Face à l’intérêt pour l’intelligence artificielle, la blockchain ou la fintech, la cybersécurité est longtemps passée au second plan des priorités des investisseurs. Elle représente pourtant un marché lucratif en pleine expansion dans une Afrique particulièrement vulnérable aux cyber-attaques, qui lui coûtent chaque année plusieurs milliards de dollars...

La cybercriminalité représente la « plus grande menace pour chaque profession, chaque secteur, chaque entreprise du monde », déclarait Ginni Rometty, président d’IBM dès 2015, à l’occasion du Forum économique mondial (WEF). Une prédiction qui s’est confirmée d’année en année sur le continent, au regard de la démultiplication des cyberattaques favorisées par l’essor des télécommunications et par le renforcement du réseau. L’Afrique est particulièrement vulnérable au cybercrime, en raison de la faiblesse de ses infrastructures de sécurité, de la pénurie de son personnel qualifié, du manque de sensibilisation ou encore de l’absence de coordination réglementaire.

En substance, les cybercrimes sont classés en trois grandes catégories. Premièrement, la cybercriminalité individuelle qui concerne les informations malveillantes à l’encontre d’un individu, ensuite la cybercriminalité contre la propriété (comme l’arnaque à la carte de crédit), et enfin la cybercriminalité gouvernementale (connue sous le nom de « cyberterrorisme » qui comprend le piratage de sites militaires ou gouvernementaux). Le paysage de la cybercriminalité évolue en permanence. Avec le temps, l’arnaque aux sentiments ou l’hameçonnage, ont laissé place à une menace bien plus dangereuse, le ransomware (ou logiciel de rançon), dont le coût s’élevait à 11,5 milliards de dollars en 2019 selon Cybersecurity Ventures.D’après MalwareTech, Wannacry, qui s’est propagé dans 150 pays, provoquant le cryptage des données de plusieurs entreprises contraintes de verser des rançons pour pouvoir réaccéder à leurs propres données, avait touché de nombreux pays d’Afrique en 2018, tels que le Maroc, Madagascar, l’Algérie, la Tunisie, l’Egypte, le Sénégal, le Sud-Soudan, l’Ouganda, la Côte d’Ivoire, le Kenya, la Namibie et le Zimbabwe. La même année, un groupe de hackers Anonymous revendiquait une attaque par « deni de service » (Ddos) au Gabon, rendant inaccessibles des dizaines de sites institutionnels pendant plusieurs heures. En mars dernier, des hackers pirataient le téléphone de la ministre du renseignement d’Afrique du Sud, quelques semaines seulement, après le cambriolage au siège de l’Agence de sécurité de l’État à Pretoria.

Certains pays s’organisent néanmoins, plus vite que d’autres pour se prémunir des cyber-attaques à l’instar du Sénégal, qui a inauguré son Ecole de cybersécurité à vocation régionale à Dakar en novembre 2018, ou du Bénin, qui a créé l’ANSSI la même année, ainsi que l’Office central de répression de la cybercriminalité (OCRC) rattaché à la police judiciaire et enfin, Epitech (une école de l’innovation et de l’expertise informatique) en 2019. Ces efforts ont vraisemblablement été payants, car le pays est passé du statut de « plaque tournante » du cybercrime africain, au top 10 des pays les mieux armés pour se défendre d’une cyberattaque sur le continent, en 2019 selon l’Union internationale des Télécommunications (UIT).

L’Afrique : le nouveau Far West de la cybersécurité ?

Selon Africa Cyber Security Market le marché africain de la cybersécurité devrait passer de 1,33 milliard d’euros en 2017 à plus de 2,32 milliards cette année. Si le coût des cyber-attaques est impressionnant, la cybercriminalité représente également un marché juteux sur lequel surfent les plus puissants groupes internationaux, à l’instar d’Orange CyberDefense. On retrouve aussi sur le marché de la cybersécurité africaine des acteurs privés français comme Atos, ou anglais tels que Metropolitan Networks, mais également des Etats comme la Russie, l’Estonie ou Israël, de plus en plus impliqués dans la sécurité des pays africains.

Du côté des startups africaines, l’intérêt des investisseurs progresse peu à peu pour les spécialistes du cybercrime, en particulier dans les écosystèmes les plus attractifs (Rwanda, Kenya, Nigéria et Afrique du Sud). « Elles sont encore peu nombreuses », observe Haweya Mohamed, co-fondatrice d’Afrobytes qui reste néanmoins optimiste, compte-tenu du renforcement des cyber-menaces, d’autant que la cybercriminalité individuelle en Afrique, a traversé de retentissants épisodes d’usurpation d’identité qui ont donné naissance à d’ingénieux projets portés par de jeunes startupers africains. « C’est le cas de la Sud-africaine ThisIsMe, qui a levé plus de 3 millions de dollars en 2016, de la startup kenyane Smart Identity qui a levé 4 millions de dollars dès sa création ou encore des startups nigérianes YouVerify [1,5 million de dollars en amorçage, ndlr] et VerifyMe [une levée en « série A », ndlr] », souligne-t-elle.

Entre impératif sécuritaire et perspectives de croissance, la cybercriminalité s’est imposée au cœur du débat numérique africain. Il faut dire que le marché mondial représentait 106,6 milliards de dollars en 2019 (+10.7% par rapport à 2018), selon les données de Precise Security et devrait dépasser les 151 milliards de dollars d’ici 2023. Ces prospectives pourraient d’ailleurs bien être revues à la hausse, suite à l’arrivée inopinée de la pandémie de coronavirus, qui a révélé de nouvelles failles technologiques de Libreville à Kampala et de Casablanca à Pretoria.

Renforcer la sensibilisation pour en finir avec l’insouciance numérique

Selon le Cybersecurity Index 2018 de l’Union Internationale des télécommunications (UIT), sur les 54 nations africaines, seuls Maurice, le Kenya et le Rwanda seraient capables de répondre aux cyber-menaces, faute de capital humain suffisant. « La vulnérabilité de l’Afrique sur cette question ne relève pas seulement d’un déficit de capital humain » prévenait néanmoins Lancina Koné, directeur général de Smart Africa (l’alliance lancée en 2013 pour accélérer le désenclavement numérique du continent, améliorer l’accès des populations aux technologies et harmoniser les réglementations), le 30 juin dernier lors du Forum Digital La Tribune Afrique. « La sécurité ne doit pas être une affaire de spécialiste, mais un nouveau paradigme commun. Cela passe avant tout par la sensibilisation des populations », ajoutait-il. Un point de vue partagé par Alain Juillet, Consultant international et ex-directeur du renseignement à la DGSE qui avouait être « toujours surpris » par le nombre d’attaques imputées à l’inattention, voire à l’imprudence des utilisateurs. D’autant que le temps d’attente moyen d’une entreprise pour détecter une cyberattaque, est supérieur à 200 jours, ce qui faisait dire à Ouanilo Medegan Fagla , directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) dans un entretien accordé à La Tribune Afrique en janvier 2020, qu’il existait 2 types de sociétés, « celles qui sont piratées et celles qui ne le savent pas encore ».

Marie-France Réveillard

(Source : La Tribune Afrique, 31 juillet 2020)