Mettre la cyber-résilience au centre des préoccupations en Afrique

Les efforts pour mettre en avant des enjeux complexes comme le changement climatique pourraient s’appliquer à la cybersécurité.

Publié le 21 novembre 2022 dans ISS Today

Par

Karen Allen
consultante, ISS Pretoria

À l’heure où les yeux du monde entier sont tournés vers la Conférence des Nations unies sur le changement climatique (COP27) à Charm el-Cheikh, comment peut-on retenir l’attention des décideurs politiques africains sur des enjeux à long terme, complexes et multidimensionnels. Et comment y insuffler un sentiment d’urgence, afin que les gouvernements réagissent au plus vite.

À l’instar du changement climatique, la question du cyberespace peut sembler lointaine, dans de nombreuses régions d’Afrique où le chômage et la pauvreté se disputent l’attention des politiques. Pourtant, la manière dont la résilience climatique a été mise en avant peut servir de leçon pour promouvoir l’agenda du cyberespace.

Les inondations dans le KwaZulu-Natal ont donné lieu à une étude de l’initiative World Weather Attribution qui a établi un lien entre les fortes précipitations et le changement climatique. Cela a certainement servi de rappel salutaire aux Sud-Africains quant au caractère bien réel du réchauffement de la planète.

De même, l’attaque par rançongiciel de l’année dernière contre l’entreprise publique sud-africaine de logistique Transnet aurait dû alerter les décideurs politiques et faire de la cybersécurité leur priorité. Le pays se classe au troisième rang mondial pour le plus grand nombre de victimes de la cybercriminalité, et les incidents liés aux rançongiciels sont en augmentation.

Mais l’Afrique du Sud et les autres pays du continent ont-ils intensifié leurs discussions et amélioré leurs pratiques en matière de cybersécurité à la suite de l’attaque de Transnet ? De nombreux observateurs craignent que ce ne soit pas le cas.

En Afrique, les gouvernements considèrent parfois la cybersécurité comme une option facultative

Lors d’un récent atelier d’échanges sur le cyberespace en Afrique, organisé par le département sud-africain des Relations internationales et le ministère des Affaires étrangères des Pays-Bas, des parallèles ont été faits entre la question complexe du changement climatique et celle du cyberespace. En effet, si elles ne sont pas prises en charge, celles-ci peuvent avoir des conséquences pour le développement économique de l’Afrique.

L’expression « urgence climatique », inventée par des activistes, a conféré à ce sujet le sentiment qu’il faut agir maintenant. Un message clair peut être un puissant catalyseur d’action. La même urgence est nécessaire pour aborder la question de la cybersécurité en Afrique, mais les termes ne sont sans doute pas encore au point.

Cela peut s’expliquer en partie par le fait que l’accent est mis sur les avantages de la digitalisation pour le développement de l’Afrique. Les discours insistent sur les gains potentiels, notamment dans le cadre du programme de la quatrième révolution industrielle et de la stratégie de transformation numérique de l’Union africaine.

Pourtant, la cybersécurité et la bonne cybergouvernance sont essentielles pour tirer parti des avantages de notre nouvelle réalité numérique. En Afrique, les gouvernements considèrent parfois la cybersécurité comme une option facultative. En conséquence, il existe de grandes disparités dans les niveaux de cyber-préparation, comme en atteste l’indice mondial de cybersécurité.

La CEDEAO mène la charge en établissant des systèmes régionaux de réponse en matière de cybersécurité

En tant que premier employeur et souvent premier consommateur de technologies de l’information et des communications (TIC), le secteur public africain est particulièrement exposé à la cybercriminalité. Des travaux sont en cours, notamment une nouvelle législation sur la cybercriminalité en Afrique du Sud et dans d’autres pays de la région d’Afrique australe. Mais, pour renforcer la résilience, il faudra des actions concrètes, une approche du cyberespace axée sur l’humain et une application rapide des nouvelles lois.

Pour s’attaquer aux problèmes urgents de cybersécurité au niveau international, nous avons besoin d’une coopération mondiale, notamment de conventions fondées sur des règles de conduite contraignantes et volontaires qui déterminent les rôles et les obligations des États. À ce jour, 11 normes volontaires ou relevant du « droit souple » (« soft law ») sur le comportement responsable des États dans le cyberespace ont été adoptées au niveau international. Elles portent sur la coopération, le droit international dans le cyberespace, la protection des infrastructures critiques et la prévention de l’utilisation abusive des TIC sur le territoire d’un État.

Le cyberespace constitue de plus en plus un outil de compétition géostratégique et un facilitateur de la criminalité transnationale organisée, notamment le trafic d’êtres humains, la contrebande de produits pharmaceutiques et le terrorisme. Ce phénomène a été souligné lors d’une récente réunion d’Interpol au Bénin. La mise en place de systèmes visant à atténuer les risques et les dommages causés par ces intrusions numériques nécessite une coopération entre pays voisins et une action engagée aux niveaux international, régional et local.

La Communauté économique des États d’Afrique de l’Ouest (CEDEAO) est sans aucun doute pionnière dans ce domaine, avec la mise en place de systèmes régionaux appelés « équipes de réponse aux incidents de sécurité informatique ». Ces équipes constituent un modèle de référence dans le cadre des conventions internationales sur la cybercriminalité.

La cyber-résilience doit faire partie de l’ADN des gouvernements et être intégrée aux tâches quotidiennes

En matière de cyberespace, ce sont les pays du Nord économique qui équilibrent les pouvoirs. Ils disposent également d’un important levier politique fondé sur leur aptitude à déployer leurs capacités cyber-offensives, dont sont dénués la plupart des États africains. Le continent pourrait donc être perdant s’il prenait du retard dans l’élaboration de mesures de cyber-résilience et dans l’affirmation des besoins de l’Afrique. Les ressources et les investissements à grande échelle dans les connaissances et les compétences humaines représentent une importante partie de ces besoins.

Quelques pays africains sont déjà actifs par le biais de mécanismes tels que le Groupe d’experts gouvernementaux et le Groupe de travail à composition non limitée des Nations unies. D’autres pays participent au Comité spécial chargé d’élaborer une convention internationale globale sur la lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles.

Mais il faut déployer des efforts plus concrets à la base. Les États doivent exploiter les connaissances et les compétences du secteur privé, du monde universitaire et de la société civile pour renforcer les capacités (des personnes, des processus et des systèmes) nécessaires à la cyberprotection de l’avenir de l’Afrique, et ce, au plus vite.

Ces mêmes acteurs doivent également exhorter les gouvernements à considérer Internet comme un moyen de favoriser le développement, et non comme une menace contre laquelle agiter des mesures sécuritaires et des sanctions, comme des coupures. La cyber-résilience doit donc être axée sur les droits de l’homme. Il ne s’agit pas nécessairement d’un critère qui fera perdre du temps s’il est intégré au processus dès le départ, comme l’appellent de leurs vœux les constitutionnalistes numériques.

« La résilience signifie aussi qu’il faut développer le ciment qui permet aux différentes parties d’un gouvernement de travailler ensemble sur la cybersécurité », affirme Anriette Esterhuysen de l’Association internationale pour le progrès des communications. Il s’agit de faire de la préparation à la cybercriminalité l’affaire de chaque ministère et de veiller à ce qu’elle ne soit pas « bloquée sur le plan politique ou par des changements d’administration ».

La cyber-résilience doit être inscrite dans l’ADN des gouvernements, afin d’être absorbée dans les opérations quotidiennes. Cela signifie qu’il faut adhérer aux principes de base, comme la mise à jour systématique des logiciels — à l’instar du tri des déchets qui est devenu la norme sur les lieux de travail. L’appel lancé récemment pour que la Constitution sud-africaine prévoie la nomination d’un cybercommissaire chargé de « renforcer les capacités de cybersécurité dans le secteur public » va dans ce sens.

Selon une récente étude du cabinet KPMG, le secteur privé africain est à la pointe du renforcement des capacités stratégiques contre les cybermenaces. Mais il est nécessaire de constituer des partenariats public-privé plus étroits pour exploiter les connaissances et renforcer la résilience.

Et tout comme l’Assemblée générale des Nations unies a adopté une résolution historique déclarant que l’air pur est un droit universel, les droits et les opportunités numériques doivent être formulés plus rapidement et intégrés à tous les niveaux des gouvernements. À défaut de quoi, l’Afrique risque de devenir une friche numérique vulnérable.

Karen Allen, consultante, ISS Pretoria

Image : © Pablo Lagarto/Alamy Stock Photo

Les droits exclusifs de re-publication des articles ISS Today ont été accordés au Daily Maverick en Afrique du Sud et au Premium Times au Nigeria. Les médias basés en dehors de l'Afrique du Sud et du Nigeria qui souhaitent republier des articles et pour toute demande concernant notre politique de publication, veuillez nous envoyer un e-mail.