« À l’heure actuelle, les cybercriminels considèrent l’Afrique comme un refuge pour opérer illégalement en toute impunité ». 

Hamadoun Touré, 

Ex-secrétaire général de l’Union Internationale des Télécommunications (UIT)

Une nouvelle étude du cabinet de cybersécurité Jighi [1], endossée par la Conférence sur la cybersécurité en Afrique (CSCA) de 2018, montre la nature omniprésente de la cybercriminalité sur tout le continent, touchant les entreprises, les particuliers, les familles, les institutions financières et les agences gouvernementales. L’étude, réalisée principalement par Enovise, qui est l’unité de cybersécurité avancée de Jighi, affirme que la faiblesse des architectures de sécurité, la pénurie de personnel qualifié, le manque de sensibilisation et la non-coordination des réglementations dans les pays africains ont accru la cyber-vulnérabilité du continent.

Logiciels malveillants sophistiqués, violations de la sécurité logicielle, escroqueries mobiles: la liste des menaces de cybercriminalité s’allonge. Pourtant, les pays africains ne parviennent toujours pas à se protéger et doivent constamment faire face à cet impact. Et l’impact est lourd: la cybercriminalité a coûté environ 3,7 milliards de dollars au continent en 2017. Au cours de cette même année, les pertes annuelles en cybercriminalité ont été estimées à 649 millions de dollars pour le Nigéria et à 210 millions de dollars pour le Kenya. De même, selon le Centre d’information sur les risques bancaires en Afrique du Sud (SABRIC), l’Afrique du Sud perd 157 millions de dollars par an en raison des cyberattaques.

D’après le cabinet britannique de conseil Ovumone, environ un milliard de personnes en Afrique auront accès à Internet d’ici 2022. Analysant la tendance à la cybercriminalité d’un pays à l’autre, les analystes ont suggéré que le taux de pénétration de l’internet de 10 à 15% était le seuil à partir duquel générer de nombreuses activités de piratage (Kshetri , 2013) [2]. Les taux de pénétration de l’Internet dans de nombreuses économies africaines ont déjà atteint ce niveau. Bulent Teksoz, de Symantec Middle East, a déclaré: “La cybercriminalité se déplace vers les économies émergentes. C’est là que les cybercriminels croient que le fruit est à portée de main”. Sans surprise, de nombreuses économies africaines sont devenues à la fois des sources importantes ainsi que des victimes de cyber-menaces.

Parmi les nombreuses conclusions, le rapport ACTIR indique également que plus de 90% des entreprises africaines opéraient en dessous du «seuil de pauvreté» en matière de cybersécurité, ce qui signifie qu’elles sont incapable de se protéger adéquatement contre les pertes. Il existe encore de nombreuses organisations Africaines, en particulier des PME qui ne disposent pas des compétences, des ressources et des fonds nécessaires pour protéger, détecter et répondre aux menaces en matière de cybersécurité. Beaucoup d’organisations et d’individus se situent en dessous de ce seul. Au moins 96% des incidents de cybersécurité ne sont pas signalés et plus de 70% des entreprises ne suivent pas les dernières tendances en matière de cybersécurité et les mises à jour des logiciels utilisés.

Pour aggraver les choses, de nombreux organismes officiels ne connaissaient pas l’ampleur du risque numérique auquel ils étaient confrontés alors même que des gouvernements, notamment la Côte d’Ivoire, le Bénin, le Kenya et la Tanzanie, sont en plein automatisations de leurs services et passaient aux services numériques (transformation numérique) – ce qui en fait des cibles de choix pour les pirates (car la digitalisation augmente la surface d’attaque). Des dizaines de sites appartenant aux gouvernements  dans plusieurs pays (Cameroun, Kenya, Nigéria, etc.) ont été piratés au cours des 18 derniers mois, soulignant leur vulnérabilité. Les banques, les prestataires de services de paiement (PSP) et les autorités fiscales en Afrique sont les plus touchés, les pirates informatiques s’en tirant avec des millions (d’après plusieurs rapports d’experts, le gouvernement de Nord Coréen récolterait plusieurs millions de dollar leur permettant de financer leur économie, à la suite du piratage des banques à travers le mondes y compris les banques Africaines qui semblent être les moins protégées).

Parmi les autres résultats, l’étude souligne que les menaces et les risques vont au-delà des seules pertes financières. Elle démontre la présence accrue de piratage diplomatique ou de piratage parrainé par les États comme certains l’appellent. Bien que le rapport désigne la Chine comme le principal acteur menaçant dans cette région, il montre clairement que d’autres pays occidentaux se livrent aux mêmes activités d’espionnage / de piratage. Ces “piratages amicaux” montrent comment d’autres pays profitent clairement des avantages de leurs amis africains. Le rapport appelle les pays africains à mieux protéger leurs actifs numériques (politique, diplomatique, industriel, énergétique, télécom et financier). Ce constat dénote du manque d’une cyberstratégie et d’une stratégie de cyberdéfense au sein des pays Africains, qui pour la plupart qui pour la plupart n’envisage pas encore la question des risques numériques au delà de la cybercriminalité. C’est pour tirer la sonnette d’alarme et faire un éclairage sur cet état de fait que nous avons publié en juin 2019 l’ouvrage “Souveraineté numérique et cyberdéfense : un enjeu de taille pour l’Afrique“, qui propose une analyse sur l’impact de ce cyberespionnage sur la sécurité des Etats, et suggère quelques pistes de solutions pouvant influencer les choix stratégiques et inciter au développement des mécanismes plus efficaces de Cyberdéfense.

L’Union Internationale des Télécommunications (UIT), démembrement technique de l’ONU en matière de télécommunication,  a mis en place l’Indice de cybersécurité dans le monde (ou GCI mis pour Global Cybersecurity Index) qui mesure le niveau de développement de chaque pays en matière de cybersécurité [3]. Le GCI évalue le niveau d’engagement dans cinq domaines d’activités : cadre juridique, mesures techniques, structures organisationnelles, renforcement des capacités et coopération internationale. Il vise ainsi à fournir aux pays la motivation adéquate afin d’intensifier leurs efforts en matière de cybersécurité. L’objectif ultime est d’encourager une culture mondiale de la cybersécurité et de l’intégrer au centre même de la transformation numérique.

Ainsi, d’après le rapport GCI 2018, plusieurs pays africains sont entrain de mettre progressivement en place les bonnes pratiques de renforcement des capacités de lutte contre la cybercriminalité. Sur les 44 pays Africains qui participent à ce programme de l’UIT, il ressort de ce dernier rapport que 38 d’entre eux ont mis en place une loi pour lutter contre la cybercriminalité, 19 pays ont légiféré sur la protection de l’enfance en ligne, 17 pays ont des programmes conformes de formation des professionnels en cybersécurité, rien que 14 de ces 44 pays ont élaboré et rendu publique une stratégie nationale de cybersécurité, et seulement 13 ont un CERT (Computer Emergency Response Team) reconnu et fonctionnel.

Cet effort est appréciable notamment à travers l’évolution du positionnement des pays Africain dans le classement global. On constate par exemple que les leaders (les trois premiers de la région Afrique) de ce classement GCI mondial sont l’Île Maurice qui occupent le 14ème rang mondial, avec un indice de 0,88 sur une échelle de 0 à 1. Arrivent ensuite le Kenya avec un GCI de 0,748 (44ème), puis le Rwanda avec un GCI de 0,697 (49ème). Les pays africains les moins bien classés tels que la Guinée Bissau, la République Centrafricaine, la République Démocratique du Congo et la Guinée Equatoriale, se retrouvent dans les abîmes du classement (africain et mondial), avec les plus mauvais indices. 

Toutefois, l’étude de Jighi nous prévient que la lutte contre la cybercriminalité continuera de poser problème, car même si le marché de la cybersécurité représentera 2 milliards de dollars d’ici 2020, l’Afrique n’a pas encore mis au point un seul produit ou solution de cybersécurité commercialement viable. Évidemment, cela demande plus de formation et d’éducation en informatique et en science de la sécurité informatique.

Outre un ensemble de recommandations aux dirigeants politique et économique, le rapport souligne que les entreprises et les banques en particulier doivent mettre à niveau des systèmes obsolètes, confier à un personnel informatique compétent la configuration / maintenance des systèmes, embaucher des sociétés de sécurité renommées et réaliser régulièrement des audits informatique / pentests. Ce rapport suggère fortement que la cyber-sécurité fasse partie de chaque service en ligne et que davantage d’employés et d’individus soient formés pour être conscients des risques que les cyber-menaces en constante évolution, telles que le phishing, représentent pour l’organisation. Enfin, le rapport appelle les gouvernements africains à embaucher des entreprises de cybersécurité réputées pour surveiller et évaluer le potentiel de menace des entreprises et des fournisseurs sous contrat qui travaillent sur des infrastructures critiques.

Sources: 

[1] L’essentiel du texte est une traduction du “Executive Summary of African Cyber Threat Intelligence Report (ACTIR)” (résumé du rapport 2018 sur les cybermenaces en Afrique). 

[2] Nir Kshetri (2019) Cybercrime and Cybersecurity in Africa, Journal of Global Information Technology Management, 22:2, 77-81, DOI: 10.1080/1097198X.2019.1603527

[3] Rapport  Global Cybersecurity Index (GCI) 2018