Cybersécurité – Franck Kié : « L’Afrique sera aussi le champ de bataille numérique des puissances étrangères »

L’ACTU VUE PAR – « Les dérives du numérique constituent aujourd’hui l’une des menaces les plus sérieuses à la paix, à la sécurité et à la stabilité de nos pays ; menaces d’autant plus difficiles à combattre qu’elles sont diffuses et protéiformes. » Franck Kié n’a rien perdu des mots du président sénégalais Macky Sall, qui présidait le 24 octobre l’ouverture du Forum de Dakar sur la paix et la sécurité. C’était la deuxième participation du fondateur de Ciberobs, un observatoire sur les questions de cybercriminalité, à cet évènement annuel qui réunit les experts de la sécurité sur le continent.

« Le président Macky Sall a dit de façon claire que la cybersécurité devient une priorité pour nos États », insiste le consultant, qui se satisfait de voir « les responsables se saisir de la question ». En 2021, selon l’entreprise de cybersécurité kényane Serianu, la cybercriminalité aurait coûté 4,12 milliards de dollars au continent, contre 3,5 milliards de dollars quatre ans plus tôt.

« Les attaques visent tout le monde et sont de plus en plus sophistiquées », prévient Frank Kié, à l’heure où la numérisation des services et des activités économiques s’accroît en Afrique, qui se retrouve, une nouvelle fois, le théâtre des luttes d’influences des puissances étrangères. Entretien.

Jeune Afrique : Le 17 octobre, le régulateur des télécoms sénégalais a été attaqué par le groupe de hackers Karakurt, qui a eu accès à plus d’une centaine de gigaoctets (Go) de données. En quoi cette attaque est-elle révélatrice des risques liés à la cybercriminalité sur le continent ?

Franck Kié : Elle montre à quel point les cybercriminels arrivent à mener des attaques de plus en plus sophistiquées et n’ont pas peur de s’attaquer à l’État. Hier, c’était l’ARTP [Autorité de régulation des télécommunications et des postes], demain, ce sera la primature ou la présidence. Plus personne n’est à l’abri. Rappelez-vous les hôpitaux attaqués en Afrique du Sud pendant la crise du Covid-19. Désormais, il faut s’attendre à ce que n’importe quel service soit visé : administration, services de délivrance de passeports électroniques, opérateurs chargés de la distribution de l’eau, de l’électricité, de l’énergie. Voilà pourquoi il faut prendre des mesures dès maintenant, afin d’anticiper.

En quoi ces attaques consistent-elles et en quoi sont-elles sophistiquées ?

La méthode utilisée est celle de la rançon, où le cybercriminel infiltre votre système et stocke vos données sans que vous ne vous en rendiez compte et donc sans que vous puissiez le contrer. S’offre ensuite à lui deux possibilités : soit collecter l’information et rançonner la victime en la menaçant de divulguer ses données ; soit implanter un logiciel pirate qui bloque le système et force la victime à payer pour retrouver ses informations. C’est très différent des arnaques basiques de cyber au début des années 2000, celles des brouteurs en Côte d’Ivoire ou au Nigéria, ou la fameuse « arnaque au président », qui consiste à envoyer un mail en se faisant passer pour quelqu’un d’autre.

Selon une récente étude, 64 % des entreprises africaines ont été victimes d’une attaque de ce genre en 2021. Le secteur privé est-il le plus touché ?

L’absence de données empêche d’avoir des données précises. Ce que l’on sait néanmoins, c’est que les particuliers, plus vulnérables, étaient concernés mais aussi le secteur privé et les institutions financières. Désormais, les criminels touchent également le secteur public, qui dispose de données importantes et sensibles.

Comment les plus petites entreprises peuvent-elles assurer leur protection, qui affiche souvent un coût élevé ?

Par la sensibilisation et la formation de leurs employés, ce qui se fait de plus en plus. Les sous-traitants représentent habituellement des voies d’accès privilégiées pour viser des grands groupes, beaucoup mieux protégés, mais qui partagent leurs données avec des acteurs plus vulnérables. Les entreprises en sont conscientes, et des acteurs proposent désormais des solutions adaptées aux PME et TPE.

L’impact économique de ces cyberattaques a été estimé entre 3,5 et 4,2 milliards de dollars en 2021 selon les études…

Et ce coût sera amené à augmenter ; sachant qu’il peut être sous-estimé, car les entreprises touchées évitent de parler des attaques dont elles sont victimes, en raison du risque réputationnel, juridique ou financier.

L’épisode de l’ARTP montre que les attaques étrangères arrivent sur le continent

D’où proviennent ces cyberattaques ?

En général, ce sont des attaques commises sur des groupes de cybercriminels depuis le continent. Mais l’épisode de l’ARTP [le groupe Karakurt avait jusque-là commis la majorité de ces attaques en Amérique du Nord] montre que les attaques étrangères arrivent sur le continent, ce qui pourrait être encore plus dangereux, si l’Afrique devenait la cible de groupes avec des moyens conséquents, parfois sponsorisés par des États.

L’actualité récente montre que l’Afrique redevient le théâtre de la lutte d’influence des puissances étrangères. Est-ce aussi le cas dans le numérique ?

La cybersécurité n’est que la transposition de ce qu’il se passe dans le monde physique. À partir du moment où des puissances étrangères se livrent des luttes d’influence, physiques, culturelles ou économiques, cela se déportera sur le terrain numérique. Et l’Afrique fera figure de champ de bataille dans ce domaine également.

Les États sont-ils en mesure de mener des enquêtes et de poursuivre ces cybercriminels ?

Si les cybercriminels sont sur le sol national, oui. La Côte d’Ivoire a mis en place une plateforme de lutte contre la cybercriminalité, avec un taux de résolution de 50 %, l’un des plus importants au monde. S’ils ne sont pas présents dans le pays, tout dépend de la coopération avec l’État dans lequel le cybercriminel se trouve. Dans les pays qui sponsorisent les cybercriminels, il n’y a rien à faire. Cela dépend aussi parfois des attaques des géants du numérique, Facebook, Google ou Twitter, qui ne collaborent pas toujours avec les autorités compétentes.

Il y a un arbitrage à faire entre liberté d’expression et sécurité

Quelles solutions existe-t-il pour la protection des États, et qui sont les mieux outillés pour répondre à cette menace ?

La Côte d’Ivoire dispose de tout un arsenal législatif sur la protection des données à caractère personnel. Vu comme un foyer de cybercriminalité, le pays a dû prendre le leadership sur ce sujet. D’autres pays comme le Bénin, le Togo, le Maroc, le Rwanda, l’Afrique du Sud ou encore Maurice sont également avancés, avec la mise en place d’agences nationales de cybersécurité par exemple.

De manière générale, la dynamique est positive. La RDC vient d’adopter sa stratégie nationale en matière de cybersécurité. Ce genre d’initiatives demande du temps, mais elles sont peu à peu mises en place.

Quel risque existe-t-il de voir les gouvernants utiliser ce type d’arsenal législatif à des fins liberticides ?

Il y a un arbitrage à faire entre liberté d’expression et sécurité. Dans certains pays, des lois peuvent être utilisées pour restreindre la liberté d’expression, tout dépend du jeu démocratique. La société civile a un rôle primordial à jouer dans ce cas-là.