OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Articles de presse > Archives 1999-2024 > Année 2018 > Août 2018 > L’Afrique se met en ordre de bataille contre la cybermalveillance et la (…)

L’Afrique se met en ordre de bataille contre la cybermalveillance et la cybercriminalité

lundi 6 août 2018

Cybersécurité/Cybercriminalité

Depuis l’adoption il y a quatre ans de la Convention de Malabo sur la cybersécurité, une toute petite minorité d’Etats africains l’ont ratifiée. Or la seule souveraineté numérique d’un pays ne suffira pas à le protéger contre les cyberattaques qui, en 2017, ont fait perdre au Continent 3,5 milliards de dollars. Et le fléau n’ira qu’en empirant si la défense ne s’organise pas mieux.

La Convention de l’Union africaine (UA) sur la cybersécurité et la protection des données à caractère personnel – appelée aussi « Convention de Malabo » [1] – a été adoptée il y a quatre ans maintenant, à savoir le 27 juin 2014. L’échéance des dernières signatures était fixée au 14 mars 2018. Or, force est constater que seuls 10 pays sur les 55 de l’Afrique ont signé cette convention (18 % !) : Bénin, Tchad, Comores, Congo, Ghana, Guinée-Bissau, Mauritanie, Sierra Leone, São Tomé-et-Príncipe et Zambie.

Et encore, seulement deux pays signataires – le Sénégal le 3 août 2016 et l’Ile Maurice le 6 mars 2018 – l’ont ratifiée pour que celle-ci entre en vigueur sur leur territoire national [2]. Autrement dit : la Convention de Malabo est un échec ! Par crainte des Etats africains pour leur souveraineté ? Par défiance des gouvernements pour la coopération transnationale ? A moins qu’il n’y ait un sursaut rapide de la grande majorité des pays africains pour s’approprier ce texte fondamental qui vise à « renforcer et harmoniser les législations actuelles des Etats membres et des communautés économiques régionales (CER) en matière de TIC », dans le respect des libertés fondamentales et des droits de l’homme et des peuples, ainsi qu’à créer « un cadre normatif approprié correspondant à l’environnement juridique, culturel, économique et social africain » et souligne que la protection des données personnelles et de la vie privée est un « enjeu majeur de la société de l’information ».

On le voit, de la théorie à la pratique, il y a du chemin à parcourir en matière de lutte contre la cybercriminalité. Ce texte est divisé en quatre chapitres : les transactions électroniques, la protection des données à caractère personnel, la promotion de la cybersécurité et lutte contre la cybercriminalité, et les dispositions finales. « Je ne parlerai pas d’échec. L’UA a au moins pris le leadership et a proposé quelque chose. Il appartient maintenant aux Etats africains d’en faire une réalité », tempère l’avocat Léon Patrice Sarr, associé gérant du cabinet LPS L@w.

Cette convention fut élaborée sur le modèle de celle du Conseil de l’Europe. Les Etats africains qui la mettre en œuvre s’engagent à encourager la mise en place des institutions qui échangent des informations sur les cybermenaces et sur l’évaluation de la vulnérabilité telles que les équipes de réaction d’urgence en informatique (CERT : Computer Emergency Response Teams) ou les équipes de réaction aux incidents de sécurité informatique (CSIRT : Computer Security Incident Response Teams).

Une stratégie continentale ou régionale fait défaut

Pour aider les Etats du Continent à l’harmonisation, les communautés économiques régionales (CER) – telles que par exemple la Communauté économique des Etats de l’Afrique de l’Ouest (CEDEAO) et de l’Union économique et monétaire ouest africaine (Uémoa) – peuvent aider les gouvernements à adopter la Convention de Malabo. « La CEDEAO a déjà organisé avec le Conseil de l’Europe des activités sur la cybersécurité. Toutefois, à ce jour, il n’y aucune stratégie continental ou régional permettant de faire face à la menace. Les Etats sont laissés à eux-mêmes », constate Léon Patrice Sarr.

Il indique à CIO Mag qu’il avait proposé l’homologation des équipements de la stratégie de cybersécurité, partant du constat que, généralement, les distributeurs informatiques ne respectent pas les consignes de sécurité les plus élémentaires (pas de pare-feu, pas d’antivirus, …), et que les logiciels sont assez souvent contrefaits et lorsqu’ils sont authentiques les mises à jour de sécurité ne sont pas effectuées systématiquement. Le Sénégal est aux avant-postes de la lutte contre la cybercriminalité, en étant non seulement le premier pays africain à avoir transposé la Convention de Malabo, mais aussi d’avoir signé en 2016 la Convention de Budapest sur la cybercriminalité [3], laquelle fut établie le 23 novembre 2001 par le Conseil de l’Europe et ratifiée par 56 pays à ce jour – dont trois pays d’Afrique (outre le Sénégal, le Maroc et l’île Maurice).

Un deuxième protocole additionnel à cette Convention de Budapest est en cours de rédaction depuis septembre 2017 et est attendu pour 2019. Dans son rapport « Etat de la menace liée au numérique en 2018 », publié le 20 juin dernier, le ministère français de l’Intérieur indique que dans le cadre de sa coopération avec l’Afrique francophone a été créé « un poste d’expert technique international (ETI) spécialisé dans la thématique cyber implanté depuis mars 2017 à Dakar, chargé de mettre en place une plateforme cyber dédiée à la lutte contre le terrorisme, la radicalisation et la cybercriminalité, en plus du poste d’ETI mis en place à Pretoria (Afrique du Sud) en 2016 ». De même, « un projet innovant de création d’une école nationale à vocation régionale (ENVR) à Dakar dans le domaine cyber a été validé en 2017 ».

L’objectif de cette école sera de dispenser – aux différents acteurs publics et privés des pays francophone d’Afrique de l’ouest – des formations initiales et continues sur des thématiques très diverses : cyberdéfense (armée), cybersécurité (secteur public et privé), cybercriminalité, cyberactivisme, cyberpropagande, cyberdjihadisme, etc. « Deux ETI seront ainsi recrutés au premier semestre 2018 (un chef de projet et un formateur) et affectés au sein de cette école qui devrait ouvrir ses portes en novembre prochain », précise le rapport de la Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC), au sein du ministère français de l’Intérieur.

Le Sénégal montre la voie de la cybersécurité

Au Sénégal, les premières lois sur la cybercriminalité (loi n°2008-11), sur la protection des données à caractère personnel (loi n°2008-12), sur les transactions électroniques (loi n°2008-08) et sur la société de l’information (loi n°2008-10) ont toutes été promulguées il y a dix ans maintenant. Le pays de la Teranga, qui se situe déjà à la 12e place du Global Cybersecurity Index (GCI) de l’IUT publié en 2017 sur les 44 pays du Continent notés (89e rang mondial sur 165 pays), a validé au printemps sa stratégie nationale de cybersécurité – SNC2022 [4] – dans le prolongement du programme « Sénégal numérique 2020-2025 ».

Lors du Security Day qui s’est déroulé à Dakar en mai, le ministre sénégalais de la Communication, des Télécommunications, des Postes et de l’Ecosystème numérique, Abdoulaye Bibi Baldé, a indiqué que 3.000 milliards de Franc CFA (4,5 milliards d’euros) seront consacrés sur cinq ans à la lutte contre la cybercriminalité et atteindre les cinq objectifs fixés : renforcer le cadre juridique et institutionnel de la cybersécurité au Sénégal ; protéger les infrastructures d’information critiques (IIC) et les systèmes d’information de l’Etat du Sénégal ; promouvoir une culture de la cybersécurité au Sénégal ; renforcer les capacités et les connaissances techniques en cybersécurité dans tous les secteurs ; participer aux efforts régionaux et internationaux de cybersécurité.

Au-delà de la mise en place d’ici septembre 2018 d’une « structure nationale de cybersécurité [appelée Agence nationale de cybersécurité, d’après le plan « Sénégal numérique », ndlr], laquelle mènera la mise en œuvre de la SNC2022 », le Sénégal s’est donné par exemple jusqu’à décembre 2018 pour créer un centre de veille, d’alerte et de réaction aux attaques informatiques (CERT/CSIRT).

Le Sénégal n’est pas le seul à aller dans le sens de plus de cybersécurité. Le Togo, par exemple, vient de lancer le processus pour constituer son CERT national et l’a fait savoir au 3e IT Forum Togo qu’organisait CIO Mag le 29 juin dernier à Lomé sur le thème de la cybersécurité justement.

Mais un Etat seul ne peut lutter efficacement contre les cybermenaces ; il lui faut interagir avec ses pays voisins, voire avec l’ensemble des pays d’Afrique et au-delà pour venir à bout des fléaux numériques. « Aucune institution ne parviendra, toute seule, à mettre en place une stratégie efficace. Apprendre donc des autres et avec les autres pour assurer un avenir collectif. Pour appréhender la menace, il faut une stratégie globale panafricaine de la cybersécurité », prévient l’expert Chrysostome Nkoumbi-Samba, fondateur de Afrik@Cybersécurité.

Pertes pour l’Afrique : 3,5 milliards de dollars en 2017

La cybermenace est bien réelle. La société de services numérique Serianu, basée à Nairobi au Kenya, a publié la 5e édition de son « Africa Cyber Security Report ». Dans cette étude, elle estime que pour l’année 2017 les cyberattaques dont ont été victimes les entreprises africaines a couté 3,5 milliards de dollars. Rien qu’au Nigeria, au Kenya, en Ouganda et en Tanzanie, ce coût annuel dépasse 1 milliard de dollars, dont 431 millions de dollars de coûts directs et 647 millions indirects.

Les premiers secteurs victimes sont les banques et services financiers, le gouvernement et l’administration publique, le commerce électronique, suivis par les transactions à partir de mobile, les télécommunications et les autres secteurs industriels. Globalement, 90 % des entreprises africaines se situent en dessous d’un « seuil de pauvreté » de la cybersécurité (security poverty line).

Autrement dit, les organisations et notamment les PME n’ont pas les bases minimales pour se protéger car, soit elles n’ont pas les compétences, les ressources ou les moyens financiers pour se protéger et répondre aux cybermenaces. Pire : 96 % des cyber-incidents liés à la sécurité n’ont soit pas été signalés, soit n’ont pas été résolus. Et lorsqu’ils sont identifiées, les cybermenaces viennent d’abord de l’intérieur, de façon intentionnelle ou par négligence (administrateurs, utilisateurs privilégiés, intervenants en interne). Mais les cyberattaques de l’extérieur se multiplient (ransomware Wannacry, phishing, scams, fake news, …). Pour les organisations qui ont subi une cyberattaque, 40 % disent avoir perdu de l’argent, 32 % sont tombées en panne informatique, 18 % ont à la fois perdu de l’argent et sont tombées en panne informatique, et 10 % ont eu leur « réputation » endommagée.

L’étude de Serianu estime aussi que sur l’ensemble du Continent, le nombre de professionnels certifiés en matière de cybersécurité ne dépasse pas les 10.000 personnes. Alors qu’il en faudrait au moins… 25 fois plus. D’où l’initiative de cette société de service numérique, dirigée par William Makatiani, de créer un « Cyber Immersion Centre » à Nairobi. Rien qu’au Kenya, il y a 1.600 experts en cybersécurité ; il en faudrait 40.000 pour faire face ! La formation est donc le plus grand défi auquel l’Afrique doit relever rapidement si elle veut se protéger contre le cybercrime.

L’association Africtivistes, qui a organisé le deuxième « Sommet de la Ligue Africaine des Blogueurs et Cyber-activistes » les 22 et 23 juin derniers à Ouagadougou au Burkina Faso, a lancé un programme de formation baptisé « Afrique Médias Cybersécurité ». Ce sont cette fois des webmasters, des blogueurs, des lanceurs d’alertes ou encore des web-activistes de dix pays ouest-africains – Burkina Faso, Bénin, Côte d’Ivoire, Gambie, Guinée, Mali, Mauritanie, Niger, Sénégal et Togo – qui en bénéficient.

Beaucoup de chemin reste à parcourir, y compris dans la protection des données personnelles. Alors que le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018 en Europe, les prestataires africains qui travaillent pour le compte d’entreprises européennes sur des données personnelles d’Européens sont eux-aussi concernés par les nouvelles dispositions. C’est ce que Mouhamadou Lô, auteur d’un livre sur « La protection des données à caractère personnel en Afrique », rappelle, tout en appelant à un « RGPD africain ». Le Réseau africain de protection des données personnelles (RAPDP), présidée par Marguerite Ouédraogo Bonané, pourrait jouer un rôle décisif, notamment auprès de la CEDEAO.

Charles de Laubier

(Source : CIO Mag, 5 août 2018)


[1] Texte de la Convention de Malabo du 27-06-14 : https://lc.cx/MalaboFR

[2] Liste des pays de la Convention de Malabo : https://lc.cx/Malabo

[3] Convention de Budapest du 23-11-01 : https://lc.cx/Budapest2001

[4] Stratégie nationale de cybersécurité du Sénégal : https://lc.cx/SNC2022

Fil d'actu

  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)
  • Quelles différences entre un don et un cadeau ? Burkina NTIC (22 avril 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 2062/2252 Régulation des télécoms
  • 174/2252 Télécentres/Cybercentres
  • 1575/2252 Economie numérique
  • 812/2252 Politique nationale
  • 2252/2252 Fintech
  • 255/2252 Noms de domaine
  • 826/2252 Produits et services
  • 697/2252 Faits divers/Contentieux
  • 362/2252 Nouveau site web
  • 2154/2252 Infrastructures
  • 828/2252 TIC pour l’éducation
  • 90/2252 Recherche
  • 121/2252 Projet
  • 1401/2252 Cybersécurité/Cybercriminalité
  • 876/2252 Sonatel/Orange
  • 790/2252 Licences de télécommunications
  • 132/2252 Sudatel/Expresso
  • 465/2252 Régulation des médias
  • 602/2252 Applications
  • 495/2252 Mouvements sociaux
  • 761/2252 Données personnelles
  • 60/2252 Big Data/Données ouvertes
  • 295/2252 Mouvement consumériste
  • 180/2252 Médias
  • 321/2252 Appels internationaux entrants
  • 716/2252 Formation
  • 48/2252 Logiciel libre
  • 855/2252 Politiques africaines
  • 408/2252 Fiscalité
  • 83/2252 Art et culture
  • 284/2252 Genre
  • 705/2252 Point de vue
  • 480/2252 Commerce électronique
  • 699/2252 Manifestation
  • 156/2252 Presse en ligne
  • 62/2252 Piratage
  • 103/2252 Téléservices
  • 444/2252 Biométrie/Identité numérique
  • 150/2252 Environnement/Santé
  • 156/2252 Législation/Réglementation
  • 167/2252 Gouvernance
  • 856/2252 Portrait/Entretien
  • 72/2252 Radio
  • 339/2252 TIC pour la santé
  • 133/2252 Propriété intellectuelle
  • 29/2252 Langues/Localisation
  • 502/2252 Médias/Réseaux sociaux
  • 935/2252 Téléphonie
  • 96/2252 Désengagement de l’Etat
  • 485/2252 Internet
  • 57/2252 Collectivités locales
  • 188/2252 Dédouanement électronique
  • 518/2252 Usages et comportements
  • 512/2252 Télévision/Radio numérique terrestre
  • 275/2252 Audiovisuel
  • 1352/2252 Transformation digitale
  • 193/2252 Affaire Global Voice
  • 75/2252 Géomatique/Géolocalisation
  • 146/2252 Service universel
  • 330/2252 Sentel/Tigo
  • 87/2252 Vie politique
  • 750/2252 Distinction/Nomination
  • 17/2252 Handicapés
  • 336/2252 Enseignement à distance
  • 319/2252 Contenus numériques
  • 294/2252 Gestion de l’ARTP
  • 90/2252 Radios communautaires
  • 810/2252 Qualité de service
  • 212/2252 Privatisation/Libéralisation
  • 66/2252 SMSI
  • 224/2252 Fracture numérique/Solidarité numérique
  • 1275/2252 Innovation/Entreprenariat
  • 668/2252 Liberté d’expression/Censure de l’Internet
  • 23/2252 Internet des objets
  • 85/2252 Free Sénégal
  • 223/2252 Intelligence artificielle
  • 97/2252 Editorial
  • 11/2252 Yas

2025 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous