Documents administratifs, paiements de factures ou abonnements à des services vitaux, transactions financières…la digitalisation de la vie s’accélère au Togo. Fin 2024, plusieurs autres services publics sont digitalisés, facilitant la vie aux populations. Dans ce contexte, le pays doit mettre en place des infrastructures publiques numériques et les sécuriser. Car, elles sont généralement critiques pour la continuité des services. Comment sécuriser donc ces infrastructures critiques de l’État ? Quels en sont les enjeux ? Le pays en a-t-il les moyens ? Tour d’horizon des garde-fous pour renforcer la sécurité numérique des infrastructures publics dans un écosystème de plus en plus numérisé, avec le Commandant Gbota Gwaliba, Directeur général de l’Agence nationale de la cybersécurité (ANCy) !

Cio Mag : Que comprendre par Infrastructures publiques numériques (IPN) critiques ?

Cdt Gbota Gwaliba, DG ANCy Togo : Les Infrastructures Publiques Numériques (IPN) désignent l’ensemble des réseaux, plateformes et services numériques déployés par l’Etat pour offrir des services publics efficaces et innovants. Ces infrastructures sont dites « critiques », car d’une part, leur compromission, leur perturbation ou leur destruction pourrait entraîner des conséquences graves sur l’Etat et la société. D’autre part, elles traitent et stockent des informations sensibles, notamment des données personnelles, financières, ou gouvernementales. Les protéger est donc une priorité nationale. C’est donc la raison pour laquelle une agence comme l’Agence Nationale de la Cybersécurité (ANCy) doit constamment veiller à la prise de mesures de cybersécurité par les gestionnaires de ces IPN critiques.

Quelles sont les principales menaces auxquelles ces infrastructures sont confrontées ?

Les infrastructures critiques font face à des menaces très variées. Il s’agit, entre autres :

– des Ransomwares. Ces attaques chiffrent les données ou paralysent les systèmes en demandant une rançon. Les IPN critiques sont des cibles privilégiées en raison de leur importance pour le fonctionnement de l’État et des secteurs stratégiques.
des Phishing. Les cybercriminels ciblent les employés pour obtenir des accès privilégiés aux systèmes critiques.

– les Attaques par déni de service distribué (DDoS). Ces attaques saturent les serveurs pour interrompre les services en ligne. En guise d’exemple, une DDoS va consister à rendre inaccessible un portail fiscal lors des déclarations annuelles.

– le Cyber espionnage. Des acteurs malveillants, souvent soutenus par des Etats, ciblent les IPN pour voler des informations sensibles.

En outre, dans d’autres cas de figure, les cyberattaques sont le fait de l’homme, soit par simple erreur (configuration erronée, mise à jour mal exécutée, mauvaise gestion des droits d’accès), soit du fait d’une volonté de poser un acte de nuisance (employé mécontent ou corrompu qui pourrait délibérément saboter un système ou divulguer des informations sensibles). Les menaces peuvent être également issues des fournisseurs et partenaires compromis ayant accès aux infrastructures critiques. Ces types de menaces proviennent, par exemple, de l’exploitation d’une faille chez un prestataire de services cloud.

Enfin, des menaces peuvent aussi provenir des technologies basées sur l’intelligence artificielle ou les systèmes automatisés dans les IPN ; comme lorsqu’il y a le détournement d’un chatbot pour extraire des informations confidentielles.

Il est dit que la meilleure réponse aux cybermenaces est la prévention. Comment cette réponse est-elle organisée aujourd’hui au Togo ? Quels en sont les acteurs clés (ANCy, CDA, Cert, etc.) ?

Vous avez raison, la prévention est effectivement la meilleure réponse aux cybermenaces. Au Togo, plusieurs acteurs et initiatives concourent à l’effectivité de cette prévention, en s’appuyant sur un cadre légal et stratégique robuste.

Les principaux acteurs de cette prévention, sont d’une part, l’Agence Nationale de la Cybersécurité (ANCy), qui en sa qualité d’autorité nationale en matière de protection des infrastructures essentielles, élabore des stratégies et des réglementations et coordonne toutes les actions de prévention et de réponse aux incidents.

D’autre part, le CERT.tg (Centre national de réponse aux incidents de cybersécurité), en tant que service délégué par l’ANCy à Cyber Defense Africa S.A.S (CDA), joue un rôle central dans la prévention et la gestion des incidents. Ses fonctions préventives comprennent : la supervision en temps réel 24h / 24 et 7j / 7 du cyberespace togolais, la diffusion d’alertes et d’informations sur les menaces, la publication de recommandations et de bonnes pratiques, la réalisation d’audits et de tests d’intrusion, la coordination avec les CERT internationaux.

De façon plus concrète, l’ANCy et CDA, mènent régulièrement des campagnes de sensibilisation auprès du grand public et des professionnels pour promouvoir les bonnes pratiques en matière de cybersécurité (par exemple, utilisation de mots de passe robustes, vigilance face aux tentatives de phishing, mises à jour régulières des logiciels). De plus, des outils et des systèmes sont déployés au sein du Security Operation Center (SOC), pour surveiller les réseaux et les systèmes d’information et détecter les activités suspectes en ligne.

Enfin, l’ANCy et le CERT.tg collaborent avec des partenaires nationaux et internationaux pour échanger des informations sur les menaces et les vulnérabilités.

En ce qui concerne les infrastructures publiques numériques de l’État, comment amener les acteurs impliqués à prendre conscience de leur rôle, étant donné que le maillon faible de la sécurité demeure l’humain ? D’après votre analyse de l’écosystème, pensez-vous que cette prise de conscience est suffisamment réelle ? Sinon, comment y parvenir ?

D’abord, certains acteurs clés (tant au niveau de la gouvernance qu’au niveau de l’exécution ou de l’utilisation) ne comprennent souvent pas l’importance de la cybersécurité. En conséquence, ce sont seulement quelques mesures superficielles qui sont prises. Cet état de chose est observé alors que, tel que mentionné dans le rapport d’activités 2023 de l’ANCy, l’erreur humaine est la cause dans plus de 90 % des incidents de sécurité (clic sur un lien de phishing, consultation d’un site web suspect, activation de virus ou autres menaces persistantes avancées).

Ensuite, le manque de formation et la sous-estimation du risque font que certaines attaques contre ces infrastructures peuvent aboutir, alors qu’une simple cyber-vigilance pourrait permettre de déjouer les tentatives.

Enfin, comme vous semblez l’insinuer, la sensibilisation et la responsabilisation des acteurs impliqués dans la gestion des infrastructures numériques publiques de l’État sont les piliers pour la prise de conscience. Ceci du fait que l’humain tient le rôle central en matière de sécurité. Il conviendra donc de sensibiliser davantage les utilisateurs de ces IPN aux bonnes pratiques afin de garantir une sécurité optimale.

Outre les ressources humaines, quels sont les grands défis à relever pour protéger les IPN au Togo ? Comment y faire face ?

Outre les ressources humaines, qui représentent un défi crucial en matière de cybersécurité partout dans le monde, le Togo fait face à plusieurs autres défis importants pour protéger ses infrastructures critiques.

En dépit des efforts continus en cours, le renforcement de la culture de la cybersécurité à travers la sensibilisation et la formation est le premier de ces défis. Pour y faire face, plusieurs activités sont prévues au cours de cette année 2025 : il s’agira de mener des campagnes de sensibilisation régulières et ciblées pour informer les utilisateurs sur les menaces et les bonnes pratiques, d’organiser des formations et des ateliers pour les fonctionnaires et les utilisateurs des services numériques, et enfin, dans le cadre de la mise en œuvre du pilier I de la stratégie nationale de cybersécurité (2024-2028), d’intégrer des modules de cybersécurité dans les programmes scolaires et universitaires.

En outre, bien que le cadre juridique et réglementaire en matière de cybersécurité au Togo ait été renforcé pour faire face aux évolutions rapides des menaces, le volet de la lutte contre la cybercriminalité reste un défi. Pour y remédier, conformément au pilier IV de la stratégie nationale de cybersécurité, le renforcement des capacités des autorités chargées de l’application de la loi (forces de l’ordre et magistrats) est une priorité.

Dans cette même dynamique, le renforcement de la coopération entre les acteurs publics (ANCy, CERT.tg, forces de l’ordre) et les acteurs privés (entreprises de cybersécurité, opérateurs télécoms), ainsi que la création des plateformes de partage d’informations sur les menaces et les incidents entre les différents acteurs, sont en cours, en vue de faire efficacement face à tous ces défis.

Que ce soient les IPN détenues par l’État ou celles des fournisseurs privés de services essentiels, comment garantir la continuité des services en cas d’incidents ?

Pour assurer la continuité des services des Infrastructures Publiques Numériques (IPN), qu’elles soient détenues par l’État ou par des fournisseurs privés, il est crucial de mettre en place des stratégies robustes qui couvrent la prévention, la réponse aux incidents, et la reprise après incident.

La garantie de la continuité de ces services en cas d’incidents passe par la mise en place de plan efficace de continuité d’activité tel que recommandé par l’arrêté n°2022-040/PMRT du 29 juin 2022 portant adoption des règles de cybersécurité en République Togolaise . A ce titre, plusieurs mesures sont nécessaires comme l’élaboration des Plans de Continuité d’Activités (PCA) détaillés qui décrivent les procédures à suivre en cas d’incident pour assurer la continuité des services. Ces plans doivent inclure : les rôles et responsabilités des équipes, les procédures de communication et d’alerte ; les mesures de sauvegarde et de restauration des données et les solutions de repli et de reprise.

S’agissant des infrastructures, il est impératif en amont, bien avant la survenance de l’incident, d’installer des serveurs de secours et des centres de données de sauvegarde géographiquement séparés pour garantir la résilience ; d’utiliser des outils avancés de détection des anomalies tels que les Intrusion Detection System (IDS), les Intrusion Prevention System (IPS) et la Security Information and Event Management (SIEM) pour identifier les incidents avant qu’ils n’impactent les services, et de mettre en place des procédures claires pour l’identification, le confinement, l’éradication, et la reprise après incident.

S’agissant des personnels techniques de réponse aux incidents, ils doivent être formés et équipés, afin d’être en mesure d’intervenir rapidement en cas d’incident.

Avec le développement de nouvelles technologies comme l’intelligence artificielle (IA), les IPN sont-elles plus menacées aujourd’hui qu’hier ? Comment intégrer ces nouvelles menaces dans les plans de sécurité des infrastructures ?

Le développement de nouvelles technologies, en particulier l’intelligence artificielle (IA), apporte des avantages significatifs pour l’efficacité et la résilience des Infrastructures Publiques Numériques (IPN). Cependant l’IA représente une arme à double tranchant en matière de cybercriminalité pour mener des attaques plus efficaces.

Face à cette situation, plusieurs solutions sont envisageables. Parmi celles-ci, la toute première serait d’adopter des normes spécifiques pour l’utilisation de l’IA dans les IPN, incluant des exigences de sécurité.

C’est dans cette dynamique que la semaine de l’IA et le Grand Atelier du Digital (GAD), qui se sont respectivement tenus à Lomé, du 4 au 8 juin 2024 et du 13 novembre 2024, ont été organisés par les autorités nationales, avec pour objectif d’élaborer une stratégie nationale pour l’intelligence artificielle. L’objectif est d’encourager l’innovation technologique, de mettre en place un cadre réglementaire adéquat pour encadrer l’utilisation de l’IA, de protéger les données personnelles, de garantir la sécurité des utilisateurs, d’identifier et d’anticiper les risques liés aux nouvelles technologies.

Cette stratégie permettra, entre autres, d’identifier et d’analyser des risques liés à l’utilisation de l’IA, pour mieux comprendre leurs vulnérabilités, de mettre en place des mécanismes de protection contre le vol ou la modification des données utilisées pour entraîner les systèmes d’IA, de former les responsables des IPN aux risques spécifiques liés à l’IA et enfin, d’encourager les équipes de sécurité à maîtriser les outils et techniques d’IA pour mieux défendre les infrastructures.

Justement, la réponse aux actes malveillants ne se limite pas uniquement à l’aspect technique. Où en est le Togo dans la mise en place de son arsenal juridique et réglementaire ? Quel rôle l’ANCy joue-t-elle dans cette dynamique ?

Il faut observer que le cadre juridique actuel répond favorablement aux besoins en termes de répression des actes malveillants en l’occurrence via les dispositions de la loi du 07 décembre 2018 sur la cybersécurité et la lutte contre la cybercriminalité . Toutefois, les efforts se poursuivent pour un renforcement des mécanismes de poursuite efficace des crimes et délits, notamment à travers une collaboration efficace avec la Justice, la Police et la Gendarmerie.

Le Togo a fait le pari d’un développement inclusif grâce au numérique. Comment la sécurité des IPN peut-elle contribuer à atteindre cet objectif ?

La sécurité des infrastructures critiques est un gage de confiance, car elle incite à l’utilisation des services numériques, notamment pour les démarches administratives en ligne, les services de santé numériques ou les transactions financières. Si les citoyens craignent pour la sécurité de leurs données, ils seront réticents à utiliser ces services. Pour ce faire, il faut que les IC soient robustes et résilientes et qu’ils assurent la disponibilité et la continuité des services numériques, même en cas d’incident. Des pannes fréquentes ou des interruptions de service peuvent décourager l’utilisateur. En revanche, un environnement numérique perçu comme sûr et protégé encourage l’utilisation des services en ligne.

En outre, elles permettent à toutes les couches de la population, y compris les personnes les plus vulnérables (personnes âgées, personnes handicapées, populations rurales), d’accéder aux services numériques. La sécurité est un facteur d’accessibilité car elle garantit que les services sont disponibles et fiables pour tous, indépendamment de leur niveau de connaissance technique.

Souleyman Tobias

(Source : CIO Mag, 26 février 2025)