Dans le contexte africain, beaucoup de maillons voire des chaînons entiers sont manquants dans la chaîne de sécurité. Il n’est pas nécessaire d’assombrir le tableau. Toutefois, nous mettrons en évidence certains aspects de la cybercriminalité en Afrique qui alimenteront notre ébauche de solutions et de perspectives.

La cybercriminalité africaine

Certains pays africains comme le Nigéria ou la Côte d’Ivoire furent pendant longtemps, une base arrière de la cybercriminalité. L’accessibilité d’Internet, le développement de la 3G/4G, l’anonymat sur le web, le manque de sensibilisation des acteurs en entreprise et des populations à la cybersécurité ont facilité les infractions en ligne. Les cybercriminels africains opèrent aussi bien sur le continent qu’au niveau transcontinental (en Europe essentiellement). Le « brouteur [1] » ivoirien est très connu en Afrique et dans les pays francophones d’Europe. Il a bénéficié de l’expertise de cybercriminels nigérians qui avaient la barrière de la langue française. Leurs stratégies d’attaques étaient essentiellement de l’ingénierie sociale, le cyber-chantage, etc.

L’intérêt des cybercriminels pour l’Afrique

En 2010, une étude de Microsoft remontait que pour une grande partie de l’Afrique, 1% des adresses IP contribue à la constitution de Botnet [2], essentiellement dans les zones les plus connectées. L’infection de ces machines (dites zombies [3]) ne signifie pas que leurs propriétaires sont des personnes malveillantes mais simplement que ces machines ne sont pas suffisamment sécurisées et/ou l’usage qu’on en fait ne respecte pas les bonnes pratiques de sécurité. Parmi les facteurs expliquant ce phénomène, le coût des moyens de défense est une des réponses les plus plausibles. À titre d’illustration, le coût moyen de la licence d’un antivirus est d’environ 80 dollars par an, ce qui représente une somme conséquente dans le budget d’un particulier par rapport à ses revenus [4]. Il en de même dans les entreprises, avec un taux d’équipements de protection en moyens de défense périmétriques ou en profondeur, très faible.

Outre le coût, il faudrait aussi intégrer les aspects de sensibilisation à la sécurité et aux cyber-risques. La conjugaison de ces facteurs contribue à l’installation de malwares qui compromettent des équipements qui seront utilisés dans des attaques, à l’insu de leur propriétaire.

Perspectives

Nos propositions pour répondre au défi de sécurité ne sont pas exhaustives. Ce sont quelques pistes qui pourront participer à la réflexion globale, parce que la solution ne peut qu’être globale.

Le défi de la compétence

La sécurité ne doit pas être seulement une affaire de spécialistes mais une composante de l’ensemble des métiers de l’entreprise. Pour répondre au défi de la cybercriminalité, il faut d’abord répondre à celui de la formation, de la sensibilisation. Des ressources humaines suffisamment compétentes et sensibilisées en matière de sécurité est le premier défi que l’Afrique devrait relever. Des filières de formation de haut niveau, spécialisées dans la cybersécurité, devraient être mises en place au niveau africain :

• de la formation initiale pour une nouvelle génération de professionnels de la sécurité, dans tous ses domaines,
• de la formation continue pour renforcer l’expertise des acteurs sur le terrain.

Au-delà des spécialistes de la sécurité, il faudrait renforcer l’ensemble des filières des autres corps de métier de l’informatique – ingénieurs systèmes et réseaux, développeurs – avec la plus-value sécurité, de sorte que la sécurité soit dans l’ADN de tous les acteurs de l’informatique dès leur formation. Pour l’ensemble du personnel de l’entreprise et pour les citoyens de façon globale, il faudrait une sensibilisation renouvelée aux problématiques de sécurité afin de maintenir une sensibilité aux cyber risques. L’ensemble des citoyens devraient aussi bénéficier de politiques de sensibilisation à la sécurité et plus particulièrement aux techniques d’ingénierie sociale.

Le défi institutionnel

En matière de cybersécurité, ce qui fait aujourd’hui la force des nations comme les États-Unis, la France, la Russie, l’Angleterre, ce sont des institutions fortes spécialisées dans ce domaine ainsi que les moyens juridiques, techniques, financiers et humains qui sont mis à leur disposition. L’Afrique, elle-aussi, devrait se doter d’un cadre juridique et institutionnel puissant. La cybercriminalité étant transnationale, les moyens de défense mis en place devraient être harmonisés au niveau africain, à défaut d’être mutualisés.

Un des blocages majeurs pour relever le défi institutionnel concerne la souveraineté des Etats. La sécurité, quelle qu’elle soit, est souvent considérée comme un enjeu national. En effet, ça l’est. Mais chaque État a-t-il les moyens technologiques, humains, juridiques ainsi que l’expertise nécessaire pour anticiper et répondre efficacement aux risques cybernétiques ? A minima, il faudrait un cadre juridique harmonisé, une coopération des services de renseignement au niveau sous régional voire africain.

Le défi de l’investissement et du taux d’équipement

La sécurité est également un ensemble d’infrastructures permettant d’assurer une surveillance de l’activité cybercriminelle et de la traiter. Certains pays africains ont déjà commencé à mettre en place des types de réponses tels que les CERT au Maroc, en Côte d’Ivoire, ou le Centre national de la cybersécurité au Sénégal. Mais ces réponses restent très partielles pour ces pays et pour l’Afrique dans son ensemble.

Le coût des solutions de sécurité (antivirus, firewall, IDS, etc.) étant un autre frein à la sécurité, l’Afrique pourrait se tourner vers les solutions en Open source moins onéreuses à l’achat, beaucoup plus faciles et à sécuriser et répondant également au besoin de sécurisation des systèmes : iptables pour un firewall, Squid pour un proxy, OpensWan pour un VPN, Snort pour un IDS, OpenSSL pour une PKI, pourvu que la maintenance soit assurée.

Malick Fall, auditeur, consultant, formateur en SSI

(Source : CIO Mag, 31 juillet 2018)