À Mesure Que Le Continent Améliore Son Infrastructure De Communication, Il Devient Une Cible Plus Importante Pour Les Cybercriminels
PERSONNEL D’ADF
Le Maroc et l’Inde, séparés par la culture, la religion, la langue et une distance de 8.458 kilomètres, semblent avoir bien peu en commun. Pourtant, fin 2018, ces deux pays ont signé un protocole d’accord dans le but de coopérer sur plusieurs fronts.
La cybercriminalité est l’un des problèmes que les deux pays partagent. Selon la Commission politique de l’Inde, ce pays occupe le troisième rang mondial parmi les utilisateurs de l’Internet, après les États-Unis et la Chine. L’usage de l’Internet en Inde s’est multiplié par 6 entre 2012 et 2017, soit une croissance annuelle de 44 %. Cette croissance s’est accompagnée d’une hausse de la cybercriminalité : ce pays est classé septième dans le monde pour les envois de spam, et c’est l’un des cinq premiers pour les crimes en ligne.
La police judiciaire du Maroc a enregistré 1.091 cas de cybercrime en 2018, comparé à 765 l’année précédente, soit une augmentation de 33 %. La police du Maroc a signalé 435 victimes du chantage sexuel en ligne, y compris 125 étrangers, et 267 arrestations.
Le protocole d’accord indique que les deux pays vont collaborer sur la cybersécurité. « L’objet du protocole d’accord est d’encourager une coopération plus étroite pour échanger les informations et l’expérience concernant la détection, la résolution et la prévention des incidents liés à la sécurité dans les deux pays, selon une annonce de presse. La mise en œuvre du protocole d’accord conduira à d’importants avantages mutuels dans le secteur de la cybersécurité en Inde, grâce au développement des institutions et des capacités avec le Maroc. »
Le Maroc est l’un des chefs de file africains dans la lutte contre la cybercriminalité. Il exige que les entreprises se conforment aux lois sur le cybercrime, la protection des informations personnelles et les échanges électroniques.
La Brookings Institution basée aux États-Unis déclare que le coût moyen du cybercrime pour les entreprises a augmenté mondialement de 22,7 % depuis 2016. Le détournement des données a augmenté de 27 %. Une seule attaque en mai 2017 par le logiciel de rançon WannaCry a affecté plus de 400.000 ordinateurs dans 150 pays en quelques jours. Début 2019, les responsables des services de renseignement déclarent que le logiciel de rançon WannaCry réside toujours sur des centaines de milliers d’ordinateurs, bien qu’il soit dans un état de dormance.
Dans un rapport de 2018, Brookings écrit : « Alors que la cybercriminalité menace les entreprises du monde entier, ce risque est encore plus élevé pour les sociétés africaines ». Bien que l’infrastructure de communication des pays d’Afrique soit comparativement limitée, leur niveau faible de cybersécurité en fait une cible de choix pour les cybercriminels.
La sécurité informatique n’est pas quelque chose de nouveau pour l’Afrique. Dans une étude de 2016, la Business Software Alliance déclare que 57 % des logiciels installés en Afrique et au Moyen-Orient sont piratés, ce qui encourage les attaques cybernétiques et provoque une perte potentielle de 3,7 milliards de dollars. L’informaticien Tariq Khokhar déclare : « Ce n’est pas une exagération de dire que 80 % de tous les ordinateurs qui se trouvent en Afrique ont des problèmes. »
Les pays d’Afrique ne se développeront pas s’ils ne font pas face à la cybersécurité. Le règlement général de l’Union européenne sur la protection des données, décrit par l’UE comme « le changement le plus important depuis 20 ans dans les règlements sur les données à caractère personnel », est en vigueur depuis mai 2018, et les pays africains qui souhaitent maintenir leurs liens commerciaux avec l’Europe devront se conformer à la réglementation européenne.
La cybercriminalité affecte tous les aspects de la vie en Afrique. Le « Rapport de 2017 sur la cybersécurité en Afrique » déclare que les banques et les services financiers africains subissent près d’un quart des pertes du continent causées par le cybercrime, suivis par les gouvernements, l’e-commerce, les transactions sur téléphone portable et les télécommunications.
LES ENJEUX PARTICULIERS DU NIGERIA
Même avant l’arrivée de l’Internet, le Nigeria était tristement connu pour ses fraudes, par exemple celle du « prince nigérian » qui a hérité d’une fortune mais nécessite le numéro de compte bancaire de quelqu’un pour y déposer son argent. De ce fait, le Nigeria a une longueur d’avance pour affronter la cybercriminalité. Dans une étude de 2013 conduite par l’International Journal of Cognitive Research in Science, Engineering and Education, des chercheurs présentent les mesures de base que doit prendre un système pour faire face aux cybercrimes :
- Enseigner aux utilisateurs de maintenir continuellement et de mettre à jour leurs systèmes de sécurité informatique. Les entreprises et les organisations doivent aussi être requises d’adopter les meilleures pratiques concernant la gestion informatique efficace.
- Établir des programmes et des forums de technologie de l’information pour les jeunes : cela non seulement armera une nouvelle génération contre le cybercrime, mais offrira aussi de nouveaux emplois à une classe de personnes qui sont sous-employées.
- Utiliser des systèmes de vérification d’adresse pour s’assurer que l’adresse des formulaires de commande de produit correspond à l’adresse de la facture envoyée à l’acheteur.
- Employer des serveurs vocaux interactifs, technologie qui recueille l’« empreinte vocale » ou autorisation et vérification vocale des clients avant d’expédier les commandes.
- Le suivi des adresses IP assure que l’adresse IP liée à la commande d’un client est celle du pays figurant sur les adresses de facturation et d’expédition de la commande.
- Utiliser des systèmes de télésurveillance.
- Les logiciels antivirus et anti-espions préviennent et bloquent les virus informatiques, et ils limitent les intrusions clandestines dans les systèmes informatiques.
- Les pare-feu protègent les réseaux informatiques contre les entrées non autorisées.
- La cryptographie chiffre les informations de façon que seuls l’expéditeur et le destinataire présumé puissent les décrypter.
- La « cyberéthique » et la « cyberlégislation » exigent que les fournisseurs d’accès à l’Internet prennent des mesures pour se protéger contre le cybercrime.
LA DÉFENSE CONTRE LA CYBERCRIMINALITÉ
Landry Signé et Kevin Signé écrivent pour la Brookings Institution qu’il existe quatre étapes que les entreprises africaines doivent suivre pour faire face à la cyber-
criminalité. Bien que ces étapes visent le secteur commercial, elles représentent aussi de bonnes pratiques pour d’autres secteurs.
1. Conception et déploiement de la « cyberrésilience » : Dans son rapport sur l’« État de la cybersécurité en 2018 », ISACA, appelée antérieurement Information Systems Audit and Control Association [Association pour les audits et le contrôle des systèmes d’information], déclare que quatre professionnels de la sécurité sur cinq dans le monde pensent que leur entreprise sera probablement ou très probablement victime d’une attaque cybernétique au cours de l’année. La moitié des participants indiquent que leur organisation a enregistré une augmentation des attaques au cours des douze derniers mois. La prévention ou l’arrêt des attaques cybernétiques commence au niveau exécutif « en priorisant et en adoptant des procédures qui protègeront les actifs de grande valeur et en les intégrant obligatoirement dans tous les processus commerciaux », selon le rapport de Brookings. Les sociétés doivent améliorer leurs mesures de sécurité en :
- développant les aptitudes de leurs employés concernant la sécurité de l’information
- sécurisant leurs systèmes d’information et mettant à jour régulièrement leur infrastructure
- utilisant des technologies de surveillance active
- mettant en œuvre des systèmes de détection proactive et de réponse rapide pour faire face aux violations et aux incidents liés à la sécurité
- effectuant régulièrement des contrôles de sécurité et des tests de pénétration
2. Développement des aptitudes en cybersécurité : Le plus grand problème affectant le continent pourrait être le manque de spécialistes de la cybersécurité chevronnés et compétents. Les responsables des gouvernements et des entreprises doivent attirer de tels spécialistes ou obtenir les ressources nécessaires à leur formation. Mais il sera difficile de garder ces spécialistes. « Les organisations africaines doivent adopter des stratégies efficaces pour faire face à l’exode des cerveaux affectant les employés de cybersécurité les plus talentueux, écrivent les auteurs. En effet, lorsqu’ils obtiennent les qualifications nécessaires, ces spécialistes deviennent de plus en plus mobiles et peuvent choisir de partir, surtout pour l’Europe ou l’Amérique du Nord. » Actuellement, moins de 1 % des programmes de gestion des aptitudes de sécurité traitent du recrutement expérimental et de la rétention des experts. Selon les auteurs, ce chiffre passera à 20 % en 2020.
3. Protection de l’intégrité des données : La protection des données pourrait remplacer la confidentialité comme but principal de la cybersécurité. De nombreux cas récents de logiciel de rançon, dans lesquels le logiciel prend le contrôle du système ou des données informatiques jusqu’à ce qu’une rançon soit payée, ont souligné l’importance de l’intégrité des données. Aucune des entreprises qui avaient payé une rançon n’a pu confirmer qu’elle avait finalement récupéré toutes ses données. Les entreprises et autres organismes doivent améliorer leurs mesures de sécurité pour prévenir les attaques par logiciel de rançon et la corruption massive des données.
En plus de la sauvegarde fréquente des données, il existe de nouvelles technologies qui enregistrent les transactions sur plusieurs ordinateurs liés par réseau pair-à-pair. Certains pays, notamment en Afrique du Nord, explorent déjà de nouvelles technologies pour affronter les menaces sur la sécurité. La Brookings Institution déclare que les dépenses concernant la sécurité de l’information au Moyen-Orient et en Afrique du Nord ont augmenté de 11 % en 2017, pour atteindre une valeur totale de 1,8 milliard de dollars.
4. Intégration de la sensibilisation au risque cybernétique dans le processus de prise de décision : Les objectifs, les systèmes et l’actif d’une organisation liés à la cybersécurité ne devraient pas concerner uniquement les cadres supérieurs et l’équipe de cybersécurité. Le but consiste à « populariser une culture sensibilisée au risque cybernétique à tous les niveaux ». En outre, les responsables de l’organisation « doivent être davantage conscients de leur responsabilité en cas d’attaque cybernétique, et doivent reconnaître le besoin d’avoir des gestionnaires compétents pour identifier et affronter les menaces cybernétiques potentielles ».
ISACA déclare que seulement 21 % des directeurs mondiaux de la sécurité des systèmes d’information dépendent directement du chef d’entreprise, alors que 63 % dépendent du directeur des systèmes d’information. Cette structure signifie que ces entreprises considèrent que la cybersécurité est une question plus technique que financière, ce qui est une erreur selon ISACA.
DES PAYS AFRICAINS MONTRENT LA VOIE POUR COMBATTRE LA CYBERCRIMINALITÉ
PERSONNEL D’ADF
Pour faire face à la cybercriminalité, les pays d’Afrique sont désavantagés par le manque d’expertise locale et la carence des lois traitant de cette question. Mais il y a des pays qui affrontent directement le problème. Le « Rapport de 2017 sur la cybersécurité en Afrique » publié par la société de cybersécurité Serianu indique que les pays suivants excellent dans leur traitement des cybercrimes :
ÎLE MAURICE
Le petit pays de l’île Maurice, dont la population atteint à peine 1,2 million, est devenu le chef de file de la technologie de l’information et des communications en Afrique.
Les responsables du gouvernement déclarent que le pays préconise une loi commune sur la cybersécurité pour toute l’Afrique. L’île Maurice est l’un des premiers pays africains à avoir changé ses lois sur la confidentialité pour se conformer au règlement général de l’Union européenne sur la protection des données.
Dans son indice mondial de la cybersécurité de 2017, l’Union internationale des télécommunications déclare que le projet de pistage et de détection des botnets de l’île Maurice a permis à l’équipe de réponse aux urgences informatiques du pays de « prendre proactivement des mesures pour réduire les menaces pesant sur différents réseaux du pays ».
« Le développement des capacités est un autre secteur dans lequel l’île Maurice obtient de bons résultats, selon l’indice. L’unité de sécurité TI du gouvernement a conduit 180 sessions de sensibilisation pour quelque 2.000 fonctionnaires dans 32 ministères d’état depuis 20 ans. »
RWANDA
L’indice a classé le Rwanda en deuxième place pour la cyber-sécurité en Afrique. Comme l’île Maurice, le Rwanda préconise des protocoles de sécurité pour l’ensemble du continent. Les responsables rwandais déclarent que leurs protocoles et leurs lois ont stoppé 8 millions d’attaques cybernétiques en 2017.
L’index indique que le Rwanda « a une politique de cybersécurité indépendante qui concerne le secteur public aussi bien que privé » et qu’il s’est « engagé à développer une industrie de cybersécurité plus forte pour assurer la résilience du cyberespace ».
KENYA
L’index classe le Kenya en troisième place sur le continent, en notant que le Centre national de coordination des équipes de réponse aux incidents informatiques du Kenya coordonne la cybersécurité au niveau national, régional et mondial. Le Kenya, centre africain des transactions sur portable, a adopté en mai 2018 une loi sur l’usage abusif de l’informatique et la cybercriminalité.
Le 19 décembre 2018, l’Autorité des communications du Kenya a déclaré que le nombre d’attaques cybernétiques détectées dans le pays était passé à 3,8 millions entre juillet et septembre 2018, soit une augmentation de 400.000 menaces comparé au trimestre précédent. Début 2019, le centre avertit le public qu’il a détecté « Emotet », maliciel qui cible les systèmes réseaux du monde entier.
NIGERIA
Le Nigeria est en quatrième position en Afrique pour la défense contre la cybercriminalité, malgré sa réputation mondiale concernant les fraudes cybernétiques et autres cybercrimes. IDG, société médiatique de haute technologie, déclare que la cybercriminalité a été « un cauchemar pour l’image du pays ». Même avec ses avancées en matière de sécurité, le Nigeria a perdu 649 millions de dollars en 2017 à cause des activités liées aux cybercrimes, la somme la plus élevée du continent.
Toutefois, le pays a proposé une taxe qui aiderait les agences à lutter contre la cyber-criminalité. L’impôt de 0,005 % sur les entreprises de télécommunication a été proposé dans la loi de 2015 sur la cybercriminalité pour former les agents de cybersécurité. Bien qu’il soit le pays le plus peuplé d’Afrique avec près de 200 millions d’habitants, le Nigeria possède seulement 1.800 professionnels homologués en cybersécurité.