« La cybersécurité doit être intégrée par défaut dans les futurs projets d’infrastructures »
vendredi 15 mars 2019
Philippe Duval, associé PwC au Conseil Afrique francophone, et Thierry Delville, associé PwC au pôle CyberIntelligence et ancien délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces en France reviennent, dans cet entretien croisé, sur les problématiques sécuritaires liées à la digitalisation de l’Afrique et sur le rôle de la cybersécurité dans la construction d’un espace économique intra-africain.
La Tribune Afrique : Peut-on aujourd’hui quantifier la réalité de la cybermenace en Afrique ?
Thierry Delville : Le chiffrage de la cyber-sinistralité est toujours un exercice délicat, parce qu’il y a plusieurs paramètres à prendre en compte. Ce qui par contre certain, c’est que cette cybersinistralité est croissante et qu’elle se développe au gré des évolutions et des transformations de la menace, en Afrique comme ailleurs de par monde. Donc au-delà de ce chiffre avancé, le préjudice subi par les entreprises victimes de cyberattaques, quand elles ne se sont pas préparées et protégées en amont, est très important dans les grands groupes, et parfois dramatique dans les petites et moyennes entreprises.
Par ailleurs, lorsque l’on évoque l’évolution de cette cybermenace se pose notamment la question des infrastructures critiques qui revêtent une importance souvent vitale, comme les centrales électriques ou les usines chargées du traitement de l’eau. D’autres enjeux sont liés à l’hyperconnectivité des citoyens avec les nouvelles menaces qui pèsent sur l’Internet des Objets ou le développement des smartphones, qui sont des vecteurs d’attaque considérables.
Justement, dans le domaine de la souveraineté numérique, les Etats africains disposent-ils aujourd’hui d’institutions capables de défendre ces infrastructures critiques ?
Thierry Delville : Certains pays du Continent ont effectivement déjà commencé à investir et à se structurer dans ce domaine, à l’exemple de l’Afrique du Sud, du Nigéria ou encore de la Côte d’Ivoire. Aujourd’hui, les gouvernements manifestent de plus en plus leurs attentes en termes de gouvernance et de stratégie en matière de cybersécurité.
Jean-Philippe Duval : L’équation à laquelle est confrontée l’Afrique aujourd’hui, c’est celle de sa gouvernance régionale dans le domaine de la cybersécurité qui reste très modeste, à l’exception de quelques initiatives de l’Union africaine. Par ailleurs, la question qui se pose avec insistance est celle de la capacité des Etats à se protégeret à sécuriser leurs infrastructures critiques au niveau continental, lorsque l’on sait que la croissance démographie reste très importante sur le Continent et que le taux de pénétration de l’Internet, avec une moyenne actuelle de 20%, devrait également croître de manière exponentielle. Ces deux facteurs augmentent les risques potentiels liés à la cybersécurité autant pour les citoyens que pour les infrastructures et les gouvernements.
Quelle est la frontière entre la cybersécurité et la cyberdéfense ?
Thierry Delville : La cyberdéfense est axée avant tout sur une logique d’intervention de l’Etat pour ses fonctions régaliennes cela concerne notamment les infrastructures critiques ou sensibles. C’est ce qui fait la différence avec la cybersécurité, qui plus largement vise à assurer une cyberprotection aux citoyens et aux entreprises.
Est-ce que l’on peut donner aujourd’hui une estimation du marché de la cybersécurité en Afrique ?
Jean-Philippe Duval : Je ne pense pas qu’il existe aujourd’hui des données fiables sur les besoins d’investissement en cybersécurité des pays du Continent. La question qui se pose par contre est de savoir qui devrait prendre en charge les infrastructures de cybersécurité nécessaires pour avoir une taille critique au niveau du Continent. On ne voit pas d’ailleurs aujourd’hui de bailleurs aller sur ce domaine, sauf peut-être pour l’Union africaine qui est plus dans un rôle politique. D’ailleurs, si on fait le parallèle avec des instances européennes ou nord-américaines, l’Afrique est en retard dans ce domaine.
A titre d’illustration, j’ai travaillé il y a quelques années sur un projet spatial en Europe où nous nous sommes retrouvés devant cette difficulté d’évaluer le marché. Nous nous sommes alors posé la question inverse : « Quel serait le coût de ne pas avoir de cybersécurité ? ». Actuellement, la cybersécurité est encore frémissante en termes de business en Afrique, puisque ces dernières années, l’essentiel des investissements a été accordé aux infrastructures routières, de l’eau, de l’électricité, etc., alors que l’on enregistre une arrivée massive de l’Internet sur le Continent avec toutes les conséquences que cela devrait avoir en termes de besoins en ressources humaines et moyens technologiques.
Thierry Delville : Je pense que ces grands chantiers en cours -routes, centrales énergétiques, aéroports, infrastructures critiques, etc.- constituent un virage important qui limitera l’impact du coût de la cybersécurité dès l’instant où celle-ci sera intégrée par défaut. D’ailleurs, d’après une étude effectuée par le pôle cyberintelligence de PWC auprès de grands groupes, la majeure partie des dirigeants d’entreprise africains est consciente de cet enjeu, ce qui nous laisse penser que le marché de la cybersécurité va considérablement croître dans les prochaines années. L’autre enjeu important, comme cité précédemment, c’est la nécessité de structurer l’industrie et le marché africains à travers des solutions, non pas en recourant à de l’achat sur étagère sans considération aucune, mais plutôt à un achat pensé, préparé, de confiance, dans un écosystème industriel installé en amont avec des acteurs significatifs capables d’apporter une réponse à ces enjeux.
Où en est aujourd’hui la coopération inter-Etats dans le domaine de la cybersécurité et notamment sur le volet juridique ?
Thierry Delville : Il existe aujourd’hui des structures d’entraide internationale en matière de cybercriminalité, à travers notamment Interpol ou Europol, avec des interactions très fortes avec le continent africain dans la lutte contre les réseaux organisés. En matière de coopération, l’Union européenne apporte son soutien à l’Afrique à travers un certain nombre de projets de développement notamment dans les domaines du cyber. Sur le volet de la coopération inter-Etats à l’échelle africaine, je pense que l’essentiel est de définir un cadre de gouvernance qui soit à la fois centré sur les enjeux du digital et son pendant, la protection cyber. Et pour arriver à cette étape, je pense qu’il faudrait lancer une initiative fondatrice qui serait plus visible tout en imposant un niveau d’exigences qui permettra à chaque Etat de se placer dans ce sillage.
Jean-Philippe Duval : Il y a aujourd’hui une importante disparité dans l’arsenal législatif des différents Etats du Continent qui complique le scénario et les efforts de lutte contre la cybercriminalité. Cela ramène également à la question de la construction d’un espace économique autour du digital sur le Continent, lorsqu’on sait qu’un Etat, bien que structuré en matière législative, trouvera des difficultés à se protéger, si l’Etat voisin ne dispose point de structures et d’un cadre législatif adéquat.
Peut-on parler d’un « modèle » de cybercriminalité « made in Africa » ?
Thierry Delville : Il existe effectivement un modus operandi à travers certaines formes d’escroquerie, où le cyber devient le support à une escroquerie traditionnelle. En revanche, est-ce qu’il existerait aujourd’hui des tendances de piratage, de sabotage, de hackers avec des modèles bien identifiés d’attaquants localisés par pays ou par zone géographique en Afrique ? Je pense que cela l’est moins que pour d’autres régions du monde.
Comment se présente aujourd’hui la lutte contre le cyberterrorisme ?
Thierry Delville : La propagande terroriste sur le cyber fait l’objet d’une lutte de tous les instants. Le phénomène, véritable enjeu pour les Etats qui luttent contre le terrorisme, est aujourd’hui bien identifié. Il est décliné à travers des contenus qui sont en général suivis à travers les grandes plateformes. Ces dernières sont actuellement sur des projets de réglementation à l’échelle européenne pour justement éradiquer, en moins d’une heure, ces contenus à caractère terroriste.
Propos recueillis par Mounir El Figuigui
(Source : La Tribune Afrique, 15 mars 2019)