Pourquoi ce titre provocateur ?

Lorsque les pays africains ont enfin obtenu leur indépendance, des leaders tels que Léopold Senghor au Sénégal, Félix Houphouët-Boigny en Côte d’Ivoire, Kwame Nkrumah au Ghana et Jomo Kenyatta au Kenya se sont distingués. Pendant cinquante ans, leurs pays ont conservé une certaine importance. La population de ces quatre pays est comparable, puisqu’elle compte respectivement 14, 22, 25 et 45 millions d’habitants. Et leur PIB 2014 par habitant (PPP) est aussi du même ordre de grandeur : respectivement 2 316 $, 2 902 $, 4 173 $ et 3 138 $ [1]. En ce qui concerne la pénétration de l’Internet, l’écart est plus important : au Sénégal, elle était de 23,4 % en 2015, juste un peu moins que la moyenne africaine, qui est de 26,5 %. Elle était de 4,2 % en Côte d’Ivoire, de 20,1 % au Ghana et de 47,3 % au Kenya [2].

La pénétration de l’Internet est un indicateur de l’importance économique de celui-ci dans le pays ; ce chiffre varie étonnamment en Afrique. Par exemple, le Mali est à 72,1 % et l’Éthiopie à 1,9 %...

L’Internet a changé la donne pour les pays mais a son corollaire : les problèmes de cybersécurité. La cybersécurité est, à l’heure actuelle, la menace la plus complexe à laquelle les sociétés modernes sont confrontées. Cette complexité vient en partie de la combinaison du fait qu’elle est mal comprise et a des effets potentiellement dévastateurs.

Depuis des décennies, la cybersécurité représente un problème pour les économies avancées. Elle a évolué au fil des ans pour devenir ce qu’elle est aujourd’hui : un vaste monde chaotique aux acteurs multiples et où l’argent circule de façon incontrôlée. Les banques, les gouvernements et les organisations ont mis au point des stratégies de défense, qui ne sont pas toujours couronnées de succès.

Les pays africains deviennent des utilisateurs actifs d’Internet alors qu’il est devenu un monde très complexe et dangereux. Ils doivent acquérir très rapidement une certaine expertise que les économies avancées ont mis des années à développer. Il n’existe pas de référentiel centralisé de la connaissance. Les économies avancées ne sont pas des modèles à suivre. Pour les pays africains, le plus urgent est de constituer des CERT (équipes d’intervention en cas d’urgence informatique) au niveau national. Certains les appellent CSIRT (équipe d’intervention en cas d’incident lié à la sécurité informatique), voire CIRT (équipe d’intervention en cas d’incident informatique). Il existe de nombreux CERT. Certains sont affiliés aux établissements financiers, aux grandes entreprises, aux armées, etc. Il y a également des CERT nationaux, mais ils font partie d’un écosystème de CERT et ont des missions bien définies. Les besoins des pays africains en CERT nationaux sont différents. Ils devraient être un référentiel d’expertise pour tout le pays, auquel le gouvernement et les entreprises pourront s’adresser en cas de problème de cybersécurité. Le personnel de ces CERT nationaux doit être vraiment expert en cybersécurité, avec toutes les connaissances techniques et la capacité de traiter toutes sortes de cyberincidents. Il n’existe pas de centre de formation pour ce genre de personnes, hormis peut-être d’autres CERT nationaux africains. Pour savoir si un CERT est vraiment compétent, il faut regarder s’il a été admis en tant que membre à part entière du FIRST (Forum des équipes de sécurité et d’intervention en cas d’incident) [3]. Seuls cinq CERT nationaux africains l’ont été, dans les pays suivants : Tunisie (le tout premier en Afrique), Égypte, Maroc, et tout récemment, Nigeria et Kenya. L’Afrique du Sud compte trois CERT, mais aucun n’est national. Ils sont affiliés à des établissements financiers. Le FIRST compte 326 membres. Avec huit membres en tout, l’Afrique est nettement sous-représentée.

Pour un pays africain, posséder un CERT national fonctionnel est le meilleur moyen de montrer qu’il prend la cybersécurité au sérieux. Des quatre pays que sont le Sénégal, la Côte d’Ivoire, le Ghana et le Kenya, seul ce dernier y est parvenu en juillet 2015, après des années d’efforts et d’échecs [4]. Comme l’a montré le Kenya, réussir à établir un CERT n’est pas chose facile. Le Nigeria a aussi travaillé d’arrache-pied pendant des années avant de parvenir à intégrer le FIRST, le même jour que le Kenya. Espérons que ces deux récents succès entraîneront dans leur sillage de nombreuses autres histoires similaires en Afrique.

Selon l’analyse de la situation ivoirienne réalisée par des experts indépendants, cette étape ne saurait tarder. Les efforts ont été retardés par les troubles civils traversés par la Côte d’Ivoire il y a quelques années. Il est intéressant de noter que la pénétration de l’Internet est nettement plus faible en Côte d’Ivoire (4,9 %) qu’au Sénégal (23,4 %) et au Ghana (20,1 %). Mais en ce qui concerne la cybersécurité, la Côte d’Ivoire n’est pas à la traîne par rapport à ces deux pays. Quant au Kenya, avec son taux de pénétration de 47,3 %, il est loin devant les trois autres et est également le seul à désormais posséder un CERT national, le KE-CIRT/cc.

Le Ghana fait de timides efforts mais a encore un long chemin à parcourir. Quant au Sénégal, ses efforts sont si timides qu’ils sont quasiment imperceptibles... Le Sénégal est plus connu pour l’organisation de conférences et de forums sur la cybersécurité que pour son rôle de leader dans ce domaine [5]. Ce constat peut sembler dur à la lumière de l’initiative récente du gouvernement sénégalais de « protéger les données personnelles des citoyens ». Le gouvernement a lancé une campagne de consultations « en vue de rechercher des solutions pratiques et opérationnelles » [6]. Si le Sénégal avait eu un CERT national opérationnel, l’une de ses nombreuses missions aurait certainement été de lutter contre l’usurpation d’identité.

Par ailleurs, le Sénégal n’est pas épargné par les cyberattaques. En janvier 2015, à la suite de l’épisode de Charlie Hebdo, le site d’information sénégalais Seneweb.com et l’ADIE (Agence De l’Informatique de l’État) ont été touchés par une attaque par déni de service distribué (DDoS) attribuée à un groupe intégriste musulman [7]. Un CERT national disposant d’un vrai accès au réseau national aurait pu atténuer l’effet des attaques, comme cela a été le cas par le passé en Tunisie. En effet, une attaque DDoS est une cyberattaque assez basique et toute en force. Le Sénégal devrait se préparer à faire face à des cyberincidents plus graves à l’avenir.

Obstacles au progrès ?

Une des erreurs les plus courantes consiste à sous-estimer la difficulté et le temps nécessaire à la création d’un CERT national. Une autre est de penser que l’adhésion au FIRST n’est qu’une simple formalité. Même l’Union internationale des télécommunications (UIT) a fait cette erreur au début. Dès décembre 2002, l’UIT a été mandatée par l’Assemblée générale des Nations unies pour promouvoir la culture de la cybersécurité dans les pays en voie de développement. Elle n’a pas pris conscience des différences qui existaient entre la situation des pays africains et celle du reste du monde. Elle a développé une approche universelle, onéreuse et peu intéressante pour les pays africains [8]. Avec le temps, la situation s’est améliorée. Mais il est apparu clairement que les pays africains feraient mieux de solliciter l’aide de personnes ayant une expérience personnelle en matière d’exploitation d’un CERT national. C’est ce que le Nigeria a fait avec la Tunisie, avec le succès que l’on connaît. Et c’est peut-être ce que le Sénégal serait avisé de faire lui aussi...

L’alternative au développement interne et progressif de capacités adéquates reste le recrutement de consultants étrangers en cas de cyberincident grave. Mais ils coûtent généralement très chers et sont souvent des charlatans... Il est beaucoup plus prudent et rentable de développer une fondation nationale pour la cybersécurité, sous la forme d’un CERT national.

Chaque pays est unique, y compris en matière de cybersécurité et de type d’incidents que les CERT nationaux devront affronter. Malgré ces particularités, il existe des similitudes régionales. Des coopérations régionales entre CERT africains pourraient faire une énorme différence [9].

En matière de cybersécurité, la coopération internationale est un concept populaire. Elle a tendance à mettre l’accent sur les aspects juridiques du problème. Bien que ces aspects soient importants, ils ne doivent pas, comme c’est le cas aujourd’hui, occulter l’aspect technique de la cybersécurité. Ce dernier est la langue des pirates informatiques, la voie par laquelle les dommages sont infligés, qu’il est bien plus difficile, et beaucoup plus urgent, de saisir que les questions juridiques. Il est tout à fait inutile de mettre en place un robuste système international de lois qui ne peuvent pas être appliquées, car personne ne sait comment attraper les criminels ni ne comprend la nature technique de la cybercriminalité.

La coopération régionale ne doit pas s’enliser dans le bourbier des questions juridiques. Les pays africains disposent de ressources limitées. La collaboration régionale pourrait être une opportunité de partage des ressources, des connaissances et du savoir-faire technique. Certes, la cybersécurité rejoint la sécurité nationale, ce qui pourrait compliquer les relations entre les différents CERT nationaux.

Juste avant sa mort en 2001, Léopold Senghor déclarait aussi : « Au début du XXIe siècle, nous sommes à l’apogée de la puissance humaine, des richesses et de l’information... Nous devons penser à l’avenir afin de nous assurer que nos actions d’aujourd’hui feront du monde un endroit meilleur, plus riche et plus varié pour nos petits-enfants et leurs petits-enfants. »
La question posée dans le titre reste d’actualité...

Benoît Morel
Carnegie Mellon University
Pittsburgh Pa 15213

(Source : Security Days 2016, 15 janvier 2016)