Jean-Michel Huet : « Le monde ne peut pas se permettre d’avoir l’Afrique comme maillon faible de la cybersécurité. »
dimanche 18 septembre 2016
Partenaire chez BearingPoint, un cabinet spécialisé dans l’adaptative intelligence et coauteur des ouvrages What if Telecoms were the Key of the 3rd Industrial Revolution ? et de Et si les télécoms n’existaient pas ?, Jean-Michel Huet s’entretient avec nous au sujet des enjeux liés à la cybersécurité en Afrique.
Le marché africain de la cybersécurité doit passer de moins de 1 milliard de dollars à plus de 2 milliards d’ici 2020, alors que le marché mondial doit passer de 75 milliards de dollars à 170 milliards de dollars. Que vous inspirent ces chiffres ?
Jean-Michel Huet : D’une part, que le marché de la cybersécurité progresse en Afrique, ce qui constitue un indicateur intéressant du dynamisme du continent, parce que cela fait partie des facteurs qui peuvent freiner l’arrivée d’entreprises ou d’investissements. Le fait qu’il y ait plus de moyens mis dans la cybersécurité, que le sujet soit perçu par les entreprises et par les Etats comme étant important constitue clairement une avancée. Après, est-ce que le volume, les chiffres de croissance sont suffisants ? J’aurais tendance à dire non parce qu’on part de très loin et que cette croissance reste encore plus faible que la croissance mondiale. Donc, quelque part, ça va dans le bon sens, incontestablement, mais je pense que ce n’est pas encore suffisant. Qu’il y ait parmi les signaux forts la prise de conscience des enjeux et que, derrière, il y ait des moyens, des investissements qui soient réalisés, c’est important. Mais, si l’effort était encore plus important, ce serait mieux.
RTN : Dans quel sens doivent s’orienter ces efforts que vous appelez de vos vœux ?
J-MH : Déjà, il y a un effort de sensibilisation à faire à différents niveaux. Il faut que les différents acteurs africains impliqués comprennent que c’est un véritable enjeu et ceci ne concerne pas que les grandes entreprises. Il ne faut pas oublier que l’écosystème des entreprises africaines est majoritairement composé de petites et moyennes entreprises (PME) et de très petites entreprises (TPE). Ces compagnies ne doivent pas considérer que la cybersécurité ne les concerne pas. En ce qui concerne les Etats, ils se doivent d’être exemplaires parce qu’ils ont un rôle de modèle à jouer. Aujourd’hui, des gouvernements africains modernisent leurs administrations sur fonds propres ou via des bailleurs de fonds. Or, comme j’aime souvent à le rappeler, 80% du travail des administrations, c’est de l’échange et du contrôle d’informations. Un Etat gère des documents importants comme l’état civil, les casiers judiciaires, etc. Or, ces documents sont de plus en plus informatisés et classés dans des bases de données. Il y a donc nécessité que ces bases de données ne soient pas piratées. Il faut donc que tous ces fichiers soient sécurisés. En outre, l’attitude des Etats doit être incitative envers les entreprises locales, notamment les TPE et les PME, qui sont peut-être celles qui sont le moins sensibles à la question. Il y a un vrai travail de pédagogie à faire.
RTN : Les grandes multinationales internationales implantées sur le continent ne seraient-elles pas, en raison de leur culture d’entreprise, mieux indiquées pour faire ce travail pédagogique ?
J-MH : En théorie, dans les grands groupes internationaux, les règles sont les mêmes qu’on soit en Afrique ou ailleurs et c’est ce qui devrait être la norme. Après, c’est variable. Vous avez des grands groupes où tous les process internes sont assez normalisés et qui sont très vigilants, même quand ils sont implantés en Afrique. Mais, je ne suis pas sûr que ce soit le cas pour tous et que ce principe soit tout le temps appliqué. Dans les faits, je pense que certains groupes sont moins regardants sur ces questions-là. Et c’est une erreur, parce que c’est ainsi qu’ils créent des maillons faibles dans leur organisation. Mais, effectivement, le fait que les grands groupes privés soient présents en Afrique et soient vigilants sur ces questions peut contribuer à donner un élément de culture sur l’importance de la question.
RTN : Il est fréquent, en Afrique, de voir des entreprises et même des services publics se tourner vers des solutions de contrefaçons plutôt que vers des logiciels authentiques. Comment cette difficulté peut-elle être surmontée ?
J-MH : Cela constitue un gros problème. Quand vous avez des dizaines ou des centaines d’entreprises dans un pays qui ne sont pas protégées, vous tenez le maillon faible de toute une chaine comprenant des fournisseurs et des clients et qui peut remonter jusqu’au niveau des Etats. Pour ce qui est des solutions, il peut y avoir des négociations qui seront menées au niveau des Etats, ou même à des niveaux régionaux, avec des fabricants de soft ou d’antivirus, afin d’obtenir des prix adaptés pour les particuliers, les petites entreprises, les associations, contre des achats de grands volumes de leurs produits. Ces initiatives peuvent aller de pair avec des efforts en matière de régulation du marché. Il y a des actions coercitives à mener contre les contrefaçons et ça, c’est aux Etats de le faire. Je pense qu’il est dans l’intérêt des éditeurs d’antivirus, par exemple, que des versions originales soient vendues plutôt que des copies. Donc, il y a des pistes de négociation.
RTN : Alors que plusieurs rapports indiquent que le continent africain est en retard sur les questions de cybersécurité et face à une relative indifférence vis-à-vis du sujet, on se demande : l’Afrique peut-elle se permettre d’être le maillon faible de la cybersécurité au plan mondial ?
J-MH : L’Afrique ne peut pas se le permettre. L’année dernière, en juillet, j’étais à Brazzaville où il y avait Alassane Ouattara qui intervenait lors d’un forum lors duquel il a eu une formule magnifique. Il a dit que l’enjeu, pour l’Afrique, est de ne pas rater la troisième révolution, la révolution des TIC, comme elle a raté la deuxième, la révolution industrielle. Or, pour ne pas rater la troisième révolution, il faut faire attention à la cybersécurité et c’est la principale raison pour laquelle l’Afrique ne peut pas se le permettre. Et je vais même aller plus loin : je pense que le monde non plus, ne peut se permettre d’avoir l’Afrique comme maillon faible. Quand vous avez un système qui est global comme c’est le cas dans l’informatique grâce à Internet, un point faible n’est plus limité à une seule région, il est un maillon faible pour tous. Donc, que l’on soit européen, américain ou asiatique, on n’a pas intérêt à ce qu’il y ait un maillon trop faible, parce que ce maillon faible-là peut l’être pour tous. Aussi faut-il que les nations développées et les organisations internationales s’investissent également dans ce combat, qui n’est pas seulement celui de l’Afrique, parce qu’une Afrique vulnérable en matière de cybersécurité constitue une source d’insécurité pour tous.
RTN : En même temps, est-ce qu’il n’y a pas un danger pour l’Afrique à dépendre de l’étranger pour sa propre sécurité, en règle générale, et, dans ce cas précis, pour sa cybersécurité ?
J-MH : Vous savez, cela me laisse un peu perplexe. C’est un peu comme dire que l’Australie, qui vient d’acheter 34 sous-marins à la France pour sa sécurité, devrait s’inquiéter de les avoir achetés à la France plutôt que de les avoir construits elle-même. Dans la cybersécurité ou ailleurs, l’intérêt d’un ou de plusieurs pays est d’acheter la technologie là où elle est bonne. Qu’elle provienne de France, d’Amérique, d’Asie, ou même d’ailleurs, les Etats ont intérêt à acquérir la technologie là où elle est bonne. Après, il faut bien sûr qu’il y ait des garanties. Ces garanties peuvent prendre la forme de transferts technologiques, de transferts de savoir-faire. Il y a beaucoup de moyens de mettre en œuvre ces garanties, mais après, pour revenir à mon exemple initial, l’Australie n’est pas dépendante de la France parce qu’elle lui a acheté 34 sous-marins.
RTN : L’offre en matière de formation sur le continent lui permet-il de former les élites capables, à terme, d’assurer sa cybersécurité ?
J-MH : Je pense que c’est un vrai challenge. Ce n’est pas encore le cas aujourd’hui mais ça peut le devenir. Il faut très clairement qu’il y ait des investissements au niveau des Etats dans la formation des jeunes ou des moins jeunes. Cet effort peut prendre la forme d’une formation professionnelle sur ces sujets-là pour des gens plus âgés. L’objectif sera d’avoir des compétences sur place qui connaissent ces enjeux. Il est impératif que ces compétences restent sur place parce que la difficulté est de former des personnes qui, après, ne partent pas en Europe mais restent exercer dans ces pays. Il faut que ces gens, qui seront techniquement bons et aptes sur ces questions de cybersécurité, puissent travailler aussi bien pour les entreprises que pour les administrations des grands ministères. Il s’agit d’un enjeu fondamental car autant je pense qu’il n’y a pas d’états d’âme à avoir à acheter les technologies en Europe, en Asie ou aux Etats-Unis, du moment qu’elles sont bonnes et qu’on a les bonnes garanties, autant je pense qu’il est vital qu’il y ait des Africains dans les principaux pays, sur place, qui connaissent ces questions et qui soient formés, d’un point de vue universitaire, et qui continuent d’apprendre après leur insertion professionnelle.
RTN : De quelle façon les difficultés que connaît le continent en matière de cybersécurité affectent-elles le développement d’activités comme le e-commerce ?
J-MH : D’une part, quand on parle d’e-commerce, il y a plusieurs niveaux de sécurité entre le moment où vous donnez vos informations personnelles, celui où vous commandez le produit et quand vous payez. Paradoxalement, l’Afrique est plutôt en place sur la partie paiement, parce que cette opération se fait essentiellement via téléphone mobile sur le continent. Or, le paiement par téléphone mobile est hypersécurisé, parce que la carte SIM de l’opérateur est un petit coffre-fort en soi. Aussi, la chaine de paiement en Afrique, contrairement à ce qu’on peut en penser, est-elle très bien sécurisée. J’irais même jusqu’à dire que le continent a peut-être un petit temps d’avance sur l’Europe et les Etats-Unis là-dessus et donc ça, c’est moins inquiétant. Après, il peut toujours y avoir des risques sur la prise d’informations, notamment sur Internet. Mais, à mon avis, c’est un risque qu’on peut réduire par de la sensibilisation à l’endroit des consommateurs avec des conseils comme : « Ne donnez pas vos informations personnelles à n’importe qui, n’importe où, etc. » Je pense qu’aujourd’hui, les freins au e-commerce sont plus sur des aspects logistiques ou culturels que sur des aspects de cybercriminalité, qui n’est pas aujourd’hui le frein majeur du e-commerce en Afrique.
RTN : Quelle est la plus grande avancée enregistrée par le continent ces dernières années ?
J-MH : La plus grande avancée sur les dernières années a été enregistrée au niveau des administrations qui se sont modernisées, soit sur fonds propres, soit avec les financements de bailleurs de fonds, et qui, forcément, se sont un peu mises aux normes internationales. Je pense que c’est là où, typiquement, on voit du progrès. Attention, je ne dis pas que tout est parfait, mais il y a un vrai progrès. Après, encore une fois, il ne faut pas se satisfaire de la situation actuelle, même s’il y a eu des progrès qui sont indéniables.
Aaron Akinocho
(Source : [Réseau Télécom No 84->http://www.reseaux-telecoms.net/, Juillet Aout 2016)