L’AFRIQUE ABORDE LA CYBERSÉCURITÉ

LA RÉVOLUTION ÉLECTRONIQUE APPORTE UN CHANGEMENT RAPIDE AU CONTINENT, EN BIEN ET EN MAL

Dr Eric Young, professeur au George C. Marshall Center

Au fur et à mesure que la révolution électronique déferle sur l’Afrique, la cybersécurité devient un défi majeur émergent.

En Afrique, la pénétration d’Internet et la croissance dans le cyberespace sont plus rapides que dans tout autre continent. En effet, l’Afrique est en train de combler le fossé numérique mondial. Sa révolution électronique développe les économies, change les structures sociales et bouleverse les systèmes politiques.

Les éleveurs masaï du Kenya peuvent désormais vérifier les prix du marché pour leur bétail sur des téléphones portables. Les nouveaux câbles sous-marins à fibre optique de l’Afrique, qui permettent l’accès à Internet haut débit, entraînent un essor entrepreneurial au Kenya et au Ghana. Le programme Vision 2020 du Rwanda est centré sur une économie entraînée par la jeunesse et fondée sur la connaissance. Le gouvernement nigérian a lancé le « Single Window Trade Portal » (portail à guichet unique pour le commerce), afin d’améliorer le commerce et de standardiser les services.

Parallèlement à une croissance et à un changement spectaculaires, apparaissent les défis et les menaces contre la sécurité, depuis la cybercriminalité et le vol de propriété intellectuelle jusqu’à l’espionnage et d’autres cyberattaques. Pour s’assurer que l’Afrique bénéficie pleinement de la révolution électronique, les gouvernements doivent prendre au sérieux la cybersécurité.

Différentes couches de solutions voient le jour. L’Europe, l’Asie, les États-Unis et, évidemment, tous les professionnels de la sécurité peuvent tirer des enseignements de l’approche de l’Afrique à l’égard de la cybersécurité.

Onze systèmes de câbles sous-marins en fibre optique ont été mis en place grâce à des investissements internationaux et locaux au cours des dernières années. Ceci a procuré une connectivité à haut débit, plus rapide et meilleur marché. La croissance économique, l’urbanisation et la croissance rapide de la population jeune ont emboîté le pas et créé de nouvelles opportunités économiques. Des cybercafés se sont ouverts dans une Somalie déchirée par la guerre. Des ingénieurs au Kenya, au Rwanda et en Afrique du Sud élaborent de nouveaux logiciels pour les marchés du monde entier. Enfin, de l’Algérie au Zimbabwe, le commerce électronique est en plein essor.

Les chiffres sont impressionnants. Six des dix économies mondiales à la croissance la plus rapide se trouvent en Afrique subsaharienne, qui a créé le deuxième marché de la téléphonie mobile le plus important au monde.

Il se vend quatre fois plus de smartphones que d’ordinateurs en Afrique. Par ailleurs, d’après les estimations, d’ici à 2016 un milliard de téléphones portables seront utilisés dans le continent. Le taux d’utilisation d’Internet mobile en Afrique est parmi les plus élevés du monde. La croissance annuelle de l’utilisation des médias sociaux, tels que Facebook et Twitter, dépasse 150 pour cent. Plus de 90 pôles technologiques, laboratoires d’innovation et incubateurs Internet sont implantés dans une vingtaine de pays africains.

L’impact politique a été également important. La plateforme logicielle Ushahidi a fait son apparition dans le sillage des violences postélectorales qu’a connues le Kenya en 2008. Elle permet aux internautes de définir collectivement une intervention en cas de crise. @GhanaDecides a mené une action éducative auprès des électeurs avant les élections de 2012, et les médias sociaux ont joué un rôle dans le Printemps arabe de 2010 en Afrique du Nord.

OBSTACLES À LA CROISSANCE

Malgré une croissance robuste, la révolution électronique de l’Afrique est confrontée à plusieurs défis :

• L’accès à la connectivité haut débit demeure inégal et est axé principalement sur les pays anglophones et les concentrations urbaines du littoral.
• L’Afrique reste un « dépotoir » pour les appareils portables et les ordinateurs personnels de deuxième génération d’occasion. Ces appareils sont plus vulnérables aux cyberattaques.
• Environ 80 pour cent des ordinateurs personnels en Afrique sont déjà infectés par des virus et d’autres logiciels malveillants.
• Certains ont utilisé la téléphonie mobile pour préconiser la violence. En outre, des États se sont servis du contrôle qu’ils exercent sur l’accès à Internet pour restreindre les libertés et les droits de l’homme.

Pourtant, tout bien considéré, de la sécurité alimentaire à l’accès aux soins de santé, et des opportunités d’emploi aux libertés démocratiques, toutes les facettes de la vie en Afrique ont bénéficié de la révolution électronique.

MENACES PESANT SUR LA RÉVOLUTION ÉLECTRONIQUE DE L’AFRIQUE

À ce jour, l’Afrique a vécu une lune de miel avec Internet. La plupart des cyberattaques ont été limitées et rudimentaires. La cybercriminalité est devenue locale et courante. En Ouganda, elle est appelée bafere et, au Ghana, sakawa. Les criminels utilisent généralement des logiciels malveillants commercialisés, le phishing (ou hameçonnage) ou des formes d’escroquerie basée sur une demande d’avance de fonds par courriel, appelées communément arnaques nigérianes 419 ou familièrement yahoo-yahoo. Le grand public est rapidement devenu victime d’attaques. Or, récemment, ces attaques ont eu des incidences économiques majeures.

La cybercriminalité s’est développée parallèlement à une connectivité plus abordable et à l’essor du commerce électronique. La croissance des télécommunications cellulaires va de pair avec l’augmentation des cyberattaques sur les smartphones. En 2012, l’Afrique du Sud, le marché du commerce électronique le plus avancé du continent, est également devenue le deuxième pays le plus ciblé dans les attaques de phishing.

En octobre 2013, une variante du logiciel malveillant Dexter a coûté aux banques sud-africaines des millions de dollars lorsqu’il a été infiltré dans les terminaux de points de vente de chaînes de restauration rapide. De 2010 à 2012, le Nigeria a enregistré une augmentation de 60 pour cent des attaques contre les sites Internet du gouvernement, lesquelles ont affecté la Banque centrale du Nigeria, le ministère de la Science et de la Technologie, ainsi que la Commission des crimes économiques et financiers. Ce ne sont que quelques exemples parmi des dizaines d’incidents signalés.

Il est difficile de chiffrer les coûts associés au vol de la propriété intellectuelle, à l’espionnage, à la cybersécurité, aux opportunités et à la réputation qui sont engendrés par des activités malveillantes. Comme l’ont observé la société de logiciels de sécurité McAfee et le Centre d’études stratégiques internationales, les répercussions économiques du vol de la propriété intellectuelle est probablement bien plus élevé que le coût de la cybercriminalité.

Au fur et à mesure que cette révolution électronique évoluera, l’Afrique assistera à un essor de la propriété intellectuelle. Par conséquent, le vol de la propriété intellectuelle et d’informations commerciales sensibles s’accroîtra probablement. Par ailleurs, même si l’Afrique (hormis l’Afrique du Sud) n’est probablement pas une cible importante de l’espionnage en ligne, la menace est réelle.

Il est également probable que certains États développeront des capacités offensives, déséquilibrant davantage le rapport des capacités militaires entre pays riches et pays pauvres. Aucune information publique disponible ne révèle qu’un État africain ou un acteur non étatique aurait réalisé avec succès une cyberattaque offensive. Cependant, la présence dans les médias sociaux et en ligne de groupes terroristes, tels qu’Al-Shebab en Somalie, démontre avec quelle facilité et quelle rentabilité les acteurs non étatiques peuvent utiliser de manière particulièrement efficace le cyberespace. Par ailleurs, la cybercriminalité étant un problème transnational, les pays africains et leurs citoyens demeurent vulnérables à des attaques provenant du monde entier.

COUCHES DE SOLUTIONS

Outre les menaces, l’Afrique est confrontée à des difficultés affectant le traitement de la cybercriminalité. D’une part, les gouvernements africains ont des capacités limitées pour adopter une législation et l’appliquer. Au Kenya, par exemple, moins de 50 pour cent des cybercrimes aboutissent à une condamnation. Les gouvernements ont récemment commencé à financer la cybersécurité. Ils manquent donc de spécialistes des technologies de l’information et de la cybersécurité. Les lois et les règlements concernant les fournisseurs de téléphones portables et d’accès à Internet en sont encore à leurs balbutiements. En outre, l’application de la loi peut s’avérer laxiste. La corruption est souvent endémique et gagne le domaine du cyberespace.

Les États-Unis et l’Europe n’offrent pas d’exemples particulièrement bons à suivre. Ils sont fortement dépendants du secteur privé de la sécurité des technologies de l’information et sont souvent à la traîne en matière de lutte contre la cybercriminalité. À l’échelle internationale, il n’existe aucun référentiel central des connaissances, des expertises ou des formations dans le domaine du cyberespace. Des solutions spécifiques à l’Afrique sont rarement présentées.

Pourtant, plusieurs couches de solutions ont fait leur apparition en Afrique, depuis la sensibilisation accrue à la cybercriminalité jusqu’à la création d’équipes d’intervention en cas d’urgence informatique (computer emergency response teams ou CERT) mais aussi depuis les stratégies nationales de lutte contre la cybercriminalité jusqu’à la collaboration internationale. Toutes ces initiatives seront nécessaires pour s’assurer que la révolution électronique continuera en Afrique.

La sensibilisation à la cybercriminalité au moyen de l’éducation et de la formation est cruciale en Afrique. Il faut sensibiliser le public et les entreprises. Chose encore plus importante, les législateurs doivent être informés des menaces et des opportunités liées à la cybersécurité.

Seules l’Afrique du Sud et l’Égypte disposent d’un nombre important d’experts de la cybersécurité ayant reçu une formation. Ces dernières années, quelques pays ont adopté des lois liées à la cybersécurité, à la cybercriminalité et à la protection des données. Or, nombres d’entre elles sont déjà dépassées, et d’autres pays essaient de combler leur retard. Beaucoup exigent l’enregistrement de la carte SIM, en partie, pour mieux contrôler les actes criminels commis sur les téléphones portables. À tous les niveaux et dans l’ensemble des organes gouvernementaux, une expertise sur les problèmes de cybercriminalité est nécessaire. Une étape positive a été franchie dans la répression des infractions. Plusieurs pays, dont le Ghana, l’Afrique du Sud et l’Ouganda, ont créé au sein de leurs forces de police de nouvelles unités dédiées à la lutte contre la cybercriminalité.

Une indication de la meilleure prise de conscience des gouvernements et l’amélioration de leurs capacités est la création de CERT nationales (voir encadré). Onze pays africains ont mis en place des CERT. En outre, à l’échelle du continent, une AfricaCERT est basée au Ghana. Une telle équipe coordonne le signalement des incidents et agit en faveur de l’éducation et du développement des ressources humaines en matière de cybersécurité. Certaines CERT ont porté leurs fruits : en 2012, la CERT de la Côte d’Ivoire a enquêté sur 1.892 rapports d’incidents. Les autorités ont procédé à 71 arrestations, aboutissant à 51 condamnations pour des actes criminels liés à la cybersécurité.

UNE CYBERSTRATÉGIE NATIONALE

Les CERT ne constituent qu’une partie d’une stratégie nationale complète de cybersécurité. La stratégie peut être un outil décisif pour s’assurer que les ressources limitées des pouvoirs publics sont affectées aux ministères et aux organismes engagés dans la cybersécurité. À cet égard, l’Afrique du Sud joue un rôle de pointe sur le continent, développant une stratégie nationale de cybersécurité en 2010 et inaugurant un conseil national consultatif de la cybersécurité en 2013. L’Ouganda a également mis en place une stratégie nationale de la cybersécurité. Enfin, le Kenya élabore actuellement un plan-cadre national.

Comme les stratégies sud-africaine et ougandaise le démontrent, il est important que les nations adoptent une approche englobant l’ensemble des pouvoirs publics pour s’assurer que la stratégie est efficace et développer les capacités nationales, autres que le pouvoir d’un ministère. Outre les stratégies nationales, de nombreuses approches régionales et internationales améliorent la cybersécurité en Afrique. Les communautés économiques régionales s’efforcent de collaborer sur la cybersécurité, les plus actives à cet égard étant la Communauté de développement de l’Afrique australe et la Communauté de l’Afrique de l’Est.

Ces quatre dernières années, l’Union africaine a envisagé une Convention de l’Union africaine sur la cybersécurité, comportant des articles sur le commerce électronique, la protection des données personnelles, la cybercriminalité et la cybersécurité nationale. Elle a mis particulièrement l’accent sur le racisme, la xénophobie et la pornographie infantile. Toutefois, sa mise en œuvre présentera des difficultés significatives, et la volonté politique demeure un problème. Les critiques craignent que cette convention restreigne la liberté d’Internet.

En même temps, laisser la cybersécurité aux mains du secteur privé en Afrique n’est pas une option envisageable. En effet, la corruption, un cadre juridique faible et la motivation exercée par la recherche du profit ne concordent pas nécessairement avec les exigences inhérentes à la sécurité nationale. Les universités, les groupes de réflexion et les organisations non gouvernementales (ONG) joueront sans aucun doute des rôles importants. Toutefois, ces entités ne disposent pas des ressources financières nécessaires pour lancer des initiatives de cybersécurité.

La révolution électronique de l’Afrique ne peut pas, et surtout ne doit pas être arrêtée. Trop de personnes bénéficient énormément de l’accroissement de la connectivité mondiale. Les entrepreneurs du cyberespace faisant leur apparition en Afrique doivent être soutenus par la communauté mondiale des acteurs concernés et par leur gouvernement. Les recherches réalisées par les Africains au sujet des menaces et des solutions sont également importantes pour que les stratégies en matière de cybersécurité se mettent en place.

La croissance économique de l’Afrique dépendra principalement de l’amélioration de la cybersécurité. Les gouvernements ne devraient pas externaliser cette tâche au secteur privé ou aux ONG. Les partenariats internationaux et le partage des meilleures pratiques sont d’importance cruciale, tout comme l’assistance pour le renforcement des capacités techniques et les conseils de nature juridique. Dans le cyberespace, toutes les parties prenantes devront œuvrer de concert ou subir de graves déconvenues.  q

Le Dr Eric T. Young est professeur d’études de sécurité nationales au George C. Marshall Center. Parmi ses centres d’intérêts majeurs figurent les études sur la sécurité africaine, le terrorisme, la lutte contre le terrorisme, les relations civilo-militaires et la sociologie militaire.

LES CLUSTERS TECHNOLOGIQUES FONT LEUR APPARITION DANS TOUTE L’AFRIQUE

PERSONNEL D’ADF

La croissance technologique de l’Afrique ne concerne pas seulement le cyberespace. Elle prend également racine dans certaines des plus grandes villes du continent. Les promoteurs immobiliers comprennent l’importance de regrouper les entreprises dans des « clusters technologiques » en vue d’en accroître au maximum l’efficacité et l’innovation.

Les clusters consistent en des entreprises imbriquées qui mettent en commun certains éléments, comme la réserve de personnel qualifié, les fournisseurs spécialisés et les connaissances. Dans les clusters, les entreprises collaborent et sont en concurrence. D’une certaine manière, elles dépendent les unes des autres, selon le South African LED Network (réseau sud-africain de développement économique local). Elles espèrent que le prochain géant technologique, à l’instar de Google ou Facebook, naîtra de ces clusters, parfois appelés « cybervilles ».

Récemment, les clusters technologiques se sont développés dans l’ensemble du continent. D’autres en sont au stade de la planification. Voici une liste des clusters les plus en vue en activité ou en construction :

1. ALGÉRIE – Cyberparc de Sidi Abdallah. Ce centre de hautes technologies comporte notamment des espaces de recherche et des laboratoires implantés sur plus de 100 hectares. Il comprend également deux hôtels, des commerces et d’autres équipements. Lorsque le centre était en construction en 2006, le ministre algérien des Technologies Boudjemaa Haichour a déclaré à Magharebia.com que le but était de stimuler l’activité technologique, de fournir un soutien opérationnel aux entreprises nationales et d’accélérer l’emploi des ordinateurs dans les petites et moyennes entreprises. Ses activités comprennent la fabrication et l’assemblage de composants électroniques ainsi que la mise au point de logiciels.

2. ÉGYPTE – Smart Village Cairo. Il s’agit du premier cluster et parc d’entreprises entièrement opérationnel de l’Égypte consacré aux technologies de l’information. Sur 3 millions de mètres carrés, il accueille des sociétés multinationales ainsi que des organisations gouvernementales, financières et éducatives. Parmi les entreprises participantes, se trouvent des géants technologiques, tels que Microsoft, IBM et InfoBlink, mais aussi une entreprise technologique basée au Caire fabricant des logiciels de gestion des flottes de véhicules, du transport terrestre et de la main-d’œuvre mobile.

3. GHANA – Hope City. Ce centre technologique du Ghana, d’une valeur de 10 milliards de dollars et projeté pour Accra, sera composé du plus haut bâtiment de l’Afrique, s’élevant à 270 mètres au milieu de six tours. Il comprendra une université des technologies de l’information, une zone résidentielle et un hôpital, ainsi que des équipements sociaux et sportifs. « Ceci nous permettra de disposer de la plus grande installation d’assemblage au monde pour la fabrication de divers produits à hauteur de plus d’un million par jour », a déclaré à la BBC Roland Agambire, directeur du géant technologique ghanéen RLG Communication. Une fois achevé, le parc technologique pourrait accueillir 25.000 résidents et fournir 50.000 emplois.

4. KENYA – Konza Technology City. Lancé en 2013, ce projet immobilier se situe à 60 kilomètres de Nairobi. Sa première phase, dont l’achèvement est prévu en 2017, comprend un complexe de 1,5 million de mètres carrés sur 162 hectares. Une fois terminé, il devrait attirer 30.000 résidents et 16.700 employés. Konza aura quatre secteurs prioritaires, à savoir l’éducation, les sciences de la vie, l’industrie des télécommunications, l’externalisation des processus métier et l’externalisation des technologies de l’information.

5. MAURICE – Ébène Cyber City. Élaboré par une filiale de Business Parks of Mauritius Ltd., qui en est propriétaire, Ébène Cyber City consiste en deux « cybertours » de 44.000 mètres carrés et 16.000 mètres carrés, respectivement. Lorsque la construction a commencé en 2001, ce projet immobilier était présenté comme un centre de technologies de l’information et d’initiative visant à relier les marchés asiatiques et africains, d’après le site 1st2tech.com. Ébène accueille AfriNIC, le registre régional d’adresses IP desservant l’Afrique, ainsi que d’autre entreprises spécialisés dans les technologies de l’information.

6. MAROC – Technopark, Casablanca. Technopark, un partenariat public-privé, a été créé pour développer les technologies de l’information et des communications ainsi que les technologies vertes. Technopark consiste en 230 jeunes pousses et petites et moyennes entreprises employant 1.500 personnes. Technopark a ouvert à Rabat en 2012 et projette d’ouvrir à Tanger vers la fin 2014. Omar Balafrej, directeur général de la société Moroccan Information Technopark Co., a indiqué à Magharebia.com que des plans d’expansion étaient également prévus à Oujda, Marrakech, Agadir et Fès.

7. AFRIQUE DU SUD – Technopark Stellenbosch. Ce cluster de 289 entreprises représentant 33 industries accueille les secteurs de la communication, de l’ingénierie, d’Internet, des logiciels et de la technologie. La construction sur le parc a commencé en 1987.

DES ÉQUIPES DE PRÉPARATION S’EFFORCENT DE SÉCURISER INTERNET

PERSONNEL D’ADF

En 2013, Symantec, une entreprise spécialisée dans la sécurité sur Internet, a conclu que plus de 552 millions d’identités était exposées du fait d’infractions à la sécurité, que les attaques basées sur Internet étaient en augmentation de 23 pour cent et qu’un site Internet légitime sur huit présentait une « vulnérabilité critique ».

L’Afrique peut être particulièrement vulnérable, compte tenu du fait que son infrastructure informatique et Internet est encore en cours de développement. En 2013, 73 pour cent des utilisateurs d’Internet sud-africains étaient affectés par la cybercriminalité, selon Symantec. Ce phénomène coûte à l’économie sud-africaine environ 300 millions de dollars.

Un plan visant à assurer la sécurité sur Internet est essentiel. C’est dans ce contexte qu’apparaît AfricaCERT.

Le sigle CERT signifie « Computer Emergency Readiness Team » (équipe de préparation aux urgences informatiques). Elle a été créée en 1988 en tant que projet de la Defense Advanced Research Projects Agency (agence pour les projets de recherche avancée de défense), une agence indépendante au sein du Département de la Défense des États-Unis. Aujourd’hui, elle se consacre aux incidents relatifs à la sécurité sur Internet.

Le projet AfricaCERT a pour ambition de réunir les pays africains autour de la promotion et de la défense de la cybersécurité. D’après ce site Internet, ce projet « facilite l’utilisation des capacités d’intervention en cas d’incidents des pays africains et apporte un renforcement des capacités, ainsi qu’un accès aux meilleures pratiques, aux meilleurs outils et à une communication fiable au niveau du continent ».

Divers pays participent au projet AfricaCERT, à savoir le Burkina Faso, le Cameroun, la Côte d’Ivoire, l’Égypte, le Ghana, le Kenya, Maurice, le Maroc, l’Afrique du Sud et la Tunisie. Ces pays semblent être à divers niveaux de développement au regard du programme. Plusieurs initiatives nationales fournissent un éventail de services.

Par exemple :

• L’équipe d’intervention en cas d’incidents informatiques du Burkina Faso est chargée d’aider les organismes gouvernementaux à réduire les risques affectant la sécurité informatique et à intervenir en conséquence. L’équipe contribue également à informer le public sur les menaces cybernétiques et la cybercriminalité.
• L’équipe d’intervention en cas d’urgence informatique de la Côte d’Ivoire alerte les usagers d’un ordinateur susceptibles d’être victimes de vulnérabilités logicielles.
• L’équipe nationale mauricienne d’intervention en cas d’incident lié à la sécurité informatique effectue le suivi des problèmes de sécurité informatique publique et privée mais aussi avertit les administrateurs de systèmes et les utilisateurs des menaces les plus récentes relatives à la sécurité.
• L’équipe d’intervention en cas d’urgence informatique du Soudan sert de système d’alerte précoce et collecte les données sur les incidents de réseau. Elle aide également les organes de répression des infractions à collecter des preuves.
• Le site Internet de l’équipe tunisienne d’intervention en cas d’urgence informatique inclut des alertes de sécurité informatique aux analyses des risques. Il comporte également des liens que les citoyens peuvent utiliser pour signaler des cas de malveillance et d’escroqueries Internet.