensemble des acteurs du marché, que ce soient les clients ou les prestataires de service. Sur le continent africain il y a effectivement un manque de profils en termes qualitatif. Aujourd’hui, on manque de filières spécialisées qu’il va falloir développer. Orange Cyberdéfense investit dans des partenariats avec de grandes écoles, justement pour les accompagner à améliorer leur filière cybersécurité et donc à produire plus de ressources compétentes. Des universités et écoles ont déjà avancé sur ces sujets et sont en train de créer des modules de cybersécurité. Cependant il y a un décalage entre le moment ou les étudiants intègrent ces cursus et le moment où ils en sortent pour accompagner le marché. Dans les prochaines années, nous espérons que ce processus de formation va s’accélérer en Afrique. Pour gérer cette situation actuellement, pour le cas d’Orange Cyberdéfense par exemple, nous prenons en formation des jeunes qui ont des têtes bien faites et qui ont envie d’apprendre, plutôt que des experts parce qu’il n’y en a pas beaucoup et qu’ils ont tendances à se mettre à leur propre compte ou à travailler pour de grosses entreprises à l’étranger.

La prise de conscience est déjà réelle en Afrique où la population jeune est importante et démontre une grande appétence pour les technologies. Il faut maintenant les orienter. Si les investissements dans la formation suivent, l’Afrique pourrait avoir une belle carte à jouer aussi bien pour elle-même que pour les autres continents.

WAT : En Afrique où le mobile est encore le principal outil d’accès à Internet pour des millions de personnes, quelle approche défensive préconisez-vous, tout en sachant que les solutions payantes ne sont pas à la portée de la grande majorité des utilisateurs ?

EC : C’est la prévention. Quand vous n’avez pas d’argent à investir chaque mois dans une solution de sécurité mobile, il faut faire preuve de bon sens. Si on n’a pas d’outils, il reste l’humain. Cela veut dire être vigilant. Cela passe par plusieurs choses. Par exemple, ne pas utiliser le même mot de passe pour tous ses comptes, changer ses mots de passe régulièrement. « Comme on est prudent lorsqu’on traverse une route, on doit l’être aussi sur Internet. »

Utiliser une phrase comme mot de passe peut être plus intéressant et sûr qu’une combinaison complexe de chiffres et de mots. Il faut aussi être vigilant sur les mails que l’on reçoit. Ne répondez pas à un mail qui provient d’une source inconnue. Faire attention aux propositions trop alléchantes dans lesquelles sont souvent proposés des formulaires à remplir avec des informations personnelles pour réclamer des prix et autres récompenses. Ne pas télécharger des applications inconnues au risque d’infecter ses appareils. Comme on est prudent lorsqu’on traverse une route, on doit l’être aussi sur Internet.

Entretien réalisé par Muriel Edjo

(Source : WeAreTechAfrica, 18 mars 2022)