Depuis l’adoption il y a quatre ans de la Convention de Malabo sur la cybersécurité, une toute petite minorité d’Etats africains l’ont ratifiée. Or la seule souveraineté numérique d’un pays ne suffira pas à le protéger contre les cyberattaques qui, en 2017, ont fait perdre au Continent 3,5 milliards de dollars. Et le fléau n’ira qu’en empirant si la défense ne s’organise pas mieux.

La Convention de l’Union africaine (UA) sur la cybersécurité et la protection des données à caractère personnel – appelée aussi « Convention de Malabo » [1] – a été adoptée il y a quatre ans maintenant, à savoir le 27 juin 2014. L’échéance des dernières signatures était fixée au 14 mars 2018. Or, force est constater que seuls 10 pays sur les 55 de l’Afrique ont signé cette convention (18 % !) : Bénin, Tchad, Comores, Congo, Ghana, Guinée-Bissau, Mauritanie, Sierra Leone, São Tomé-et-Príncipe et Zambie.

Et encore, seulement deux pays signataires – le Sénégal le 3 août 2016 et l’Ile Maurice le 6 mars 2018 – l’ont ratifiée pour que celle-ci entre en vigueur sur leur territoire national [2]. Autrement dit : la Convention de Malabo est un échec ! Par crainte des Etats africains pour leur souveraineté ? Par défiance des gouvernements pour la coopération transnationale ? A moins qu’il n’y ait un sursaut rapide de la grande majorité des pays africains pour s’approprier ce texte fondamental qui vise à « renforcer et harmoniser les législations actuelles des Etats membres et des communautés économiques régionales (CER) en matière de TIC », dans le respect des libertés fondamentales et des droits de l’homme et des peuples, ainsi qu’à créer « un cadre normatif approprié correspondant à l’environnement juridique, culturel, économique et social africain » et souligne que la protection des données personnelles et de la vie privée est un « enjeu majeur de la société de l’information ».

On le voit, de la théorie à la pratique, il y a du chemin à parcourir en matière de lutte contre la cybercriminalité. Ce texte est divisé en quatre chapitres : les transactions électroniques, la protection des données à caractère personnel, la promotion de la cybersécurité et lutte contre la cybercriminalité, et les dispositions finales. « Je ne parlerai pas d’échec. L’UA a au moins pris le leadership et a proposé quelque chose. Il appartient maintenant aux Etats africains d’en faire une réalité », tempère l’avocat Léon Patrice Sarr, associé gérant du cabinet LPS L@w.

Cette convention fut élaborée sur le modèle de celle du Conseil de l’Europe. Les Etats africains qui la mettre en œuvre s’engagent à encourager la mise en place des institutions qui échangent des informations sur les cybermenaces et sur l’évaluation de la vulnérabilité telles que les équipes de réaction d’urgence en informatique (CERT : Computer Emergency Response Teams) ou les équipes de réaction aux incidents de sécurité informatique (CSIRT : Computer Security Incident Response Teams).

Une stratégie continentale ou régionale fait défaut

Pour aider les Etats du Continent à l’harmonisation, les communautés économiques régionales (CER) – telles que par exemple la Communauté économique des Etats de l’Afrique de l’Ouest (CEDEAO) et de l’Union économique et monétaire ouest africaine (Uémoa) – peuvent aider les gouvernements à adopter la Convention de Malabo. « La CEDEAO a déjà organisé avec le Conseil de l’Europe des activités sur la cybersécurité. Toutefois, à ce jour, il n’y aucune stratégie continental ou régional permettant de faire face à la menace. Les Etats sont laissés à eux-mêmes », constate Léon Patrice Sarr.

Il indique à CIO Mag qu’il avait proposé l’homologation des équipements de la stratégie de cybersécurité, partant du constat que, généralement, les distributeurs informatiques ne respectent pas les consignes de sécurité les plus élémentaires (pas de pare-feu, pas d’antivirus, …), et que les logiciels sont assez souvent contrefaits et lorsqu’ils sont authentiques les mises à jour de sécurité ne sont pas effectuées systématiquement. Le Sénégal est aux avant-postes de la lutte contre la cybercriminalité, en étant non seulement le premier pays africain à avoir transposé la Convention de Malabo, mais aussi d’avoir signé en 2016 la Convention de Budapest sur la cybercriminalité [3], laquelle fut établie le 23 novembre 2001 par le Conseil de l’Europe et ratifiée par 56 pays à ce jour – dont trois pays d’Afrique (outre le Sénégal, le Maroc et l’île Maurice).

Un deuxième protocole additionnel à cette Convention de Budapest est en cours de rédaction depuis septembre 2017 et est attendu pour 2019. Dans son rapport « Etat de la menace liée au numérique en 2018 », publié le 20 juin dernier, le ministère français de l’Intérieur indique que dans le cadre de sa coopération avec l’Afrique francophone a été créé « un poste d’expert technique international (ETI) spécialisé dans la thématique cyber implanté depuis mars 2017 à Dakar, chargé de mettre en place une plateforme cyber dédiée à la lutte contre le terrorisme, la radicalisation et la cybercriminalité, en plus du poste d’ETI mis en place à Pretoria (Afrique du Sud) en 2016 ». De même, « un projet innovant de création d’une école nationale à vocation régionale (ENVR) à Dakar dans le domaine cyber a été validé en 2017 ».

L’objectif de cette école sera de dispenser – aux différents acteurs publics et privés des pays francophone d’Afrique de l’ouest – des formations initiales et continues sur des thématiques très diverses : cyberdéfense (armée), cybersécurité (secteur public et privé), cybercriminalité, cyberactivisme, cyberpropagande, cyberdjihadisme, etc. « Deux ETI seront ainsi recrutés au premier semestre 2018 (un chef de projet et un formateur) et affectés au sein de cette école qui devrait ouvrir ses portes en novembre prochain », précise le rapport de la Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC), au sein du ministère français de l’Intérieur.

Le Sénégal montre la voie de la cybersécurité

Au Sénégal, les premières lois sur la cybercriminalité (loi n°2008-11), sur la protection des données à caractère personnel (loi n°2008-12), sur les transactions électroniques (loi n°2008-08) et sur la société de l’information (loi n°2008-10) ont toutes été promulguées il y a dix ans maintenant. Le pays de la Teranga, qui se situe déjà à la 12e place du Global Cybersecurity Index (GCI) de l’IUT publié en 2017 sur les 44 pays du Continent notés (89e rang mondial sur 165 pays), a validé au printemps sa stratégie nationale de cybersécurité – SNC2022 [4] – dans le prolongement du programme « Sénégal numérique 2020-2025 ».

Lors du Security Day qui s’est déroulé à Dakar en mai, le ministre sénégalais de la Communication, des Télécommunications, des Postes et de l’Ecosystème numérique, Abdoulaye Bibi Baldé, a indiqué que 3.000 milliards de Franc CFA (4,5 milliards d’euros) seront consacrés sur cinq ans à la lutte contre la cybercriminalité et atteindre les cinq objectifs fixés : renforcer le cadre juridique et institutionnel de la cybersécurité au Sénégal ; protéger les infrastructures d’information critiques (IIC) et les systèmes d’information de l’Etat du Sénégal ; promouvoir une culture de la cybersécurité au Sénégal ; renforcer les capacités et les connaissances techniques en cybersécurité dans tous les secteurs ; participer aux efforts régionaux et internationaux de cybersécurité.

Au-delà de la mise en place d’ici septembre 2018 d’une « structure nationale de cybersécurité [appelée Agence nationale de cybersécurité, d’après le plan « Sénégal numérique », ndlr], laquelle mènera la mise en œuvre de la SNC2022 », le Sénégal s’est donné par exemple jusqu’à décembre 2018 pour créer un centre de veille, d’alerte et de réaction aux attaques informatiques (CERT/CSIRT).

Le Sénégal n’est pas le seul à aller dans le sens de plus de cybersécurité. Le Togo, par exemple, vient de lancer le processus pour constituer son CERT national et l’a fait savoir au 3e IT Forum Togo qu’organisait CIO Mag le 29 juin dernier à Lomé sur le thème de la cybersécurité justement.

Mais un Etat seul ne peut lutter efficacement contre les cybermenaces ; il lui faut interagir avec ses pays voisins, voire avec l’ensemble des pays d’Afrique et au-delà pour venir à bout des fléaux numériques. « Aucune institution ne parviendra, toute seule, à mettre en place une stratégie efficace. Apprendre donc des autres et avec les autres pour assurer un avenir collectif. Pour appréhender la menace, il faut une stratégie globale panafricaine de la cybersécurité », prévient l’expert Chrysostome Nkoumbi-Samba, fondateur de Afrik@Cybersécurité.

Pertes pour l’Afrique : 3,5 milliards de dollars en 2017

La cybermenace est bien réelle. La société de services numérique Serianu, basée à Nairobi au Kenya, a publié la 5e édition de son « Africa Cyber Security Report ». Dans cette étude, elle estime que pour l’année 2017 les cyberattaques dont ont été victimes les entreprises africaines a couté 3,5 milliards de dollars. Rien qu’au Nigeria, au Kenya, en Ouganda et en Tanzanie, ce coût annuel dépasse 1 milliard de dollars, dont 431 millions de dollars de coûts directs et 647 millions indirects.

Les premiers secteurs victimes sont les banques et services financiers, le gouvernement et l’administration publique, le commerce électronique, suivis par les transactions à partir de mobile, les télécommunications et les autres secteurs industriels. Globalement, 90 % des entreprises africaines se situent en dessous d’un « seuil de pauvreté » de la cybersécurité (security poverty line).

Autrement dit, les organisations et notamment les PME n’ont pas les bases minimales pour se protéger car, soit elles n’ont pas les compétences, les ressources ou les moyens financiers pour se protéger et répondre aux cybermenaces. Pire : 96 % des cyber-incidents liés à la sécurité n’ont soit pas été signalés, soit n’ont pas été résolus. Et lorsqu’ils sont identifiées, les cybermenaces viennent d’abord de l’intérieur, de façon intentionnelle ou par négligence (administrateurs, utilisateurs privilégiés, intervenants en interne). Mais les cyberattaques de l’extérieur se multiplient (ransomware Wannacry, phishing, scams, fake news, …). Pour les organisations qui ont subi une cyberattaque, 40 % disent avoir perdu de l’argent, 32 % sont tombées en panne informatique, 18 % ont à la fois perdu de l’argent et sont tombées en panne informatique, et 10 % ont eu leur « réputation » endommagée.

L’étude de Serianu estime aussi que sur l’ensemble du Continent, le nombre de professionnels certifiés en matière de cybersécurité ne dépasse pas les 10.000 personnes. Alors qu’il en faudrait au moins… 25 fois plus. D’où l’initiative de cette société de service numérique, dirigée par William Makatiani, de créer un « Cyber Immersion Centre » à Nairobi. Rien qu’au Kenya, il y a 1.600 experts en cybersécurité ; il en faudrait 40.000 pour faire face ! La formation est donc le plus grand défi auquel l’Afrique doit relever rapidement si elle veut se protéger contre le cybercrime.

L’association Africtivistes, qui a organisé le deuxième « Sommet de la Ligue Africaine des Blogueurs et Cyber-activistes » les 22 et 23 juin derniers à Ouagadougou au Burkina Faso, a lancé un programme de formation baptisé « Afrique Médias Cybersécurité ». Ce sont cette fois des webmasters, des blogueurs, des lanceurs d’alertes ou encore des web-activistes de dix pays ouest-africains – Burkina Faso, Bénin, Côte d’Ivoire, Gambie, Guinée, Mali, Mauritanie, Niger, Sénégal et Togo – qui en bénéficient.

Beaucoup de chemin reste à parcourir, y compris dans la protection des données personnelles. Alors que le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018 en Europe, les prestataires africains qui travaillent pour le compte d’entreprises européennes sur des données personnelles d’Européens sont eux-aussi concernés par les nouvelles dispositions. C’est ce que Mouhamadou Lô, auteur d’un livre sur « La protection des données à caractère personnel en Afrique », rappelle, tout en appelant à un « RGPD africain ». Le Réseau africain de protection des données personnelles (RAPDP), présidée par Marguerite Ouédraogo Bonané, pourrait jouer un rôle décisif, notamment auprès de la CEDEAO.

Charles de Laubier

(Source : CIO Mag, 5 août 2018)