OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Ressources > Points de vue > 2016 > Pourquoi le Sénégal n’est-il pas un pays leader en matière de cybersécurité (…)

Pourquoi le Sénégal n’est-il pas un pays leader en matière de cybersécurité en Afrique ?

vendredi 15 janvier 2016

Point de vue

Pourquoi ce titre provocateur ?

Lorsque les pays africains ont enfin obtenu leur indépendance, des leaders tels que Léopold Senghor au Sénégal, Félix Houphouët-Boigny en Côte d’Ivoire, Kwame Nkrumah au Ghana et Jomo Kenyatta au Kenya se sont distingués. Pendant cinquante ans, leurs pays ont conservé une certaine importance. La population de ces quatre pays est comparable, puisqu’elle compte respectivement 14, 22, 25 et 45 millions d’habitants. Et leur PIB 2014 par habitant (PPP) est aussi du même ordre de grandeur : respectivement 2 316 $, 2 902 $, 4 173 $ et 3 138 $ [1]. En ce qui concerne la pénétration de l’Internet, l’écart est plus important : au Sénégal, elle était de 23,4 % en 2015, juste un peu moins que la moyenne africaine, qui est de 26,5 %. Elle était de 4,2 % en Côte d’Ivoire, de 20,1 % au Ghana et de 47,3 % au Kenya [2].

La pénétration de l’Internet est un indicateur de l’importance économique de celui-ci dans le pays ; ce chiffre varie étonnamment en Afrique. Par exemple, le Mali est à 72,1 % et l’Éthiopie à 1,9 %...

L’Internet a changé la donne pour les pays mais a son corollaire : les problèmes de cybersécurité. La cybersécurité est, à l’heure actuelle, la menace la plus complexe à laquelle les sociétés modernes sont confrontées. Cette complexité vient en partie de la combinaison du fait qu’elle est mal comprise et a des effets potentiellement dévastateurs.

Depuis des décennies, la cybersécurité représente un problème pour les économies avancées. Elle a évolué au fil des ans pour devenir ce qu’elle est aujourd’hui : un vaste monde chaotique aux acteurs multiples et où l’argent circule de façon incontrôlée. Les banques, les gouvernements et les organisations ont mis au point des stratégies de défense, qui ne sont pas toujours couronnées de succès.

Les pays africains deviennent des utilisateurs actifs d’Internet alors qu’il est devenu un monde très complexe et dangereux. Ils doivent acquérir très rapidement une certaine expertise que les économies avancées ont mis des années à développer. Il n’existe pas de référentiel centralisé de la connaissance. Les économies avancées ne sont pas des modèles à suivre. Pour les pays africains, le plus urgent est de constituer des CERT (équipes d’intervention en cas d’urgence informatique) au niveau national. Certains les appellent CSIRT (équipe d’intervention en cas d’incident lié à la sécurité informatique), voire CIRT (équipe d’intervention en cas d’incident informatique). Il existe de nombreux CERT. Certains sont affiliés aux établissements financiers, aux grandes entreprises, aux armées, etc. Il y a également des CERT nationaux, mais ils font partie d’un écosystème de CERT et ont des missions bien définies. Les besoins des pays africains en CERT nationaux sont différents. Ils devraient être un référentiel d’expertise pour tout le pays, auquel le gouvernement et les entreprises pourront s’adresser en cas de problème de cybersécurité. Le personnel de ces CERT nationaux doit être vraiment expert en cybersécurité, avec toutes les connaissances techniques et la capacité de traiter toutes sortes de cyberincidents. Il n’existe pas de centre de formation pour ce genre de personnes, hormis peut-être d’autres CERT nationaux africains. Pour savoir si un CERT est vraiment compétent, il faut regarder s’il a été admis en tant que membre à part entière du FIRST (Forum des équipes de sécurité et d’intervention en cas d’incident) [3]. Seuls cinq CERT nationaux africains l’ont été, dans les pays suivants : Tunisie (le tout premier en Afrique), Égypte, Maroc, et tout récemment, Nigeria et Kenya. L’Afrique du Sud compte trois CERT, mais aucun n’est national. Ils sont affiliés à des établissements financiers. Le FIRST compte 326 membres. Avec huit membres en tout, l’Afrique est nettement sous-représentée.

Pour un pays africain, posséder un CERT national fonctionnel est le meilleur moyen de montrer qu’il prend la cybersécurité au sérieux. Des quatre pays que sont le Sénégal, la Côte d’Ivoire, le Ghana et le Kenya, seul ce dernier y est parvenu en juillet 2015, après des années d’efforts et d’échecs [4]. Comme l’a montré le Kenya, réussir à établir un CERT n’est pas chose facile. Le Nigeria a aussi travaillé d’arrache-pied pendant des années avant de parvenir à intégrer le FIRST, le même jour que le Kenya. Espérons que ces deux récents succès entraîneront dans leur sillage de nombreuses autres histoires similaires en Afrique.

Selon l’analyse de la situation ivoirienne réalisée par des experts indépendants, cette étape ne saurait tarder. Les efforts ont été retardés par les troubles civils traversés par la Côte d’Ivoire il y a quelques années. Il est intéressant de noter que la pénétration de l’Internet est nettement plus faible en Côte d’Ivoire (4,9 %) qu’au Sénégal (23,4 %) et au Ghana (20,1 %). Mais en ce qui concerne la cybersécurité, la Côte d’Ivoire n’est pas à la traîne par rapport à ces deux pays. Quant au Kenya, avec son taux de pénétration de 47,3 %, il est loin devant les trois autres et est également le seul à désormais posséder un CERT national, le KE-CIRT/cc.

Le Ghana fait de timides efforts mais a encore un long chemin à parcourir. Quant au Sénégal, ses efforts sont si timides qu’ils sont quasiment imperceptibles... Le Sénégal est plus connu pour l’organisation de conférences et de forums sur la cybersécurité que pour son rôle de leader dans ce domaine [5]. Ce constat peut sembler dur à la lumière de l’initiative récente du gouvernement sénégalais de « protéger les données personnelles des citoyens ». Le gouvernement a lancé une campagne de consultations « en vue de rechercher des solutions pratiques et opérationnelles » [6]. Si le Sénégal avait eu un CERT national opérationnel, l’une de ses nombreuses missions aurait certainement été de lutter contre l’usurpation d’identité.

Par ailleurs, le Sénégal n’est pas épargné par les cyberattaques. En janvier 2015, à la suite de l’épisode de Charlie Hebdo, le site d’information sénégalais Seneweb.com et l’ADIE (Agence De l’Informatique de l’État) ont été touchés par une attaque par déni de service distribué (DDoS) attribuée à un groupe intégriste musulman [7]. Un CERT national disposant d’un vrai accès au réseau national aurait pu atténuer l’effet des attaques, comme cela a été le cas par le passé en Tunisie. En effet, une attaque DDoS est une cyberattaque assez basique et toute en force. Le Sénégal devrait se préparer à faire face à des cyberincidents plus graves à l’avenir.

Obstacles au progrès ?

Une des erreurs les plus courantes consiste à sous-estimer la difficulté et le temps nécessaire à la création d’un CERT national. Une autre est de penser que l’adhésion au FIRST n’est qu’une simple formalité. Même l’Union internationale des télécommunications (UIT) a fait cette erreur au début. Dès décembre 2002, l’UIT a été mandatée par l’Assemblée générale des Nations unies pour promouvoir la culture de la cybersécurité dans les pays en voie de développement. Elle n’a pas pris conscience des différences qui existaient entre la situation des pays africains et celle du reste du monde. Elle a développé une approche universelle, onéreuse et peu intéressante pour les pays africains [8]. Avec le temps, la situation s’est améliorée. Mais il est apparu clairement que les pays africains feraient mieux de solliciter l’aide de personnes ayant une expérience personnelle en matière d’exploitation d’un CERT national. C’est ce que le Nigeria a fait avec la Tunisie, avec le succès que l’on connaît. Et c’est peut-être ce que le Sénégal serait avisé de faire lui aussi...

L’alternative au développement interne et progressif de capacités adéquates reste le recrutement de consultants étrangers en cas de cyberincident grave. Mais ils coûtent généralement très chers et sont souvent des charlatans... Il est beaucoup plus prudent et rentable de développer une fondation nationale pour la cybersécurité, sous la forme d’un CERT national.

Chaque pays est unique, y compris en matière de cybersécurité et de type d’incidents que les CERT nationaux devront affronter. Malgré ces particularités, il existe des similitudes régionales. Des coopérations régionales entre CERT africains pourraient faire une énorme différence [9].

En matière de cybersécurité, la coopération internationale est un concept populaire. Elle a tendance à mettre l’accent sur les aspects juridiques du problème. Bien que ces aspects soient importants, ils ne doivent pas, comme c’est le cas aujourd’hui, occulter l’aspect technique de la cybersécurité. Ce dernier est la langue des pirates informatiques, la voie par laquelle les dommages sont infligés, qu’il est bien plus difficile, et beaucoup plus urgent, de saisir que les questions juridiques. Il est tout à fait inutile de mettre en place un robuste système international de lois qui ne peuvent pas être appliquées, car personne ne sait comment attraper les criminels ni ne comprend la nature technique de la cybercriminalité.

La coopération régionale ne doit pas s’enliser dans le bourbier des questions juridiques. Les pays africains disposent de ressources limitées. La collaboration régionale pourrait être une opportunité de partage des ressources, des connaissances et du savoir-faire technique. Certes, la cybersécurité rejoint la sécurité nationale, ce qui pourrait compliquer les relations entre les différents CERT nationaux.

Juste avant sa mort en 2001, Léopold Senghor déclarait aussi : « Au début du XXIe siècle, nous sommes à l’apogée de la puissance humaine, des richesses et de l’information... Nous devons penser à l’avenir afin de nous assurer que nos actions d’aujourd’hui feront du monde un endroit meilleur, plus riche et plus varié pour nos petits-enfants et leurs petits-enfants. »
La question posée dans le titre reste d’actualité...

Benoît Morel
Carnegie Mellon University
Pittsburgh Pa 15213

(Source : Security Days 2016, 15 janvier 2016)


[1] http://statisticstimes.com/economy/african-countries-by-gdp-per-capita.php

[2] http://www.internetworldstats.com/stats1.htm

[3] https://www.first.org/members/map

[4] http://www.ca.go.ke

[5] http://www.panapress.com/Senegal--MFWA-organises-forum-on-cyber-security--12-630443367-146-lang2-index.html

[6] http://www.biztechafrica.com/article/senegal-moves-protect-citizens-personal-data/9049/?utm_source=Daily+News+Updates&utm_campaign=6d86c0d67b-MC_RSS_EMAIL_CAMPAIGN&utm_medium=email&utm_term=0_c2fe4ddf14-6d86c0d67b-321805169#.Vc4B4UXBhnQ

[7] http://www.biztechafrica.com/article/senegal-hit-wave-cyber-attacks/9596/#.VczEF0XBghg

[8] http://blogs.verisign.com/blog/entry/building_a_cyber_security_capability ?

[9] http://pages.au.int/infosoc/cybersecurity

Fil d'actu

  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)
  • Quelles différences entre un don et un cadeau ? Burkina NTIC (22 avril 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 2062/2228 Régulation des télécoms
  • 173/2228 Télécentres/Cybercentres
  • 1584/2228 Economie numérique
  • 832/2228 Politique nationale
  • 2228/2228 Fintech
  • 252/2228 Noms de domaine
  • 815/2228 Produits et services
  • 692/2228 Faits divers/Contentieux
  • 379/2228 Nouveau site web
  • 2151/2228 Infrastructures
  • 793/2228 TIC pour l’éducation
  • 90/2228 Recherche
  • 121/2228 Projet
  • 1389/2228 Cybersécurité/Cybercriminalité
  • 861/2228 Sonatel/Orange
  • 776/2228 Licences de télécommunications
  • 132/2228 Sudatel/Expresso
  • 461/2228 Régulation des médias
  • 600/2228 Applications
  • 494/2228 Mouvements sociaux
  • 777/2228 Données personnelles
  • 60/2228 Big Data/Données ouvertes
  • 295/2228 Mouvement consumériste
  • 179/2228 Médias
  • 321/2228 Appels internationaux entrants
  • 693/2228 Formation
  • 48/2228 Logiciel libre
  • 841/2228 Politiques africaines
  • 407/2228 Fiscalité
  • 84/2228 Art et culture
  • 284/2228 Genre
  • 702/2228 Point de vue
  • 480/2228 Commerce électronique
  • 706/2228 Manifestation
  • 156/2228 Presse en ligne
  • 62/2228 Piratage
  • 102/2228 Téléservices
  • 422/2228 Biométrie/Identité numérique
  • 150/2228 Environnement/Santé
  • 156/2228 Législation/Réglementation
  • 167/2228 Gouvernance
  • 822/2228 Portrait/Entretien
  • 73/2228 Radio
  • 337/2228 TIC pour la santé
  • 133/2228 Propriété intellectuelle
  • 29/2228 Langues/Localisation
  • 508/2228 Médias/Réseaux sociaux
  • 918/2228 Téléphonie
  • 95/2228 Désengagement de l’Etat
  • 485/2228 Internet
  • 57/2228 Collectivités locales
  • 189/2228 Dédouanement électronique
  • 499/2228 Usages et comportements
  • 513/2228 Télévision/Radio numérique terrestre
  • 276/2228 Audiovisuel
  • 1352/2228 Transformation digitale
  • 191/2228 Affaire Global Voice
  • 76/2228 Géomatique/Géolocalisation
  • 147/2228 Service universel
  • 330/2228 Sentel/Tigo
  • 87/2228 Vie politique
  • 727/2228 Distinction/Nomination
  • 17/2228 Handicapés
  • 337/2228 Enseignement à distance
  • 320/2228 Contenus numériques
  • 292/2228 Gestion de l’ARTP
  • 89/2228 Radios communautaires
  • 801/2228 Qualité de service
  • 212/2228 Privatisation/Libéralisation
  • 66/2228 SMSI
  • 224/2228 Fracture numérique/Solidarité numérique
  • 1272/2228 Innovation/Entreprenariat
  • 657/2228 Liberté d’expression/Censure de l’Internet
  • 23/2228 Internet des objets
  • 85/2228 Free Sénégal
  • 164/2228 Intelligence artificielle
  • 97/2228 Editorial
  • 11/2228 Yas

2025 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous