Le Dr Antwi-Boasiako est un expert en matière de cybersécurité qui travaille dans le secteur public et le secteur privé depuis plus de dix ans. En 2011, il a fondé eCrime Bureau, première société de forensique numérique d’Afrique de l’Ouest. Il a travaillé avec le groupe mondial d’experts du cybercrime d’Interpol et avec le projet Action globale sur la cybercriminalité élargie du Conseil de l’Europe en tant qu’expert en cybersécurité. En 2017, il a été nommé conseiller à la cybersécurité nationale du Ghana et directeur du centre national de la cybersécurité. Dans ce rôle, il a aidé à élaborer la Loi ghanéenne sur la cybersécurité, qui a été adoptée en 2020. En 2021, il a été nommé directeur général de l’autorité de cybersécurité du Ghana, poste qu’il a assumé jusqu’en 2025. Il s’est entretenu avec ADF depuis son bureau d’Accra. Ses remarques ont été modifiées pour des raisons de longueur et de clarté.
ADF : Considérant le panorama cyber de l’Afrique de l’Ouest aujourd’hui, comment décririez-vous les menaces issues des acteurs étatiques et non étatiques ? Dans quelle mesure les institutions gouvernementales et l’infrastructure critique sont-elles vulnérables ?
Dr Antwi-Boasiako : Lorsque je regarde en arrière sur dix ans, les cybermenaces auxquelles la région faisait face étaient des attaques liées à l’ingénierie sociale. C’est le type habituel d’extorsion, comme l’escroquerie sentimentale ou autres. La nature de ces attaques était plutôt tournée vers l’extérieur. Elles provenaient du continent et prenaient pour cibles les Européens et les Américains. C’était lorsque les escroqueries 419 [« le prince nigérian »] et Sakawa [spiritualisme] prédominaient. Mais aujourd’hui la tendance a changé. Je suis heureux que vous ayez mentionné les risques affrontés par l’infrastructure informationnelle critique : les bases de données gouvernementales, les systèmes critiques. Il existe une transformation numérique majeure qui se produit sur le continent et le Ghana est l’un des pays qui adoptent un certain nombre d’initiatives de transformation numérique : systèmes d’identité numériques, systèmes portuaires informatisés, administration de la justice pénale à l’aide de plateformes numériques.
Au cours des quelques dernières années, nous avons constaté une hausse d’attaques par logiciel de rançon. Notre analyse montre qu’elles proviennent d’acteurs criminels, et leur motivation principale est le gain financier. Parmi les attaques que nous décelons, environ 80 % sont motivées par l’argent. L’argent en est le facteur principal. Mais je crois que nous nous préoccupons aussi du rôle des acteurs étatiques, joué directement par les États ou par leurs agents. Bien que la situation géopolitique du Ghana ait toujours été non alignée, comme l’avait établi le Dr Kwame Nkrumah, son premier président, nous anticipons de plus en plus des menaces qui proviendront d’acteurs étatiques. En tant que pays, nous nous préparons sérieusement grâce à la sensibilisation, la législation, mais aussi nos cyber-défenses, pour pouvoir repousser les attaques.
ADF : Au début des années 2000, le Ghana affrontait des défis majeurs liés à la cybercriminalité, en particulier la fraude, le chantage et le vol d’identité. Pourriez-vous décrire comment cela a affecté le pays et pourquoi vous avez choisi, avec d’autres, de faire de la lutte contre le cybercrime une priorité nationale ?
Dr Antwi-Boasiako : Les cybercrimes qui étaient commis étaient orientés vers l’extérieur mais ils avaient un impact ici. À l’époque, nous avons découvert que si vous viviez au Ghana et voyiez quelque chose sur Amazon ou eBay, vous ne pouviez pas utiliser votre carte de crédit pour l’acheter. Ceci avait un effet grave sur l’adoption de l’e-commerce. Même aujourd’hui, il existe des limites sur les adresses IP provenant des régions associées à la fraude. C’est un problème grave et il affecte les investissements dans le pays.
Je voudrais vous raconter une histoire. En 2012 ou 2013, quelque chose a changé. À l’époque, je travaillais dans le secteur privé. La pire attaque d’usurpation d’adresse électronique s’est produite et l’eCrime Bureau (ma société) a été engagée pour conduire une enquête. À cause de la fraude, plus de 2 millions d’euros affectés à des projets d’infrastructure au Ghana ont été détournés vers des pays tiers. Le gouvernement et les responsables du pays ont commencé à réaliser que les fraudes 419, Sakawa, Yahoo Yahoo, les vols d’identité, étaient des crimes qui ne ciblaient pas seulement les Européens ou les Américains : c’était quelque chose qui nous impactait. Et je pense que c’est à ce moment que notre riposte a été lancée.
ADF : Quelle a été la riposte ?
Dr Antwi-Boasiako : Je me souviens de l’une des premières conversations que nous avons eues. C’était que le Ghana accède à la Convention de Budapest [traité international conçu pour harmoniser la réponse mondiale à la cybercriminalité]. Dans mon investigation de l’affaire, l’argent avait été envoyé dans deux pays différents et les adresses IP étaient situées dans quatre continents différents. La question s’est posée : « Comment investiguer un crime transfrontalier de cette nature ? » Vous nécessitez une coopération internationale et vous nécessitez les outils disponibles pour pouvoir vous engager avec des pays différents. Le Ghana a agi rapidement pour ratifier la Convention de Budapest ; il a commencé à développer une législation pour améliorer la cyber-résilience du pays et a œuvré pour protéger les enfants sur l’Internet. C’est la prolifération de ces crimes et de ces attaques qui a conduit à des mesures sérieuses de la part du gouvernement. Je dois dire que cela a commencé, dans une certaine mesure, avec ce que nous appelons la sensibilisation. Une fois que les attaques ont été dirigées vers l’intérieur, les décideurs et les acteurs politiques ont commencé à comprendre que le problème du cybercrime n’était pas seulement lié aux jeunes garçons pauvres qui ont les aptitudes nécessaires pour escroquer et gagner de l’argent ; cela a des conséquences sérieuses.
ADF : Vous avez déclaré qu’en Afrique l’approche à la cybersécurité doit être plus systématique et moins ponctuelle. Que voulez-vous dire ?
Dr Antwi-Boasiako : Je pense que l’ampleur du problème a nécessité une évolution. Nous devons systématiser le processus. Certains impératifs doivent être adressés : les politiques, les stratégies, la création d’un cadre institutionnel, et c’est pour cela que l’autorité de cybersécurité du Ghana a été établie. Quelques pays africains font de même. Le Ghana est le chef de file du réseau africain des autorités de cybersécurité et nous avons actuellement 20 pays environ qui ont des agences dédiées, responsables pour les questions de cybersécurité.
ADF : Le Ghana a aussi établi une équipe de réponse aux incidents informatiques (CIRT). Pourriez-vous décrire ce que fait cette équipe et comment elle aide à protéger le pays contre les cyberattaques ?
Dr Antwi-Boasiako : Malgré les efforts que nous avons déployés, nous savons qu’une attaque se produira un jour, mais nous ne savons pas quand. Par conséquent, il est impératif d’avoir un système CIRT efficace. Le Ghana a adopté ce que nous appelons le système CIRT décentralisé dans lequel nous avons une CIRT nationale et d’autres CIRT sectorielles. Le secteur bancaire, les sociétés tech financières, les assurances, toutes les entités liées aux finances sont regroupées au sein d’une CIRT sectorielle. La Banque du Ghana est notre chef de file dans ce domaine particulier. Cela veut dire que les incidents sont coordonnés au sein du secteur, puis elles travaillent étroitement avec la CIRT nationale.
Nous avons une autre CIRT pour les bases de données gouvernementales, une autre pour les télé-communications, une autre pour la sécurité nationale. C’est notre configuration en termes d’écosystème de CIRT du pays. Il existe des modèles différents en fonction de la structure gouvernementale interne, mais nous avons dû adopter cela parce qu’il existe un grand nombre d’organismes robustes de réglementation et si nous travaillons avec eux, nous pensons que nous pourrons mieux assurer la conformité.
ADF : Vous avez dit que seulement 35 à 40 % environ des Ghanéens ont une sensibilisation cyber de base. Pourquoi est-ce dangereux et comment cela peut-il être amélioré ?
Dr Antwi-Boasiako : Si vous me posez la question aujourd’hui, je crois que je pourrais même réviser ces chiffres parce que [35 à 40 %] pourrait être ambitieux. La question principale, c’est la sensibilisation aux risques cyber. L’écart entre l’utilisation des appareils numériques par les citoyens et leur sensibilisation aux risques cyber ne cesse d’augmenter. En particulier aujourd’hui, lorsque des duperies axées sur l’IA sont utilisées. Vous avez des vidéos et des images manipulées par les systèmes IA et les citoyens sont en fait impuissants. Même parfois avec des spécialistes, il est devenu très difficile de distinguer entre ce qui est authentique et ce qui ne l’est pas. Alors que la technologie évolue, on craint de plus en plus que le niveau de sensibilisation de nos citoyens ne devienne très bas. Ceci a un énorme impact.
Chaque année, nous avons le Mois national de la sensibilisation au cyber, pendant lequel nous engageons le plus possible les citoyens. Nous utilisons aussi les plateformes des réseaux sociaux pour émettre des alertes de sécurité lorsque nous constatons une tendance commune, parce que les crimes de bas niveau sont aussi des crimes organisés. Parfois, vous avez des arnaqueurs qui s’installent dans un appartement et leur travail consiste simplement à arnaquer et gagner de l’argent. Les sommes sont réduites mais le volume total est énorme. Les effets cumulés en termes de pertes subies par les citoyens sont importants.
Nous essayons de mettre en commun les informations, susciter la sensibilisation et éduquer le public, mais je dois dire qu’il y a toujours des lacunes que nous devons combler. Nous devons sensibiliser les citoyens qui pourraient ne pas pouvoir lire l’anglais. Au Ghana, l’inclusion financière a une forte pénétration. Dans les villages reculés, ils utilisent tous des transactions d’argent mobile. Ils sont tous des cibles potentielles. Même ma mère âgée est une cible potentielle des arnaqueurs dans son village.
ADF : Chaque année pendant le mois national de la sensibilisation au cyber, les Forces armées du Ghana organisent des événements pour leur personnel. Quel rôle pensez-vous que l’armée pourrait et devrait jouer pour soutenir la cybersécurité ?
Dr Antwi-Boasiako : Le rôle de l’armée en termes de réponse aux incidents est tout à fait cohérent avec le mandat d’une armée typique. Quel est le rôle de l’armée ? Assurer l’intégrité territoriale et la défense nationale du pays. L’armée doit certainement protéger ses systèmes internes parce qu’ils présentent une cible potentielle pour un ennemi. Selon moi, la cyberdéfense est à la fois défensive et offensive. C’est un domaine en cours d’élaboration. Je pense que la carte routière est la suivante : à mesure que vous modernisez l’armée et vous introduisez des systèmes plus axés sur les réseaux afin d’assurer l’efficacité et la conformité technologique de l’armée, votre défense interne doit aussi être renforcée.
ADF : Aujourd’hui, le continent possède un nombre de professionnels formés en cybersécurité estimé à 20.000, soit le cinquième environ du total nécessaire, selon la société de cybersécurité CrowdStrike. Que faut-il faire pour améliorer les opportunités de formation et d’emploi des jeunes professionnels de la cybersécurité ?
Dr Antwi-Boasiako : C’est une question importante, la question des aptitudes. Le gouvernement nécessite des professionnels de la cybersécurité pour protéger le pays, le secteur privé en a besoin, la justice criminelle en a besoin. Le système d’éducation a besoin de maîtres de conférence pour offrir des connaissances et des aptitudes à la nouvelle génération d’étudiants universitaires. Les besoins existent. Le Ghana a commencé à introduire ce que nous appelons le système d’accréditation, essentiellement l’inscription des professionnels de la cybersécurité selon trois niveaux, et aussi une catégorie générique. D’un côté, nous avons certains professionnels qui ont fait leurs études à l’étranger et qui sont rentrés au pays. Ces gens sont excellents, ils ont bien été exposés, ils ont de l’expérience, mais ils coûtent très cher. La stratégie consiste à en obtenir un ou deux ou trois, puis à engager des gens plus jeunes et talentueux qui sortent de nos universités, et ceux-ci pourront apprendre auprès des premiers.
L’inscription nous aide à identifier ceux qui sont en bas de l’échelle, pour peut-être élaborer une politique selon laquelle les gens les plus expérimentés, les plus qualifiés, puissent les soutenir grâce à la formation au travail. C’est un domaine dans lequel nous avons commencé à nous engager : le développement des effectifs de travail. Je pense que, dans les grandes lignes, le plan consiste à faire des recherches pour déterminer les compétences que nous avons et celles qui sont nécessaires. C’est un domaine que nous étudions pour nous assurer aussi de développer les compétences nécessaires. Nous devons avoir les chiffres et savoir combien nous en avons dans le système. Sans cela, il est très difficile de déterminer combien il faudra en ajouter.
ADF : En 2024, le Ghana avait été classé dans la catégorie Tier 1 pour la cybersécurité sur l’Indice global de la cybersécurité, c’est-à-dire la plus haute catégorie. C’était la deuxième nation africaine du classement, avec une note cumulative de 99 %. Quels sont vos objectifs pour l’avenir et où souhaiteriez-vous que le Ghana s’améliore ?
Dr Antwi-Boasiako : Je crois que cette question est personnelle ; aussi j’y répondrai personnellement. Je suis fier de voir un pays en développement qui a commencé ce périple à partir de zéro. En 2017, lorsque j’ai été nommé, le niveau [de l’Indice global de cybersécurité de l’Union internationale des télécommunications] était d’environ 32 %. Et en date de 2024, la hausse du pourcentage [pour atteindre 99 %] est tout à fait impressionnante. Je dois dire que le dénominateur commun est l’engagement politique. Nous avons eu la chance d’avoir cet engagement politique pour nous aiguillonner. Nous avons aussi eu la chance d’avoir une équipe de techniciens et de personnel éduqué qui nous a aidés à réaliser ce jalon
Je crois que c’est impressionnant de raconter l’histoire d’un pays en développement (et le Ghana n’est pas un pays riche) mais je pense qu’une détermination et un focus communs nous ont vraiment placés en bonne position. Je suis fier de dire que nous avons introduit ici certaines choses, et que d’autres pays les apprennent maintenant : les licences et l’accréditation. Nous avons d’autres pays occidentaux qui viennent s’entretenir avec nous pour apprendre comment nous l’avons fait : protection de l’infrastructure critique de l’information, protection des enfants sur l’Internet. Lorsque je dis que j’en suis fier, c’est parce que nous sommes un contributeur net au développement de la cybersécurité grâce aux meilleures pratiques. C’est un succès dont nous pouvons être fiers.
Au cours des prochaines années, je m’attends à ce que le même engagement politique continue, j’anticipe le même esprit de focus et de dynamisme. Vous savez, le pays se numérise. Nous n’avons pas d’options, nous n’avons pas d’excuses. Nous devons développer notre cyber-compétence et nos systèmes de cybersécurité pour pouvoir défendre les investissements que nous faisons.
ADF : Vous avez récemment publié un livre intitulé « Les Dix Commandements d’un développement durable de la cyber-sécurité nationale ». Pourquoi pensez-vous qu’il était important d’écrire ce livre et qu’espérez-vous offrir à vos lecteurs ?
Dr Antwi-Boasiako : Le livre a été écrit pour un lectorat général. Ce n’est pas un livre technique et il est facile à lire. Ce sont les réactions que je reçois. Le développement de la cybersécurité d’un pays est une entreprise multi-dimensionnelle. Il est faux de penser que c’est seulement une entreprise technique. Vous devez faire participer tous les aspects de la société. Vous avez besoin de la société civile, la justice pénale, la défense nationale, la communauté d’affaires, l’industrie, les partenaires internationaux. Pour les communications, vous avez besoin d’un langage qui soit commun pour tous. La motivation provenait de ma propre expérience. J’ai constaté que les pays africains font des avancées ; il y a des initiatives. Mais le problème, c’est qu’elles ne sont pas intégrées ; elles ne sont pas programmées d’une façon qui puisse avoir un impact collectif. La coordination était absente et, dans certains cas, il y avait une duplication. Nous avons besoin d’un principe directeur, et c’est pourquoi j’utilise l’expression « Dix Commandements ». Ce sont dix domaines dans lesquels tous ceux qui lisent ce livre, quelles que soient leurs fonctions, peuvent jouer un rôle. Et j’utilise le mot « Commandement » parce que chacun est un impératif : ils doivent être faits.