La sécurité numérique est devenue une préoccupation majeure pour les gouvernements, les entreprises et les citoyens à travers le continent africain. Les avancées technologiques et l'expansion rapide de l'accès à Internet ont ouvert de nouvelles opportunités, mais elles ont également créé de nouveaux défis en matière de sécurité. Aussi, le cyberespace africain est un univers en constante évolution, avec ses propres dynamiques et spécificités. Mais quels sont les défis que doit encore relever l’Afrique en matière de cybersécurité et quelles sont les actions à poser concrètement ?
Clément Domingo, SaxX, Hacker éthique, expert senior en cybersécurité et fervent défenseur des questions liées à la cybersécurité en Afrique et dans le monde, a accepté de partager son point de vue avec Africa Cybersecurity Mag aujourd'hui sur la question.
Africa Cybersecurity Mag : Qu’est-ce qu’un hacker éthique ?
SaxX : Tout d’abord, il ne faudrait pas dire « hacker éthique », mais nous sommes obligés de juxtaposer le terme « éthique » en raison de la connotation négative usuelle de ce qu’est un hacker. Si l’on pose aujourd’hui la question de définir ce qu’est un hacker, nombreux répondront qu’il s’agit d’un cybercriminel agissant pour voler les données personnelles. C’est pourquoi, nous sommes dans l’obligation de rajouter l’adjectif « éthique ». Ce biais s’explique également par la qualification des médias, qui, depuis les années 1980, ont toujours parlé des cybercriminels en les désignant sous le terme de hacker.
Plus globalement, aujourd'hui, un hacker est une personne qui s’attache à comprendre les systèmes d'information pour trouver parfois des failles, des vulnérabilités et les corriger avant que les cybercriminels ne viennent mettre la main sur ces données.
Africa Cybersecurity Mag : Quels sont les principaux défis de la sécurité numérique en Afrique et comment se manifestent-ils dans le cyberespace africain ?
SaxX : Pour moi, trois points sont essentiels. Le premier volet concerne la nécessaire prise de conscience par la société civile, nos gouvernements, nos États et nos entreprises.
Le deuxième volet, quant à lui, concerne les infrastructures. Qui dit infrastructure renvoie à la question des investissements. Que l’on soit un État ou une entreprise, la question des financements pour protéger les données de nos clients, de nos fournisseurs, de nos employés, (etc.) est essentielle. Soyons clairs : la cybersécurité a un coût. Aujourd'hui, je pense qu'il faut voir la cybersécurité comme un centre de profits. Beaucoup de dirigeants avec lesquels j’ai eu l’occasion d’échanger, aussi bien en Afrique qu’en Europe, s’interrogent sur la pertinence d’investir dans la cybersécurité alors que leur système fonctionne. Il s’agit là d’une bonne question car aujourd’hui, lorsque nous achetons une moto, nous achetons également l’équipement nécessaire pour se protéger. En revanche, la cybersécurité est quelque chose de non quantifiable. C’est pourquoi, il est compliqué pour certains de se dire qu’il faut investir dans ce secteur.
Enfin, la formation est le troisième volet que je considère absolument crucial. D'ici 2030, un jeune sur deux dans le monde sera africain. Il est donc essentiel de prendre dès maintenant la nécessité de la formation de ces jeunes talents, afin que demain, ils puissent prendre en main ces différents métiers autour de la cybersécurité, mais également de l'intelligence artificielle, ces deux secteurs étant de plus en plus liés. Si les États et les entreprises n’agissent pas dès maintenant, il sera compliqué de rattraper ce retard-là.
Africa Cybersecurity Mag : Vous dédiez un temps assez conséquent pour effectuer des alertes autours des attaques cyber et aussi des fuites de données sur le dark web. Aujourd’hui, est-ce que vos cyber-alertes sont prises en compte par les entités concernées ?
SaxX : Dans les débuts, il y avait certains qui ne les prenaient absolument pas au sérieux. Aujourd'hui, heureusement, il y a de plus en plus de RSSI, de DSI, des équipes informatiques ou de cybersécurité qui viennent un peu suivre mes alertes et essaient assez rapidement de réagir. Malheureusement, je trouve qu'il y a encore beaucoup trop de laxisme.
J'ai deux idées en tête, mais je ne citerai pas aussi ces entités-là où, lorsqu'il y a eu la cyberattaque, lorsqu'il y a eu cette exfiltration de données, que toutes les preuves étaient là, ces sociétés, ces entreprises, ces banques, ont été les premières à dire « circulez y'a rien à voir » et moi, j'ai été totalement à la fois stupéfait et je me dis, mais peut-être que ces entreprises elles-mêmes ne respectent pas vraiment leurs clients et elles sont totalement dans le déni. Mais comment on peut l’être à ce niveau et surtout de telles entités qui sont quand même censées être un peu mieux protégées que le reste.
Africa Cybersecurity Mag : Est-ce qu'il y a des secteurs particulièrement vulnérables ou alors qui sont souvent ciblés par les cyberattaques ?
SaxX : Tout à fait. Le premier secteur qui me vient à l’esprit est le secteur bancaire, pour des raisons évidentes : c’est là où il y a le plus d’argent et où les entités sont susceptibles de payer davantage. Il y a également le secteur de l'énergie. Récemment, en préparant le Cyber Africa Forum, j'ai découvert que des cybercriminels avaient mis en vente sur une grande structure que je ne citerai pas, des accès sur plus de 100 serveurs. Cette entreprise opérait justement dans les secteurs de l’énergie, du pétrole et du gaz.
Africa Cybersecurity Mag : Quel rôle les organisations régionales africaines jouent autour de la veille du cyberespace africain ? Y a-t-il des actions ou des initiatives de collaboration dans ce sens ?
SaxX : J’aimerais évoquer deux points. Tout d’abord, je suis toujours aussi surpris, voire déçu, de constater qu’il y a très peu d’entités étatiques qui alertent sur les CVE, les Common Vulnerability Exposure, c’est-à-dire les vulnérabilités connues dans des logiciels. La plupart du temps, quand des alertes sont émises, elles le sont par des entités comme l'ANSI en France, ou encore le CERT de la Nouvelle-Zélande par exemple. Mais où sont les différents CERT en Afrique ? Où sont ces différents organes et structures qui font vraiment cette veille et peuvent informer localement et régionalement les personnes ? Cela me surprend toujours autant.
L’autre point essentiel est la collaboration, qui, bien que primordiale, peine encore à se mettre en place. Or, sans coopération, chacun restant de son côté, aucun avancement concret n’est possible. C'est ce qu'on appelle, pour revenir un peu plus dans le jargon, le partage d'IOC. Les IOC sont des indicateurs de compromission, que l’on peut extraire et partager, permettant à d’autres entités du même secteur (bancaire, énergie, industrie, agroalimentaire, par exemple) de vérifier si elles ont été également piratées. Aujourd’hui, cette collaboration reste malheureusement très faible, voire inexistante.
Africa Cybersecurity Mag : Pensez-vous que l’Afrique pourra renforcer sa résilience face au cybermenaces ? Quelles sont les préconisations à mettre en œuvre ?
SaxX : Je le pense. Mais cette capacité de résilience, il faut la penser, il faut la mettre en œuvre, il faut la mettre en action. Et ça se passe dès maintenant. Ce n'est pas dans deux ans, ce n'est pas dans trois ans, ce n'est pas à la fin de cette décennie ou d'ici 2030 qu'il va falloir se demander ce que l’on peut faire parce qu'il sera beaucoup trop tard.
Par ailleurs, il y a un dernier aspect qui lui est non négligeable : il s’agit de l'apport de l'intelligence artificielle. Qu'on le veuille ou non, l'intelligence artificielle révolutionne notre manière même de faire de la cybersécurité, aussi bien pour attaquer que pour défendre. Et si on ne met pas ces deux secteurs en perspective, notre retard sera beaucoup plus conséquent.
Je terminerai sur ces propos qui ont été mentionnés au niveau de l'Union Européenne, qui disaient que les Etats-Unis innovent et créent, les Chinois copient, l'Europe et la France régulent. Et moi, je rajouterai que nous autres, en Afrique, nous sommes à la traîne.
Propos recueillis par Christelle HOUETO, journaliste digital
