En marge du Sommet africain de l’Internet qui se tient jusqu’au 2 juin à Nairobi, la Commission de l’Union Africaine ainsi que Internet Society, une ONG américaine spécialisée dans la réglementation d’Internet, ont présenté leurs recommandations pour mettre à niveau la cyber-sécurité en Afrique. Détails.

Une feuille de route pour protéger l’infrastructure Internet en Afrique. C’est ce que viennent de dévoiler Internet Society, l’Association américaine qui milite pour le développement des réseaux dans le monde, et la Commission de l’Union africaine, en marge du Sommet africain de l’Internet, qui se déroule jusqu’au 2 juin à Nairobi. Il s’agit de recommandations destinées à aider l’Afrique à créer une infrastructure Internet plus sécurisée et à modifier la façon dont les États membres de l’Union abordent la cyber-sécurité.

Elaborées par un groupe mixte d’experts en sécurité d’infrastructure Internet en Afrique et dans le monde entier, ces consignes devront aider les États membres de l’UA à renforcer la sécurité de leur infrastructure Internet locale sur plusieurs niveaux : régional, national, fournisseur d’accès à Internet (FAI)/opérateur et organisationnel. Le document arrive au moment où les cyber-menaces se multiplient alors que les récentes attaques informatiques globalisées ainsi que les différentes études concernant la cyber-sécurité démontrent explicitement que l’Afrique n’est plus épargnée par ce genre de risques.

Qu’est ce qu’il faut faire ?

Les recommandations formulées par le commission de la UA et Internet Society suggère rappelle l’importance d’un modèle qui engage toutes les parties prenantes et une approche de sécurité collaborative dans la protection de l’infrastructure Internet. Elles proposent quatre principes essentiels à la sécurité de l’infrastructure Internet : sensibilisation, responsabilité, coopération et respect des droits fondamentaux et des propriétés Internet. Elles s’adaptent aussi aux caractéristiques uniques de l’environnement de la cyber-sécurité africaine : une pénurie de ressources humaines qualifiées, ressources limitées (y compris financières) pour les gouvernements et les organisations à allouer pour la cyber-sécurité, niveaux limités de sensibilisation aux questions de cyber-sécurité parmi les parties prenantes, et un manque de sensibilisation aux risques liés à l’utilisation des TIC.

Au niveau des institutions panafricaines, la Commission de l’Union africaine (CUA) et l’ONG américaine recommande de former un Comité de collaboration et de coordination en matière de cyber-sécurité à l’échelle de l’Afrique. Il s’agirait d’un groupe multipartite qui conseillerait les décideurs de la Commission de l’’UA sur les stratégies régionales et le renforcement des capacités. Il agirait également comme un hub pour faciliter le partage de l’information dans toute la région. La CUA est également appelée à s’engager activement dans le processus de renforcement des capacités et le partage des connaissances sur un niveau panafricain.

Au niveau national, ces lignes directives appellent à identifier et à protéger les parties les plus critiques de l’infrastructure Internet. Cela n’est faisable que si les gouvernements nationaux adoptent une approche basée sur les services pour l’identification des points-clés. Les Etats sont également appelés à fluidifier les échanges d’information entre les différentes parties prenantes. Une tâche qui devrait être léguée à une structure nationale multipartite dédiée. Il est également recommandé d’établir et renforcer les centres nationaux d’intervention en matière de sécurité informatique (CSIRT), mais aussi de promouvoir la résilience de l’infrastructure Internet via l’usage des points d’échange Internet (IXP).

Quant aux fournisseurs d’Internet/opérateurs, il leur est recommandé d’établir la sécurité de base. Cela veut dire qu’ils devraient protéger le réseau et les systèmes de noms de domaine, etc. Mais vu que ce sont des pratiques routinières chez la plupart des opérateurs, les recommandations mettent l’accent sur l’établissement et le maintien de la coopération et la collaboration en tant que composante essentielle des solutions de sécurité.

Des mesures insuffisantes, mais constitueraient un grand pas

Si ces recommandations peuvent paraître « basiques », il n’en demeure pas moins que dans beaucoup de pays africains, la plupart des mesures proposées ne sont pas ou rarement appliquées. Il s’agit notamment des organisations chargées de la prévention et la réaction aux menaces et attaques informatiques. Dans la plupart des cas, il s’agit notamment de services rattachés aux ministères de l’Intérieur ou de Défense et qui ne réagissent que contre un certain type d’incident.

Il faut garder aussi à l’esprit qu’un document unique n’est pas suffisant pour fonder le système de cyber-sécurité au niveau continental. Des travaux supplémentaires seront nécessaires pour compléter les lignes directrices par des recommandations spécifiques traitant de problèmes particuliers. Mais cela n’empêche que si ces recommandations sont appliquées par tous les pays africains, cela sera déjà un grand pas vers l’avenir

Mehdi Lahdidi

(Source : La Tribune Afrique, 31 mai 2017)