PERSONNEL D’ADF
Depuis près de deux décennies, le pays insulaire de Maurice aspire à être une puissance technique et financière sur la scène mondiale.
L’ambition du pays en vue de devenir une « société de l’information » remonte à 2001 lorsqu’il avait créé les Business Parks of Mauritius Ltd, société d’état engagée dans le développement de la technologie de l’information et des communications. Ceci a conduit au projet de la Cyberville en 2003. Le but du projet était de faire de Maurice une destination de choix pour les entreprises et les professionnels et « de créer de la richesse et des emplois par l’utilisation de la technologie de l’information », selon le reportage de The New Economy du Royaume-Uni. Aujourd’hui, le projet occupe 62 hectares avec 5 secteurs distincts : la cybernétique et le multimédia, les affaires et les finances, les connaissances, le commercial et le résidentiel.
Maurice est désormais considéré comme le pays le plus engagé d’Afrique en matière de cybersécurité, étant classé sixième du monde sur l’indice mondial de la cybersécurité. Ce n’est pas par coïncidence que Maurice est aussi regardé comme le plus grand succès démocratique d’Afrique et l’un de 20 pays du monde seulement à être classé comme une « démocratie complète ».
Grove Applied Intelligence d’Afrique du Sud déclare que la situation de Maurice en tant que chef de file de la technologie de l’information et des communications (TCI) est le résultat de « la bonne élaboration des politiques et la bonne prospective du pays pour le bénéfice du secteur des affaires ».
En mai 2018, l’Union européenne a adopté le règlement général sur la protection des données qui affecte toutes les organisations et tous les pays engagés dans des activités commerciales avec l’UE. Ce règlement exige la mise en place de pratiques généralisées de cybersécurité et de respect de la vie privée. Anticipant la réglementation de l’UE, Maurice avait adopté la Loi sur la protection des données de 2017.
Les responsables mauriciens qui ont annoncé cette loi ont déclaré qu’elle créait le « juste équilibre » entre le droit à la vie privée et les préoccupations de sécurité du gouvernement et du commerce.
« Le principe clé à la base de la protection des données consiste à assurer que les gens sachent contrôler comment les informations personnelles les concernant sont utilisées ou, au minimum, qu’ils sachent comment les autres utilisent ces informations », a noté le Bureau mauricien pour la protection des données. « Les contrôleurs de données sont des personnes ou des organisations qui détiennent des informations sur les individus et qui doivent se conformer aux principes de protection des données dans le traitement des données personnelles ; les “sujets des données” sont les individus qui sont dotés des droits correspondants. »
« La loi vise à assurer la protection du droit à la vie privée des personnes compte tenu des développements dans les techniques utilisées pour capturer, transmettre, manipuler, enregistrer ou sauvegarder les données concernant les personnes. »
Kaleem Ahmed Usmani est le chef de l’équipe de réponse informatique d’urgence (CERT) de Maurice et le représentant mauricien actuel auprès du groupe d’experts gouvernementaux en cybernétique des Nations unies. Dans une interview par e-mail avec ADF, le Dr Usmani a déclaré que son pays pensait qu’il devait se mettre à jour pour prendre en charge la cybersécurité.
« L’expansion rapide de la TIC dans le continent africain au cours des dix dernières années a conduit à l’utilisation accrue de l’Internet et de la technologie mobile, écrit-il. L’augmentation de la pénétration de l’Internet a aussi rendu les pays vulnérables aux attaques cybernétiques. La législation, les politiques et le développement des capacités concernant la cyber-sécurité n’ont pas été une préoccupation principale dans de nombreux pays à cause d’un manque de sensibilisation et de volonté politique. »
Le Dr Usmani déclare que, dès le départ, la vision du gouvernement mauricien « était de faire du pays une “île cybernétique” dans laquelle la TCI deviendrait le cinquième pilier de l’économie, après le sucre, les textiles, le tourisme et les services financiers. »
L’équipe de réponse d’urgence
La CERT de Maurice, qui est une agence du Conseil national de l’informatique, représente un aspect majeur de la cybersécurité du pays. L’équipe de réponse exploite un portail informatique national visant à enseigner au public les questions techniques et sociales auxquelles les utilisateurs de l’Internet font face, et en particulier les dangers en ligne. Les membres de l’équipe de réponse déclarent que leur objectif consiste à fournir des informations aux groupes ciblés alors qu’ils « étudient, analysent, recherchent et innovent continuellement pour garder une longueur d’avance et maintenir un avantage technologique sur les acteurs de la cybercriminalité ».
Les responsabilités de l’équipe du portail sont les suivantes :
- Encourager les organisations et les personnes à signaler les incidents de cybersécurité.
- Conseiller aux utilisateurs de l’Internet sur la façon de gérer les menaces cybernétiques.
- Évaluer la sécurité de l’infrastructure de technologie de l’information (TI) des organisations.
- Conduire des contrôles de sécurité informatique de tiers pour les organisations.
- Aider les organisations à établir les meilleures pratiques de gestion de la sécurité.
- Éducation et formation en matière de cybersécurité.
- Organiser une formation pour les professionnels de la cybersécurité.
Sylvain Martinez, fondateur d’ElysiumSecurity, a déclaré au site d’actualités mauricien Defimedia que, lorsque les ménages et les entreprises de Maurice continuent à s’appuyer sur la technologie et à se connecter à l’Internet, le pays est vulnérable aux attaques cybernétiques comme tout autre pays développé.
« Alors que le monde moderne devient de plus en plus numérisé, il s’appuie aussi de plus en plus sur les systèmes TI, ce qui signifie que l’aire d’exposition aux attaques cybernétiques augmente, déclare-t-il. En parallèle, les cybercriminels ont de plus en plus d’argent à gagner du fait des attaques cybernétiques, et ont aussi un impact géopolitique potentiel de plus en plus élevé, ce qui signifie que les hackers deviennent des professionnels de plus en plus sophistiqués, munis de ressources croissantes. »
Un portail convivial
Le portail national de la cybersécurité de Maurice est conçu pour être convivial et utile pour pratiquement tous ceux qui entrent en ligne. Il contient une explication et une vidéo sur les fraudes par hameçonnage, une vidéo sur la protection des enfants contre le harcèlement cybernétique, des informations et une vidéo sur la façon d’assurer que les enfants sont sécurisés en ligne, des conseils sur la façon de se protéger soi-même, sa famille et ses appareils, et des informations sur la ligne d’assistance téléphonique concernant la sécurité informatique du pays pour signaler les sites Web dangereux. Ce site Web est utile même pour ceux qui n’habitent pas à Maurice.
Le portail possède huit liens en ligne dédiés aux enfants. La section « parents » du portail possède des informations sur le jeu, le contenu indécent, les réseaux sociaux, la sécurité en ligne, l’addiction de l’Internet, le courrier électronique indésirable, le chat sécurisé en ligne, les prédateurs en ligne et une section séparée concernant l’utilisation de Facebook.
La section « usagers à domicile » offre des informations sur les smartphones, les maliciels, les achats et les investissements en ligne, les discours haineux, l’accès sans fil, le spam et les fraudes, votre empreinte numérique et l’informatique sécurisée.
Le portail offre aux organisations et aux entreprises des informations sur la sauvegarde des données, la lutte contre les menaces, les contrôles d’accès, le traitement des maliciels, l’identification du vol et le droit à la vie privée, l’accès sans fil et les politiques de sécurité.
Les outils téléchargeables gratuitement incluent des logiciels antivirus, un outil de blocage de site Web, des filtres anti-spam et des bloqueurs de spam, et un programme pour bloquer les sites Web dédiés à l’hameçonnage.
« Le système mauricien de compte rendu en ligne sur la cybercriminalité (MAUCORS) a aussi été établi comme plateforme en ligne pour signaler les cybercrimes, précise le Dr Usmani. MAUCORS fournit aussi des informations concernant diverses formes de cybercriminalité et la Façon dont les personnes peuvent mieux se protéger. »
Les pays « smart » sont toujours sujets à des risques
Le Dr Usmani déclare que les leçons apprises dans son pays peuvent être appliquées ailleurs.
« D’autres pays, en particulier en Afrique, peuvent suivre la voie de Maurice pour renforcer leur résilience cybernétique, déclare-t-il. De telles mesures incluraient le développement d’une législation nationale sur la cybersécurité, une stratégie, la création d’équipes CERT et de systèmes techniques, le développement des capacités de cybersécurité et la promotion de la coopération internationale. Maurice serait très désireux de partager son expertise au sein de la région. »
Les experts en sécurité déclarent que même les pays comme Maurice qui sont cybernétiquement judicieux affrontent des risques de sécurité. À mesure que les affaires publiques et privées du pays sont amenées en ligne, les risques continuent à croître. Loganaden Velvindron de l’African Peering & Interconnection Forum a déclaré à Defimedia que les types les plus courants de risques comprennent le hameçonnage, les maliciels et les menaces sur l’infrastructure.
« Le hameçonnage est fréquent dans les e-mails lorsque l’expéditeur prétend être quelqu’un d’autre, déclare-t-il. Beaucoup de gens ne sont pas capables d’identifier les attaques de fraude qui les ciblent. Les maliciels se retrouvent fréquemment sur les smartphones, les tablettes et aussi les ordinateurs PC qui ont été infectés. Finalement, l’exploitation d’une infrastructure vulnérable est très répandue : certains serveurs fonctionnent souvent pendant des années sans recevoir de mise à jour de sécurité. Un grand nombre de sites Web ont été dégradés à cause d’un manque de contrôle de sécurité permettant d’identifier les codes vulnérables qui sont exécutés. »
Maurice a aussi pris des mesures pour bloquer les informations fallacieuses, selon le Dr Usmani, y compris des condamnations pouvant atteindre 10 ans de prison pour ceux qui affichent délibérément de fausses informations. Il ajoute que son pays possède des portails et des sites Web dédiés sur lesquels les personnes peuvent obtenir des « informations authentiques ».
Il déclare que l’enjeu de la cybersécurité est plus important que jamais.
« Le recours croissant au cyberespace offre de nouvelles opportunités, mais en même temps de nouvelles menaces. Alors que les nouveaux crimes augmentent exponentiellement, le gouvernement reconnaît les menaces sérieuses dues à la cybercriminalité et leur impact sur l’infrastructure critique du pays. »
Le Dr Usmani et d’autres experts déclarent qu’il existe certains contrôles de sécurité de base que toutes les organisations devraient avoir, notamment un logiciel antivirus actualisé, un pare-feu et des mots de passe forts et spécifiques à l’application. Il est aussi nécessaire d’utiliser son bon jugement : pensez avant de cliquer.
La crise en cours du Covid-19 a provoqué une augmentation de la cybercriminalité, selon les experts.
« Pendant cette crise, qui a suscité un recours croissant aux systèmes informatiques, les appareils mobiles et l’internet pour travailler, communiquer, acheter, partager et recevoir des informations, une hausse soudaine du nombre d’incidents cybernétiques a été enregistrée, déclare le Dr Usmani. Un changement dans l’environnement de la menace cybernétique a été observé à Maurice. Les campagnes de hameçonnage, les fraudes en ligne et notamment l’extorsion, l’affichage d’un contenu offensif représentent la tendance actuelle, comparé aux autres types traditionnels d’incidents tels que le vol d’identité, le harcèlement cybernétique et le piratage, entre autres. »
Les experts déclarent que les risques croissent à mesure que la numérisation avance. Subheer Ramnoruth, directeur de l’école commerciale Whitefield à Curepipe (Maurice), déclare que les gens sont « vaguement conscients » des risques de cybersécurité, ce qui les rend simplement plus vulnérables aux menaces en ligne.
« Par exemple, lorsqu’on télécharge une appli pour téléphone mobile, est-ce qu’on se demande pourquoi l’appli nous demande la permission de voir nos images ou nos listes d’appels, déclare-t-il à Defimedia. Ou est-ce que nous essayons de déterminer s’il s’agit d’une appli authentique ou frauduleuse ? Pourquoi est-ce qu’une société investirait des centaines de milliers de roupies (mauriciennes) [plusieurs milliers de dollars] pour développer une appli, puis la donnerait gratuitement en ligne à tout le monde ? Il doit certainement exister un autre motif. »
La sécurité doit rester ouverte et RESPONSABLE
Le Dr Nathaniel Allen est professeur adjoint pour les études de sécurité au Centre africain pour les études stratégiques. Il est chargé de la supervision du programme académique du centre sur la cybersécurité et les opérations de soutien de la paix et de l’intégration de ces principes dans la recherche et la sensibilisation du centre. Il a parlé par téléphone à ADF au sujet de Maurice et de ses efforts liés à la cybercriminalité.
ADF : Pourquoi Maurice est-il l’un des premiers pays du monde dans la gestion des attaques cybernétiques ?
Dr ALLEN : Maurice a quelques avantages que la plupart des pays africains n’ont pas. C’est un petit pays, bien gouverné, dont les revenus correspondent à la classe intermédiaire élevée. Il se positionne comme centre régional et mondial des affaires et de la finance, il a un taux élevé de pénétration Internet et un secteur TCI (technologie de l’information et des communications) robuste. Ces facteurs font de la cybersécurité une question très importante pour les responsables politiques mauriciens et les intervenants de l’industrie. Ces deux groupes ont beaucoup investi pour s’assurer que Maurice ait l’infrastructure, les ressources humaines, les structures juridiques, les relations entre multiples intervenants et les institutions nécessaires pour prévenir effectivement les attaques cybernétiques et s’en rétablir.
ADF : Maurice a établi un moyen pour que les gens, du public et du privé, entrent en ligne et signalent les attaques cybernétiques. Est-ce quelque chose de nouveau ? D’autres pays agissent-ils ainsi ?
Dr ALLEN : C’est l’une des meilleures pratiques pour gérer les attaques cybernétiques. Le système de compte rendu en ligne de Maurice est géré par son équipe nationale de réponse informatique d’urgence (CERT). Les CERT deviennent des véhicules de plus en plus répandus pour les pays et les secteurs afin de surveiller, prévenir, affronter et gérer les attaques cybernétiques. Ce n’est pas encore une pratique standardisée en Afrique, où plus de la moitié des pays de la région n’ont pas de CERT. La CERT de Maurice a été établie en 2008 ; elle est donc en avance sur les autres.
ADF : D’autres pays pourraient-ils émuler ce que fait Maurice ? Devraient-ils essayer ?
Dr ALLEN : Absolument. Je pense que les autres pays d’Afrique devraient observer attentivement comment Maurice relève ses défis de cybersécurité, et tôt ou tard ils devront le faire eux-mêmes. La pénétration de l’Internet sur le continent est toujours relativement faible, entre 30 et 40 % environ, mais elle est anticipée de passer à 75 % à la fin de la décennie. Alors que davantage de pays se connectent à l’Internet, et davantage de personnes utilisent la large bande, les vulnérabilités augmentent et il en est de même pour l’importance de la cybersécurité. Les pays africains qui ont déjà un haut niveau de pénétration Internet ont tendance à avoir les meilleures politiques de cybersécurité. À mesure que le nombre de personnes possédant l’accès à l’Internet augmente, l’utilisation de la cybersécurité doit le faire aussi.
ADF : Pensez-vous que le fait que Maurice soit une démocratie bien établie est lié d’une façon quelconque à ses efforts contre la cybercriminalité ?
Dr ALLEN : Oui. Maurice a trouvé un moyen d’empêcher la cybercriminalité et d’y répondre tout en préservant son état de démocratie qui respecte les libertés civiles et politiques de ses citoyens. Je pense qu’il est crucialement important de donner au secteur de la sécurité un rôle qui lui permette de répondre effectivement à la menace de la cybercriminalité et de la gérer, tout en restant engagé envers des principes de gouvernance ouverts, transparents et responsables du secteur de la sécurité. C’est l’un des défis centraux que de nombreux gouvernements du monde, notamment en Afrique, affronteront à l’avenir.
ADF : Maurice travaille étroitement avec les banques pour gérer la cybercriminalité. Quels sont selon vous les autres aspects de la société ou du commerce que le pays utilisera pour arrêter la cybercriminalité ?
Dr ALLEN : Puisque c’est un centre névralgique pour le reste de l’économie, le secteur financier a toujours été un partenaire clé des gouvernements en ce qui concerne la réponse à la cybercriminalité. Les banques ont tendance à affecter des ressources importantes pour gérer les menaces provenant par exemple des virements bancaires illégaux liés aux fraudes des cartes de crédit. Ceci en fait des partenaires naturels pour tout gouvernement. Étant donné les efforts de Maurice pour se positionner comme centre financier pour une grande partie de l’Afrique et de l’Asie, la relation est encore plus cruciale. La TCI devient aussi de plus en plus intégrée dans notre vie quotidienne et dans de nombreux secteurs différents. La plupart des commerces et des secteurs dépendent de la TCI ou de l’infrastructure de TCI d’une façon ou d’une autre, ce qui rend la cybersécurité encore plus cruciale.
ADF : Quelles sont les prochaines étapes dans la lutte de Maurice contre la cybercriminalité ?
Dr ALLEN : J’espère que nous irons seulement en avant. Toutefois, la pandémie de Covid-19 s’avère déjà être difficile, alors que les acteurs des menaces cybernétiques à Maurice et dans le monde exploitent de plus en plus la pandémie pour pratiquer le spam, le hameçonnage et d’autres types d’ingénierie sociale. Les informations fallacieuses et la désinformation liées à la pandémie constituent aussi un problème. Mais je pense que le plus grave danger de la pandémie est le fait qu’elle a déjà affecté l’économie du pays. Toutefois, la pandémie accélère aussi de plusieurs façons l’adoption du développement axé sur la TCI. Nous sommes donc aujourd’hui dans une période très incertaine.