twitter facebook rss

Articles de presse

Imprimer Texte plus petit Texte plus grand

La cybersécurité en Afrique : état des lieux et perspectives

mardi 31 juillet 2018

Dans le contexte africain, beaucoup de maillons voire des chaînons entiers sont manquants dans la chaîne de sécurité. Il n’est pas nécessaire d’assombrir le tableau. Toutefois, nous mettrons en évidence certains aspects de la cybercriminalité en Afrique qui alimenteront notre ébauche de solutions et de perspectives.

La cybercriminalité africaine

Certains pays africains comme le Nigéria ou la Côte d’Ivoire furent pendant longtemps, une base arrière de la cybercriminalité. L’accessibilité d’Internet, le développement de la 3G/4G, l’anonymat sur le web, le manque de sensibilisation des acteurs en entreprise et des populations à la cybersécurité ont facilité les infractions en ligne. Les cybercriminels africains opèrent aussi bien sur le continent qu’au niveau transcontinental (en Europe essentiellement). Le « brouteur [1] » ivoirien est très connu en Afrique et dans les pays francophones d’Europe. Il a bénéficié de l’expertise de cybercriminels nigérians qui avaient la barrière de la langue française. Leurs stratégies d’attaques étaient essentiellement de l’ingénierie sociale, le cyber-chantage, etc.

L’intérêt des cybercriminels pour l’Afrique

En 2010, une étude de Microsoft remontait que pour une grande partie de l’Afrique, 1% des adresses IP contribue à la constitution de Botnet [2], essentiellement dans les zones les plus connectées. L’infection de ces machines (dites zombies [3]) ne signifie pas que leurs propriétaires sont des personnes malveillantes mais simplement que ces machines ne sont pas suffisamment sécurisées et/ou l’usage qu’on en fait ne respecte pas les bonnes pratiques de sécurité. Parmi les facteurs expliquant ce phénomène, le coût des moyens de défense est une des réponses les plus plausibles. À titre d’illustration, le coût moyen de la licence d’un antivirus est d’environ 80 dollars par an, ce qui représente une somme conséquente dans le budget d’un particulier par rapport à ses revenus [4]. Il en de même dans les entreprises, avec un taux d’équipements de protection en moyens de défense périmétriques ou en profondeur, très faible.

Outre le coût, il faudrait aussi intégrer les aspects de sensibilisation à la sécurité et aux cyber-risques. La conjugaison de ces facteurs contribue à l’installation de malwares qui compromettent des équipements qui seront utilisés dans des attaques, à l’insu de leur propriétaire.

Perspectives

Nos propositions pour répondre au défi de sécurité ne sont pas exhaustives. Ce sont quelques pistes qui pourront participer à la réflexion globale, parce que la solution ne peut qu’être globale.

Le défi de la compétence

La sécurité ne doit pas être seulement une affaire de spécialistes mais une composante de l’ensemble des métiers de l’entreprise. Pour répondre au défi de la cybercriminalité, il faut d’abord répondre à celui de la formation, de la sensibilisation. Des ressources humaines suffisamment compétentes et sensibilisées en matière de sécurité est le premier défi que l’Afrique devrait relever. Des filières de formation de haut niveau, spécialisées dans la cybersécurité, devraient être mises en place au niveau africain :

  • de la formation initiale pour une nouvelle génération de professionnels de la sécurité, dans tous ses domaines,
  • de la formation continue pour renforcer l’expertise des acteurs sur le terrain.

Au-delà des spécialistes de la sécurité, il faudrait renforcer l’ensemble des filières des autres corps de métier de l’informatique – ingénieurs systèmes et réseaux, développeurs – avec la plus-value sécurité, de sorte que la sécurité soit dans l’ADN de tous les acteurs de l’informatique dès leur formation. Pour l’ensemble du personnel de l’entreprise et pour les citoyens de façon globale, il faudrait une sensibilisation renouvelée aux problématiques de sécurité afin de maintenir une sensibilité aux cyber risques. L’ensemble des citoyens devraient aussi bénéficier de politiques de sensibilisation à la sécurité et plus particulièrement aux techniques d’ingénierie sociale.

Le défi institutionnel

En matière de cybersécurité, ce qui fait aujourd’hui la force des nations comme les États-Unis, la France, la Russie, l’Angleterre, ce sont des institutions fortes spécialisées dans ce domaine ainsi que les moyens juridiques, techniques, financiers et humains qui sont mis à leur disposition. L’Afrique, elle-aussi, devrait se doter d’un cadre juridique et institutionnel puissant. La cybercriminalité étant transnationale, les moyens de défense mis en place devraient être harmonisés au niveau africain, à défaut d’être mutualisés.

Un des blocages majeurs pour relever le défi institutionnel concerne la souveraineté des Etats. La sécurité, quelle qu’elle soit, est souvent considérée comme un enjeu national. En effet, ça l’est. Mais chaque État a-t-il les moyens technologiques, humains, juridiques ainsi que l’expertise nécessaire pour anticiper et répondre efficacement aux risques cybernétiques ? A minima, il faudrait un cadre juridique harmonisé, une coopération des services de renseignement au niveau sous régional voire africain.

Le défi de l’investissement et du taux d’équipement

La sécurité est également un ensemble d’infrastructures permettant d’assurer une surveillance de l’activité cybercriminelle et de la traiter. Certains pays africains ont déjà commencé à mettre en place des types de réponses tels que les CERT au Maroc, en Côte d’Ivoire, ou le Centre national de la cybersécurité au Sénégal. Mais ces réponses restent très partielles pour ces pays et pour l’Afrique dans son ensemble.

Le coût des solutions de sécurité (antivirus, firewall, IDS, etc.) étant un autre frein à la sécurité, l’Afrique pourrait se tourner vers les solutions en Open source moins onéreuses à l’achat, beaucoup plus faciles et à sécuriser et répondant également au besoin de sécurisation des systèmes : iptables pour un firewall, Squid pour un proxy, OpensWan pour un VPN, Snort pour un IDS, OpenSSL pour une PKI, pourvu que la maintenance soit assurée.

Malick Fall, auditeur, consultant, formateur en SSI

(Source : CIO Mag, 31 juillet 2018)

[1] Brouteur : cybercriminel connu en Côte d’Ivoire pour passer beaucoup de temps dans les cybercafés pour attirer des personnes dans ses filets. Il utilise de l’ingénierie sociale, les réseaux sociaux, sa webcam, … pour faire chanter par la suite ses victimes et leur escroquer de l’argent.

[2] Botnet : réseaux de machines zombies utilisés notamment pour des attaques informatiques par déni de service distribué (DDoS)

[3] Zombie : ordinateur contrôlé à l’insu de son propriétaire par un cybercriminel. Ce dernier l’utilise à des fins malveillantes, comme des attaques de type DDoS. Une machine zombie est souvent infestée à l’origine par un Rootkit ou cheval de Troie.

[4] En 2012, le revenu moyen annuel brut / habitant, s’élève à 1 040$ au Sénégal, 1 690$ en Afrique contre 10 199$ au niveau mondial.

Inscrivez-vous a BATIK

Inscrivez-vous à notre newsletter et recevez toutes nos actualités par email.

Navigation par mots clés

INTERNET EN CHIFFRES

- Bande passante : 50 Gbps
- 4 FAI (Orange, Arc Télécom, Waw Télécom et Africa Access)
- 8 761 804 abonnés Internet

  • 8 483 435 abonnés 2G+3G+4G (96,9%)
  • 1131 453 clés et box Internet (1,5%)
  • 117 807 abonnés ADSL (1,3%)
  • 17 965 abonnés bas débit (0,2%)

- Liaisons louées : 21 044

- Taux de pénétration des services Internet : 57,44%

(ARTP, 30 juin 2018)

- 7 260 000 utilisateurs
- Taux de pénétration : 59,80%

(Internet World Stats 31 décembre 2017)

- 4710 noms de domaine actifs en .sn

(NIC Sénégal, 25 septembre 2018)

TÉLÉPHONIE EN CHIFFRES


Téléphonie fixe

- 2 opérateurs : Orange et Expresso
- 292 468 abonnés
- 223 179 lignes résidentielles (76,31%)
- 69 218 lignes professionnelles (23,67%)
- 71 lignes publiques (0,02%)
- Taux de pénétration : 1,92%

(ARTP, 30 juin 2018)


Téléphonie mobile

- 3 opérateurs (Orange, Tigo et Expresso)
- 16 141 304 abonnés
- Taux de pénétration : 105,80%

(ARTP, 30 juin 2018)

FACEBOOK

- 2 900 000 utilisateurs

(Facebook Ads, décembre 2017)