Selon une récente étude de Cybersecurity Ventures, les coûts mondiaux de la cybercriminalité atteignent 10 500 milliards de dollars jusqu’en 2025. Cette augmentation est due à l’activité croissante des groupes cybercriminels et des attaques soutenues par des gouvernements. Des réalités également présentes au sein des entreprises des secteurs critiques comme la finance, les banques, le pétrole et le gaz mais qui échappent à leurs manageurs. Ceux-ci sont confrontés à un manque d’accès à l’information cyber, pourtant nécessaire pour une prise de décision éclairée.

Experte et Delivery Lead en Cybersécurité, Radiatou Ouro-Gbele est CEO d’OG IT CONSULTING, une agence qui accompagne des acteurs majeurs de la finance, de l’énergie et de l’aéronautique. Elle insiste dans cette interview sur les implications de la formation en cybersécurité pour les manageurs dans la lutte contre la cybercriminalité.

Cio Mag : En quoi l’accès aux informations et à la formation en cybersécurité est-il indispensable pour les hauts cadres des entreprises qui gèrent des données sensibles et des secrets industriels ?

Radiatou Ouro-Gbele : Cette nécessité découle de la responsabilité qui leur incombe de protéger les données sensibles et les secrets industriels essentiels à la compétitivité et à la survie de leurs organisations. Comme le souligne d’ailleurs le dernier rapport d’Interpol sur l’évaluation des cybermenaces en Afrique, « la fourniture d’une formation et de capacités adéquates en matière de criminalistique [en Afrique] est essentielle. »

Comme vous le savez, la cybersécurité n’est pas statique ; elle évolue constamment avec l’apparition de nouvelles menaces et tactiques d’attaque. Je vous donne un exemple : selon une étude de 2023, 85% des professionnels de la sécurité auraient constaté une augmentation de cyber-attaques aidées par l’IA générative, l’une des nouveautés de ces dernières années.

Il est donc essentiel pour les cadres de se tenir au courant des dernières vulnérabilités et des types d’attaques pour mieux comprendre les risques auxquels leur entreprise peut être exposée, notamment les ransomwares, les APTs (Advanced Persistent Threats), et autres malwares. D’autant plus qu’avec une compréhension solide des risques et des technologies de cybersécurité, les dirigeants sont mieux équipés pour prendre des décisions éclairées concernant les investissements en sécurité informatique. Ils peuvent prioriser les ressources là où elles sont le plus nécessaires pour protéger les actifs essentiels de l’entreprise.

Un tiers des entreprises ivoiriennes souffrent d’un manque de support interne dédié à la cybersécurité.

D’ailleurs, il ne s’agit pas que de l’Afrique. Une étude d’Ipsos de 2024 montre que 59% des salariés français interrogés n’ont pas encore bénéficié d’une formation ou sensibilisation aux risques de la cybersécurité au cours des deux dernières années tandis que 67% jugent qu’une telle formation serait bénéfique. Parmi ceux qui ont reçu une formation, 84% se déclarent satisfaits, trouvant la formation pertinente et adaptée à leurs fonctions.

Quelles données révèlent la nécessité de combler ce gap ?

Les conclusions du rapport 2024 de la Banque européenne d’investissement (BEI), intitulé « La finance en Afrique », révèlent que près de 65% des banques opérant en Afrique subsaharienne identifient les risques liés à la cybersécurité comme un obstacle majeur à l’accélération de leur transformation numérique. Cette statistique met en évidence une préoccupation sectorielle qui nécessite une attention immédiate, surtout dans un contexte où la digitalisation est cruciale pour la croissance et l’inclusion bancaire et financière. Chez OG IT CONSULTING, nous avons pu observer cette réalité de première main à travers notre collaboration avec une banque panafricaine, leader sur le continent. En travaillant étroitement avec cette institution, nous avons constaté que l’investissement dans la formation en cybersécurité des dirigeants n’est pas simplement un coût, mais un levier stratégique qui favorise une transformation numérique sécurisée et efficace.

Je vous donne un autre exemple. Le Baromètre 2024 sur la maturité des entreprises en matière de cybersécurité de Kaspersky a mis en lumière un problème significatif : un tiers des entreprises ivoiriennes souffrent d’un manque de support interne dédié à la cybersécurité. Cette situation est exacerbée par une pénurie mondiale de professionnels dans ce domaine, estimée à 4 millions de personnes par (ISC) [1], incluant au moins 100 000 en Afrique. De plus, la représentation des femmes dans ce secteur n’est que de 9%, soulignant des disparités de genre importantes. Cette carence en compétences spécialisées met en évidence un impératif : que les cadres, particulièrement ceux en Afrique, soient non seulement sensibilisés aux risques de cybersécurité mais aussi équipés pour gérer et diriger des équipes qui peuvent être moins expérimentées ou en sous-effectif.

Quels sont les exemples d’entreprises issues de différents secteurs ayant été piratées et comment ont-elles pu s’en sortir ?

Ces dernières années, Electricity Company of Ghana (ECG) (le plus grand distributeur d’électricité du pays), les banques nationales de la Zambie et du Soudan du Sud, des organismes publics de l’Éthiopie, du Sénégal et du Zimbabwe, ou encore le fournisseur d’accès à Internet sud-africain RSAWEB ont tous été victimes d’attaques par rançongiciel. Même l’Union africaine a été la cible d’une attaque paralysante menée par le groupe BlackCat (également connu sous le nom d’ALPHV) contre son réseau interne en 2023.

[…] chez OG IT CONSULTING, nous aidons nos clients à développer des stratégies intégrées de gestion des risques.

Spécialisée dans la sécurisation du transport de fonds, CODIVAL a été récemment ciblée par le groupe de rançongiciel SpaceBears. Les attaquants ont utilisé une technique de double extorsion, volant des données sensibles avant de chiffrer les fichiers de l’entreprise. Cette entreprise a été attaquée par le groupe Lockbit, qui a divulgué 280 gigaoctets de données confidentielles, affectant des informations clientèles critiques jusqu’aux recettes de produits.

Ces incidents soulignent une tendance inquiétante en Afrique où la sophistication des attaques cybernétiques s’accroît. En réponse, chez OG IT CONSULTING, nous aidons nos clients à développer des stratégies intégrées de gestion des risques. Cela inclut la formation des équipes, la mise en place de systèmes robustes de défense (tels que des systèmes de gestion des identités et des accès à privilèges [IAM/PAM]) et de réponse aux incidents, et la création d’une culture de la sécurité informatique qui s’étend à tous les niveaux de l’organisation.

Combien coûte la cybercriminalité/cybersécurité pour les entreprises ?

Selon les derniers chiffres d’IBM (2024), une cyberattaque coûterait en moyenne 4,91 millions de dollars à l’échelle mondiale. En Afrique, on estime que le coût de la cybercriminalité revient à environ 10% du produit intérieur brut continental, soit environ 4,2 milliards[1]. Enfin, notons que le marché de la cybersécurité en Afrique devrait atteindre 14,60 milliards de dollars d’ici 2030, contre 2,78 milliards de dollars en 2021 [2].

Quels rôles la sensibilisation des hauts cadres peut-elle jouer pour la prise de stratégies de protection des structures ?

La sensibilisation des hauts cadres à la cybersécurité est fondamentale car elle influence directement la capacité d’une organisation à se défendre contre les menaces numériques. Les dirigeants qui comprennent les enjeux de la cybersécurité sont plus à même de percevoir la cybersécurité non pas comme une dépense marginale mais comme un investissement stratégique essentiel à la pérennité de l’entreprise. Cette prise de conscience est cruciale, car elle détermine la manière dont les ressources, tant humaines que financières, sont allouées pour renforcer les mesures de sécurité.

La sensibilisation influence également la réactivité de l’organisation face aux incidents de sécurité. Les dirigeants formés et informés sur les meilleures pratiques de réponse aux incidents peuvent orchestrer une gestion de crise plus coordonnée, minimisant les impacts des attaques et accélérant le retour à la normale. Ils sont également plus aptes à collaborer avec des experts en cybersécurité, des autorités réglementaires et d’autres parties prenantes pour améliorer continuellement les pratiques de sécurité.

Par ailleurs, les cadres sensibilisés jouent un rôle crucial dans la promotion d’une culture de la sécurité au sein de l’entreprise. Ils peuvent influencer positivement l’attitude de tous les employés vis-à-vis de la cybersécurité, en insistant sur l’importance de suivre les protocoles de sécurité et en rendant la formation régulière en cybersécurité une norme pour tous les niveaux de l’organisation. Cette démarche aide à prévenir les erreurs humaines, qui sont souvent le maillon faible dans les infrastructures de sécurité.

Qu’en est-il du financement de la cybersécurité et du partenariat entre structures ?

Pour faire face à la menace cybercriminelle, les investissements en cybersécurité doivent être significativement augmentés. Le rapport de Kearney recommande un investissement annuel de 4,2 milliards de dollars en ]Afrique[3[https://www.agenceecofin.com/telecom/1907-110426-cybersecurite-les-pays-africains-doivent-investir-4-2-milliards-par-an-pour-ameliorer-leur-resilience-rapport]. Ce qui représenterait environ 0,25% du PIB cumulé du continent, un pourcentage aligné sur les dépenses en cybersécurité des marchés matures comme les États-Unis et l’Europe.

Sénégal, 22ème pays d’Afrique à appliquer la TVA sur les services numériques en 2024

Mais alors la question à se poser est comment faire pour lever ces fonds ? À mon sens, une approche intégrée est nécessaire, combinant des budgets d’État dédiés, des aides internationales, des investissements privés, et des partenariats public-privé.

Ces fonds devraient être utilisés pour lancer des initiatives de sensibilisation, former des spécialistes et développer des infrastructures de sécurité. Les gouvernements peuvent également encourager les investissements privés par des incitations fiscales et soutenir les startups de cybersécurité via le capital-risque. De plus, l’émission de “cyber bonds” et l’imposition de taxes sur les services numériques – à l’instar du Sénégal, 22ème pays d’Afrique à appliquer la TVA sur les services numériques en 2024 [3] – pourraient générer des revenus supplémentaires dédiés à la cybersécurité. En combinant ces sources de financement, l’Afrique peut renforcer sa résilience contre les cyberattaques tout en favorisant le développement technologique, créant ainsi un écosystème de cybersécurité robuste et durable.

Mais au-delà de l’investissement financier, il est crucial de changer les mentalités et de promouvoir une culture de la sécurité à travers toutes les strates des entreprises et des gouvernements. Ce qui inclut la formation des équipes, mais aussi l’adoption de technologies de pointe, et le développement de partenariats public-privé pour améliorer le partage des informations et des ressources. C’est ce en quoi nous croyons, avec OG IT CONSULTING.

Michaël Tchokpodo

(Source : CIO Mag, 9 janvier 2025)