La France annonce un plan à 1 milliard d’euros pour renforcer la cyber sécurité. Le président américain lui, signe un décret sur la cybersécurité qui prévoit la mise en place d’un comité d’examen des cyber-incidents en créant un organisme qui enquêterait sur les piratages majeurs. Face aux risques induits par les nombreux projets de transformation digitale amorcés par plusieurs pays d’Afrique, la question de sécurité numérique ou encore cyber sécurité est plus que jamais une priorité de sécurité nationale. Dans cet entretien, Didier SIMBA, Responsable de Sécurité des Systèmes d’Information (RSSI), président et fondateur du Club d’experts de la sécurité de l’information en Afrique (CESIA), explique les enjeux de la souveraineté numérique pour les états africains et dresse l’état des lieux de la cyber sécurité en Afrique.
Tout d’abord, pouvez-vous nous dire ce qui vous a donné envie de créer le CESIA ?
Didier SIMBA : L’idée m’est venue d’une expérience que j’ai vécue personnellement. Alors que j’étais simplement consultant sécurité, je me suis vu proposé le poste de Responsable Sécurité des Systèmes d’Information (RSSI), c’est un métier qu’on fait difficilement tout seul dans son coin, j’avais donc besoin d’être dans un réseau des pairs pour bénéficier des retours d’expériences de celles et de ceux qui l’ont été avant moi et surtout faire de la veille technologique. Dans le milieu africain, je n’ai pas trouvé ce genre de réseau, j’ai donc intégré un club semblable en France. Fort de mon expérience au sien de cette association, j’ai proposé à des amis qui sont RSSI dans des entreprises en Afrique de nous constituer en groupe afin d’échanger entre nous. Au fil des échanges, nous avons défini notre fonctionnement et nos ambitions. C’est donc ainsi qu’est né le CESIA, c’est un club réservé exclusivement aux Directeurs des Systèmes d’Information (DSI), Directeurs de la Sécurité des Systèmes d’Information (DSSI) et aux Responsables de la Sécurité des Systèmes d’Information (RSSI). Nous comptons aujourd’hui plus de 120 membres dans 18 pays d’Afrique.

Quels sont vos objectifs en matière de cyber sécurité pour le continent africain dans les années avenir ?
Didier SIMBA : Après une phase pilote en 2020 sur 4 pays, nous avons publié en février dernier le baromètre de la cyber sécurité en Afrique 2021 qui se veut être une étude qualitative réalisée directement auprès de nos membres. Nous comptons bien renouveler cette expérience chaque année afin de donner à chaque fois un état de l’art de l’évolution de la cyber sécurité sur le continent. Je profite d’ailleurs de cette tribune pour remercier l’ensemble de nos membres qui ne comptent pas de leur temps pour participer à nos travaux et en particulier mon bureau qui exerce un travail remarquable depuis la mise en place de notre club. D’autre part, nous accompagnons déjà les entreprises et les administrations des secteurs public et privé dans leurs projets en rapport avec la sécurité numérique. Nous avons mis en place en interne ce que nous appelons « collèges », ce sont des groupes de quelques membres qui travaillent sur des livrables de sensibilisation à la fois pour les décideurs et les chefs d’entreprises, mais aussi l’ensemble des utilisateurs du cyber espace qui sont à mon avis les maillons de la chaîne de sécurité. Enfin, nous avons pour ambition d’accompagner les Etats dans en matière de sécurité numérique.

La cyber sécurité, on en parle de plus en plus, l’Afrique est parfois présentée comme étant le continent où tout est à faire, quel est votre point de vue sur l’état des lieux de la cyber sécurité en Afrique ?
Didier SIMBA : « Tout à faire », je ne le pense pas. Le continent africain représente 54 pays et présente une grande disparité en fonction des régions. Si les pays du nord affichent un bon niveau de maturité, on peut constater que l’Afrique de l’Ouest n’est pas en reste et l’Afrique centrale s’aligne très bien en fonction des événements qui sont organisés dans ces régions et les grands projets qui y sont réalisés. Cela dit, il reste très difficile d’avancer des chiffres pour démontrer l’impact des cyber-attaques sur les entreprises ou les gouvernements, car personne ne vient déclarer ce qu’il a perdu après une cyber attaque ou ce que ça lui a coûté pour reconstruire son système après une attaque et aucune réglementation ne nous l’oblige. Mais ce que l’on sait désormais avec certitude, est que plus aucune entité n’est épargnée par les cyber criminels. Il existe donc deux types d’entreprises : celles qui savent qu’elles sont attaquées et celle qui ne le savent pas. D’ailleurs, le baromètre de la cyber sécurité en Afrique 2021 le démontre assez bien, 82% des entreprises disent avoir été victime d’au moins une cyber-attaque en 2021 contre 65% en 2020 et 94% de ces entreprises indiquent des conséquences importantes sur le business des entreprises, dont une perte du chiffre d’affaires.

À côté de cela, il y’a des actes cyber criminels encore plus graves, avec des conséquences directes sur tout un pays, je pense à la désinformation (Fake-New) qui peut avoir des conséquences directes sur l’équilibre géopolitique d’un pays, l’espionnage d’une entreprise ou d’un pays, le vol des données, l’activisme, etc. De tout ceci, aucun Etat africain n’est épargné, pour une raison assez simple : nos architectures de sécurité reposent sur des solutions des pays des continents voisins. Force est de constater que si certains pays en ont déjà pris conscience et réfléchissent à des solutions de contournement, d’autres sont en train de prendre la mesure très lentement. La souveraineté des données ou la souveraineté numérique doit être une question de sécurité nationale et devrait faire l’objet d’un plan stratégique de défense d’un pays. Nous sommes encore loin du compte.

Si vous pensez que nous sommes encore loin du compte, peut-on donc envisager une souveraineté numérique dans un futur proche ?
Didier SIMBA : À mon avis oui. Grâce au CESIA, j’ai eu le plaisir de visiter quelques pays d’Afrique et je suis de plus en plus approché par des éditeurs de solutions africaines. Je pense donc que, dans un premier temps, nous pouvons et nous devons songer à investir de plus en plus dans des infrastructures qui sont propres à nous et qui devraient nous permettre d’héberger nos données sur le contient directement. Dans un second temps, nous devons renforcer la législation, quand elle en existe, afin de nous permettre d’avoir un contrôle sur nos propres données. Enfin, la collaboration est une obligation, il ne faut pas oublier que le monde numérique n’est pas un monde fermé, il existe difficilement des frontières. Aussi, nous devons penser à une coopération franche aussi bien en interne, c’est-à-dire entre pays africains qu’avec l’extérieur, c’est-à-dire avec nos partenaires étrangers notamment les GAFAM. L’objectif du Club d’experts de la sécurité de l’information en Afrique (CESIA) est bien d’accompagner les états dans cette démarche dont l’horizon reste à déterminer. Cela dit, la souveraineté absolue est utopique à mon avis, nous arrivons avec un temps de retard par rapport aux acteurs qui dominent le cyber espace et en étant réalistes, disons-le, aucune puissance ne laisse échapper une colonie sans s’assurer de son contrôle. Dans un tel contexte, il est impérieux que les États du Continent se dotent de dispositifs nationaux de lutte contre les politiques de surveillance et d’exploitation conduites dans le cyberespace par des organisations étatiques ou privées animées par leurs propres intérêts.

(Source : Financial Afrik, 30 mai 2021)