Les révélations faites durant le mois de mars 2017 sur les cyberattaques dont ont été victimes certains établissements financiers sont particulièrement préoccupantes. A peine venait-on d’apprendre que le piratage de comptes bancaires au sein de la CBAO, avec pour le moins la complicité d’un des agents du service informatique, avait causé un préjudice s’élevant à 1,8 milliards de FCFA qu’un syndicaliste de La Poste révélait que cette institution était victime, chaque année, de cyberattaques entrainant des pertes supérieures à un milliard de FCFA. Ces affaires qui émergent ne sont que l’arbre qui cache la forêt car il est de notoriété commune que les établissements bancaires, financiers ou commerciaux victimes de ce type d’attaques ne communiquent guère sur le sujet, voire renoncent à porter plainte, afin d’éviter de dévoiler les failles de leurs systèmes informatiques et par la même de perdre la confiance de leur clientèle. Ce phénomène n’est ni nouveau ni spécifique au Sénégal, puisqu’une étude réalisé par Kapersky en 2015 montrait qu’à l’échelle mondiale, les cyberattaques réalisées contre les banques avaient causé des pertes s’élevant à un milliards de dollars américains. Ironie du sort, pratiquement à la même période, le Sénégal abritait une formation destinée aux juges et procureurs des pays francophones et lusophones d’Afrique de l’ouest, avec l’objectif de leur donner des connaissances de base sur la cybercriminalité et la preuve électronique. Certes, le Sénégal s’est doté, depuis janvier 2008, d’une loi sur la cybercriminalité visant à mettre fin à l’inadéquation des normes devant organiser le procès cybercriminel dans toutes les étapes de la procédure et d’une loi sur la protection des données personnelles, mais lorsque l’infraction est commise, il faut bien se rendre à l’évidence qu’il est déjà trop tard. Si l’on insiste beaucoup, et à juste titre, sur la formation des membres des forces de défense et de sécurité et des magistrats en matière de lutte contre la cybercriminalité, il semble que les actions qui devraient être menées en amont pour empêcher, ou du moins prévenir, les crimes et délits relevant de la cybercriminalité sont largement négligées. Ce combat passe d’abord et avant tout par la dispensation de formations pointues en cybersécurité à tous ceux qui officient au sein des systèmes d’information/systèmes informatiques des structures publiques ou privées qu’elles aient une vocation commerciale ou pas. En effet, la question de la cybersécurité n’intéresse pas uniquement les sociétés menant des activités à caractère lucratif. Aujourd’hui, avec l’information généralisée de la société un grand nombre d’organismes publics, qu’ils soient en charge ou pas de l’exécution des missions régaliennes de l’Etat, s’appuient sur d’importants dispositifs informatiques qui doivent être sécurisés car contenant les données à caractère personnel de millions de citoyens. Parmi ceux-ci, deux secteurs qui sont souvent négligés lorsque l’on parle de cybersécurité, et qui sont pourtant essentiels, à avoir l’éducation et la santé. L’éducation car chaque année des milliers d’enfants sont scolarisés et leurs données personnelles introduites dans des systèmes informatiques pour des besoins d’ordre administratifs et pédagogiques et la santé car les différentes structures de santé stockent désormais des données hautement confidentielles relatives à des milliers de nos concitoyens. Que dire de la sécurité des infrastructures essentielles, telles que la production et le transport d’électricité, le monitoring des barrages, des aéroports, des ports et autres secteurs largement équipés en systèmes intelligents ? Au-delà des formations ponctuelles dispensées dans le cadre de la formation continue, une bonne approche de la cybersécurité implique qu’elle soit au cœur des formations initiales dispensées dans le domaine de l’informatique et ce quel que soit leur niveau. Il faut également que l’ensemble des agents des structures publiques ou privées soient sensibilisés à la problématique de la cybersécurité car très souvent, ce sont des failles d’origine humaine qui sont utilisées pour pénétrer illégalement dans les systèmes informatiques. Le message comme quoi la cybersécurité est l’affaire de tous doit donc être largement véhiculé et expliqué. Enfin, à un niveau plus global, il urge plus de matérialiser le projet de création d’une Computer Emergency Response Team (CERT) agité depuis plusieurs années mais qui n’a toujours pas vu le jour sans doute coincé qu’il est entre les tentacules de la pieuvre administrative et les luttes intestines menées par les différentes structures pour savoir qui en aura le contrôle !
Alex Corenthin
Secrétaire aux relations internationales