Le conseiller en cybersécurité du Ghana déclare que le pays se prépare pour les opportunités et les menaces du monde du numérique
Depuis 2017, le Dr Albert Antwi-Boasiako est conseiller national en cybersécurité du gouvernement du Ghana. Il est aussi le fondateur de l’e-Crime Bureau, société panafricaine de cybersécurité et de science forensique. L’e-Crime Bureau a travaillé avec la police, les forces armées et les organismes privés et publics à travers le continent. Il a créé le premier labo de cybersécurité et de science forensique numérique d’Afrique de l’Ouest. Cette interview a été modifiée pour l’adapter à ce format.
ADF : Dans votre rôle actuel de conseiller national en cybersécurité, vous aidez à élaborer la politique de cybersécurité du Ghana. Quelles sont les principales menaces auxquelles le Ghana fait face dans ce domaine ?
Dr Antwi-Boasiako : J’ai peur d’une attaque cybernétique qui ciblerait l’infrastructure nationale critique de l’information. C’est le problème le plus difficile. C’est ce qui me force à réfléchir, ce qui m’empêche de dormir : une attaque qui saperait nos systèmes critiques d’information. Au Ghana, la fraude cybernétique, l’imposture, le vol d’identité et la fraude commerciale sont très répandus. Toutefois on peut vivre avec cela. Ces choses sont signalées, et une certaine réponse est mise en œuvre. Mais ce qui pourrait vraiment saper notre pays en voie de développement, [c’est un type différent d’attaque]. Je soulève cette idée parce que le gouvernement a ce que l’on appelle un programme du « Ghana au-delà de l’aide ». C’est une structure et une direction politique du gouvernement, avec un très grand élément de numérisation. Le gouvernement veut assurer le développement grâce à la numérisation. Beaucoup d’initiatives ont été déployées. Nous avons des ports sans papier : les ports, les services de douane, les importations, les exportations sont réalisés sur une plateforme en ligne. Le gouvernement déploie aussi un système d’identification national dans l’ensemble du pays. Nous venons de lancer le système e-Justice dans lequel l’administration de la justice est livrée électroniquement. Nous avons lancé un système national d’adressage des propriétés immobilières. J’appelle tout cela des « initiatives de numérisation du gouvernement » et, de concert avec l’infrastructure nationale critique de l’information, elles constituent un secteur important de notre économie. La peur d’une attaque cybernétique, c’est la peur qu’elle affecterait la sécurité nationale et qu’elle éroderait la confiance que nous établissons en termes de cybersécurité.
ADF : Quel est le secteur le plus ciblé ?
Dr Antwi-Boasiako : Nous avons subi un certain nombre d’attaques visant l’infrastructure nationale critique de l’information dans le secteur financier. En fait, plus de 70 % des attaques que nous subissons ont des motifs financiers. Des systèmes sont compromis ; on essaie de retirer l’argent des comptes des clients. Le gouvernement a pris l’initiative d’établir des systèmes de sécurité à la Banque du Ghana pour faire face au problème. Une nouvelle directive sur la cybersécurité financière a été introduite pour assurer que les institutions financières accroissent leurs efforts en cybersécurité. Ces mesures sont déployées dans les secteurs de l’infrastructure nationale critique de l’information. Elles répondent directement à la peur que nos ressources critiques d’information pourraient être ciblées par une attaque cybernétique.
ADF : Le Ghana est devenu un chef de file régional et continental en cybersécurité. Le pays lance un Centre national pour la cybersécurité. Quel rôle jouera ce centre dans l’amélioration de la cybersécurité ?
Dr Antwi-Boasiako : La cybercriminalité est une question interdisciplinaire. C’est un problème multidimensionnel. Il y a donc différentes agences publiques et privées dont le rôle ou le mandat est associé à la cybersécurité. Pour affronter un problème de ce type, il faut établir un point de contact central. Le Centre national pour la cyber-
sécurité a donc été établi pour coordonner les activités liées à la cybersécurité au sein du gouvernement et dans le secteur privé. Parmi ses fonctions principales, on compte la réponse aux incidents, la génération de la sensibilisation, les contacts avec le Parlement, la fourniture des conseils et le développement des meilleures pratiques. En ce qui concerne la mise en œuvre, nous en sommes au niveau formatif. Nous ne sommes plus au stade du démarrage, mais nous sommes toujours en formation. Cela veut dire que nous avons pu recruter une équipe et que nous travaillons activement au développement de la sensibilisation. Nous déployons la technologie pour faciliter le partage des informations sur les menaces et les incidents cybernétiques, pour les diffuser auprès de toutes les parties prenantes. Cela veut dire qu’elles pourront signaler les incidents, et aussi recevoir les informations distribuées par le centre sur les menaces.
ADF : Le ministère des Communications du Ghana a établi un partenariat avec le Centre international de formation de maintien de la paix Kofi Annan afin de créer un laboratoire de formation pour les professionnels de la sécurité. Est-il important selon vous que des membres des forces armées et de la police soient formés en cybersécurité ? Quel est le rôle que les forces armées devraient jouer dans la cybersécurité ?
Dr Antwi-Boasiako : En ce qui concerne l’architecture nationale de la cybersécurité, les forces armées sont un acteur important. Nous parlons essentiellement de la défense cybernétique qui doit être intégrée dans la formation militaire. Il est aussi important de noter qu’il existe un changement de paradigme et que les mesures nécessaires doivent être prises pour intégrer la cyber-
défense dans le programme de formation, dans la réflexion, dans la stratégie et dans la politique de l’environnement militaire. L’e-Crime Bureau a donc créé une relation avec le Centre international de formation de maintien de la paix Kofi Annan. Un labo a déjà été établi. Il contient 32 ordinateurs équipés de technologie, d’outils de piratage, d’outils forensiques et de programmes de formation. La formation se fait à deux niveaux. Le premier est la création de la sensibilisation parmi les hommes et les femmes en uniforme et les officiers de maintien de l’ordre pour qu’ils apprécient les dangers des problèmes cybernétiques afin de pouvoir diriger les actions militaires sur le renforcement des capacités et la recherche et le développement. Le deuxième concerne des programmes de formation visant à introduire les outils cybernétiques offensifs et défensifs aux officiers militaires versés dans la technologie, simplement pour qu’ils se familiarisent avec ce nouveau domaine. Toute force militaire souhaitant rester pertinente doit adopter cela et développer ses aptitudes. Je crois que les capacités cybernétiques militaires se développent spectaculairement dans notre région. Je recommande au gouvernement de développer une stratégie de défense qui intègre efficacement la cybersécurité à la protection des données, des systèmes et des réseaux des forces armées, et qui prépare aussi nos soldats à protéger et à défendre le pays. Les attaques sont lancées par des étrangers qui tentent vraiment de porter atteinte à notre pays et de le détruire. Les forces armées doivent assumer un rôle lié à des mesures préventives et des mesures défensives.
ADF : Le Ghana crée des équipes de réponse aux urgences informatiques (CERT) pour faire face aux incidents cybernétiques. Quel sera le rôle de ces CERT pour protéger le pays contre les attaques cybernétiques et pour répondre rapidement en cas d’attaque ?
Dr Antwi-Boasiako : La CERT nationale a été établie au sein du Centre national pour la cybersécurité. Le Ghana utilise un système de CERT décentralisé. « Décentralisé » veut dire que l’on a identifié certains secteurs critiques. Les forces armées en sont un, le secteur financier en est un autre, et aussi le gouvernement, les télécommunications, l’énergie et l’environnement académique. Chacun de ces secteurs travaille sur une CERT qui agit en coordination avec la CERT nationale. Ainsi, nous avons par exemple déjà créé la CERT du secteur des télécommunications. L’Autorité nationale des communications, qui est l’organe régulateur et détient l’autorité pour la sécurité des systèmes critiques dans l’environnement des télécommunications, supervise cela. Le secteur financier a créé une CERT pour protéger les dispositifs et les réseaux de ce secteur, et cette CERT est aussi liée à la CERT nationale. La CERT nationale détient un rôle de coordination plus vaste tandis que les CERT sectorielles sont chargées des systèmes, réseaux et données au sein de leur secteur particulier. Ceci fonctionne dans l’ensemble, et nous avons des pays d’Afrique de l’Ouest qui viennent ici pour tirer des leçons de l’exemple du Ghana.
ADF : Beaucoup de pays, notamment certains pays d’Afrique de l’Ouest, ont des ressources limitées. Comment devraient-ils prioriser la cybersécurité ?
Dr Antwi-Boasiako : J’estime que, au cours des 50 prochaines années, la question du manque de ressources ou du manque de financement ne sera pas reléguée au passé. Elle restera une question d’actualité en Afrique. Si nous décidons qu’il faut avoir de l’argent pour obtenir des résultats, nous n’y arriverons jamais. C’est une question d’intelligence pragmatique. Nous devons nous la poser ainsi : Notre développement est-il lié à la numérisation ? Comment les économies africaines peuvent-elles se développer sans passer au numérique ? Ce serait impossible. Nous serions en fait coupés du reste du monde. Je crois que l’argument proposé par le Ghana est qu’il n’existe pas d’alternative à la numérisation. Les Nations unies et la Banque mondiale ont estimé qu’elle a le potentiel de transformer notre économie. L’e-commerce crée des emplois sur le continent. Donc, pour tout pays africain visionnaire, la numérisation est la clé, et par conséquent des mesures doivent être prises pour assurer que les investissements dans le développement de la technologie de l’information et des communications soient protégés. Le gouvernement du Ghana a résolu d’établir un fonds de cybersécurité parce que le développement de la cybersécurité du pays ne peut pas être durable s’il est soutenu par les donneurs. Notre président veut construire le « Ghana au-delà de l’aide » et nous devons être innovateurs. Vers la fin de l’année, le gouvernement va établir un fonds de cybersécurité pour développer l’écosystème de la cybersécurité. Et j’ai conseillé de rechercher des façons innovantes d’obtenir les fonds nécessaires pour engager du personnel dans les secteurs de la justice criminelle, de la défense et du gouvernement, ainsi que dans le secteur privé et dans celui de la société civile. De cette façon, ils pourront obtenir ces écosystèmes cybernétiques résilients pour que nos investissements en numérisation soient protégés.