La cybermenace, encore insaisissable ces dernières années, annonce désormais des risques quantifiés, mais non encore maîtrisés par les entreprises et les Etats du Continent. Avec la pénétration fulgurante de l'Internet, une contre-attaque structurée devrait circonscrire les effets d'une guerre qui s'annonce déjà rude.

En France, huit entreprises sur dix ont déclaré avoir détecté une attaque contre leurs systèmes informatiques au cours des derniers mois de l'année 2018, alors que les 20% restants ne seraient pas forcément au courant que leurs systèmes aient été éventuellement ciblés par une cyberattaque. L'information, révélée récemment lors d'un meeting à Rabat, la capitale du Maroc, par un expert dans les domaines du numérique, en dit long sur le système de veille mise en place à l'échelle européenne pour traquer de près le phénomène mondial de la cybermenace.

En Afrique, où la moyenne de pénétration d'Internet avoisinerait aujourd'hui les 34% -avec une croissance moyenne de 20% entre 2016 et 2018, le chiffrage des incidents cyber est encore au stade de vœu, puisque les entreprises ne sont pas -à quelques exceptions près- dans un schéma d'accompagnent par des organismes nationaux capables de cybesécuriser le tissu économique. «Le chiffrage de la cyber-sinistralité est toujours un exercice délicat, parce qu'il y a plusieurs paramètres à prendre en compte. Ce qui est par contre certain, c'est que cette cyber-sinistralité est croissante et qu'elle se développe au gré des évolutions et des transformations de la menace, en Afrique comme ailleurs de par monde», nous explique Thierry Delville, ancien délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces en France et associé PwC au pôle Cyber Intelligence.

Une cyber-sinistralité inquiétante

La cybermenace en Afrique est en effet bien réelle et ses modes opératoires sont aujourd'hui de plus en plus rapides, furtifs et dévastateurs. La cybercriminalité ciblant les entreprises s'opère sous différentes et en fonction du secteur d'activité de ces dernières. Sur ce registre, les spécialités énumèrent aussi les atteintes aux systèmes de traitement automatisé de données, les violations de données personnelles, les atteintes à l'e-réputation, que la contrefaçon de marques et de logiciels. Les mobiles de ces actes criminels sont tout autant variés, allant du gain financier jusqu'à l'espionnage industriel.

D'après le Baromètre des risques 2018 de l'assureur allemand Allianz, le risque cyber est classé au deuxième rang sur la liste des 10 risques les plus redoutés par les entreprises dans le monde, avec un taux de 40%, juste derrière celui de l'interruption d'activité (42%). Serianu, une société kényane de services IT, estime que les pertes des entreprises africaines victimes de cyberattaques s'élèveraient en 2017 à quelque 3,5 milliards de dollars. Quatre pays (Nigéria, Kenya, Ouganda et Tanzanie) cumuleraient à eux seuls des pertes estimées à un 1 milliard de dollars, dont 431 millions de dollars de coûts directs et 647 millions indirects sur la même année. Le secteur le plus ciblé par ces attaques reste celui des banques et des services financiers.

Ces chiffres sont corroborés par la dernière enquête d'Interpol et du fournisseur japonais de solutions, Trend Micro, effectuée dans la sous-région de l'Afrique de l'Ouest : les fraudes sur Internet visant des entreprises plutôt que des particuliers permettent aujourd'hui aux cybercriminels ouest-africains de subtiliser d'importantes sommes d'argent. D'après l'enquête, les entreprises de la sous-région afficheraient des pertes annuelles de l'ordre de 2,7 millions de dollars en moyenne entre les années 2013 et 2017. En termes d'évolution de la cybermenace et d'après les résultats d'une étude publiée par le service cloud de la société de sécurité informatique Kaspersky, l'Afrique a connu, d'année en année, près de 50% de croissance des incidents de sécurité liés aux technologies de l'information. En Afrique du Sud, les chiffres révèlent qu'au moins 3,9 millions de menaces en ligne ont été détectées en 2013, tandis que 36,8% des utilisateurs ont été affectés par des cybermenaces. 26,2% des Sud-Africains ont été touchés par 17,6 millions de menaces locales. Au Nigéria, 20,3% des utilisateurs ont été affectés par des cybermenaces durant la même période, alors que 3,6 millions de ces menaces étaient locaux.

En termes de menaces internationales, 42,5% utilisateurs nigérians ont été touchés. Au Kenya, 42% des utilisateurs ont été affectés par 2,1 millions d'attaques. Toujours d'après Kaspersky, jusqu'à il y a trois ans, l'essentiel des incidents liés à la sécurité informatique venait de l'Algérie, puisque le pays semblait avoir « le taux d'incidents sur Internet le plus élevé dans la région avec 21,7 millions d'affections, soit 39% des utilisateurs dans le pays ».

Quid d'une riposte anticipative et viable ?

La cyberprotection des entreprises -comme celle des infrastructures critiques qui relève plutôt de la cyberdéfense- devait nécessairement passer par une étape de mutualisation des pratiques et d'harmonisation des efforts à l'échelle du Continent. C'est dans ce cadre que les chefs d'Etat et de gouvernements, réunis les 26 et 27 juin 2014 à Malabo en Guinée équatoriale, lors de la 23e session ordinaire du Sommet de l'UA, allaient adopter la Convention africaine sur la cybersécurité et la protection des données à caractère personnel. La Convention entend donner une approche globale à la cybersécurité, allant de la lutte contre la cybercriminalité et la protection des données à caractère personnel, jusqu'à l'encadrement des transactions électroniques.

Depuis, certains pays se sont lancés dans des tentatives de mise en place d'une stratégie nationale de lutte contre la cybercriminalité, avec comme premier jalon une législation d'encadrement. Quatre ans années après, l'on constate que très peu d'Etats ont réussi -même à moitié- à faire intégrer dans le tissu économique la cybersécurité comme pilier de la stratégie de transformation des entreprises locales. « Il y a aujourd'hui une importante disparité dans l'arsenal législatif des différents Etats du Continent qui complique le scénario et les efforts de lutte contre la cybercriminalité », nous explique Philippe Duval, associé PwC au Conseil Afrique francophone.

Le Global cybersecurity Index de 2017, établi par l'IUT, l'agence spécialisée en télécommunications de l'ONU, recense une quinzaine de pays africains (Cameroun, Côte d'Ivoire, Maroc, Sénégal, Tunisie,...) parmi la catégorie des nations « matures » dans le domaine de la protection des actifs numériques. Dans ledit index, Maurice est le pays le mieux classé du Continent, du fait qu'il marquerait particulièrement haut dans les domaines juridique et technique. L'équipe mauricienne d'intervention d'urgence informatique (CERT-MU) devrait prendre de manière proactive les mesures visant à réduire les menaces sur différents réseaux dans le pays. Le renforcement des capacités est un autre domaine où Maurice tire son épingle du jeu, puisque l'unité de sécurité informatique du gouvernement a programmé 180 séances de sensibilisation à l'intention de quelque 2 000 fonctionnaires de 32 ministères et départements.

Le Rwanda arrive au second rang dans le classement, avec un score élevé dans le domaine organisationnel et de la politique autonome en matière de cybersécurité, visant à la fois les secteurs public et privé. Les autorités rwandaises se sont engagées dans ce sens à développer une industrie de la cybersécurité plus solide afin de garantir la protection du cyberespace nationale. Sur le podium, c'est le Kenya qui est classé troisième, puisqu'il offrirait un bon exemple de coopération grâce à son Centre national de coordination de l'équipe de réponse aux incidents informatiques au Kenya (KECIRT / CC national).

La guerre de demain a déjà commencé

Dans cet élan de structuration de la lutte contre les cybermenaces, ce sont surtout les GAFAM et les grands fournisseurs de solutions cyber qui sont appelés à y jouer un rôle d'accompagnement de plus en plus important : au niveau sous-régional, Euromed Police a récemment changé son approche dans la coopération avec les pays au sud de la Méditerranée en sollicitant des analystes pour dégager des priorités communes dans la lutte contre le cybercrime. Une source bien placée dans les structures de lutte anti-criminalité transfrontalière nous confie que «les actions anti-cyberterroristes, notamment au niveau des pays de l'Afrique du Nord, sont coordonnées directement entre les responsables des cellules anti-terroristes et les représentants régionaux des grands fournisseurs de services (Microsoft, Twitter, Google,...). Objectif : agir avec célérité pour notamment circonscrire puis éliminer des plateformes un contenu à caractère terroriste». L'initiative a été suivie par la production de l'Euromed digital guidance manuel, un manuel de la preuve numérique à l'usage des services de sécurité et de justice des pays membres d'Euromed Police. Cette initiative désormais prise en exemple à l'échelle mondiale pourrait justement être reproduite dans le domaine de la cybersécurité à l'échelle africaine.

L'autre maillon -et pas des moindres, c'est celui des grands éditeurs de sécurité (ESET, Kaspersky, Symantec, Trend Micro ou encore Microsoft) et les grands cabinets de conseil, de plus en plus présents sur le marché continental, estimé à quelque 2,5 milliards de dollars d'ici à 2020. Mais face à ces offres, pour les gouvernements comme pour les entreprises, la nécessité qui s'impose aujourd'hui est «de structurer l'industrie et le marché africains à travers des solutions, non pas en recourant à de l'achat sur étagère sans considération aucune, mais plutôt à un achat pensé, préparé, de confiance, dans un écosystème industriel installé en amont avec des acteurs significatifs pour apporter une réponse à ces enjeux», conseille Thierry Delville.

Et dès cette année, ces enjeux seraient encore plus importants au regard du pronostic alarmant du groupe japonais Tren Micro : «Les entreprises doivent mesurer l'importance de la sécurité face à l'adoption croissante du Cloud, la convergence IT/OT et l'augmentation du télétravail», déclarait Loïc Guézo, Stratégiste Cybersécurité Europe du Sud chez Trend Micro, à l'occasion de la publication du rapport de sécurité prévisionnel pour 2019, intitulé Mapping the Future : Dealing with Pervasive and Persistent Threats.

Selon Trend Micro, les hackers feront encore appel à des méthodes éprouvées dans un contexte d'adoption croissante du Cloud : «Davantage de vulnérabilités seront détectées dans l'infrastructure cloud -à l'image des conteneurs- et l'absence de mesures de protection adaptées facilitera l'exploitation des comptes et le minage de crypto-monnaies. De quoi s'attendre à des vols de données plus préjudiciables dans le cas de systèmes mal configurés». Un scénario qui augure une autre année difficile pour les responsables des entités africaines de cybersécurité, quand on sait que les prédateurs ne dorment jamais.