L’Afrique se digitalise rapidement. Ses centrales, ses ports, ses usines et ses réseaux de transport utilisent de plus en plus l’IoT et les systèmes automatisés pour gagner en efficacité. Mais cette modernisation apporte aussi de nouveaux risques. Les attaques ciblées, les ransomwares et les failles dans les systèmes industriels peuvent mettre en danger des infrastructures vitales. Il est donc essentiel de comprendre les enjeux de la cybersécurité industrielle en Afrique, les défis à relever et les solutions adaptées au continent. Dans cette édition, nous allons explorer ces questions avec un expert du secteur, pour savoir comment protéger les infrastructures critiques et renforcer les compétences locales.
Pour mieux analyser ces enjeux et explorer les pistes possibles, Africa Cybersecurity Mag reçoit, dans cette édition du CyberInterview, un expert reconnu du secteur pour nous en dire plus. Il s’agit de M. Farell FOLLY, expert senior en cybersécurité industrielle au sein du groupe allemand Tüv-Süd.
Brève présentation de l’invité
De nationalité béninoise et actuellement basé en Allemagne, Farell FOLLY a effectué l’essentiel de sa carrière au sein de l’armée béninoise, qu’il a quittée avec le grade de colonel après une retraite anticipée. Il poursuit actuellement un doctorat en cybersécurité et exerce au sein de TÜV Süd, une entreprise allemande spécialisée dans la certification de la sûreté.
Africa Cybersecurity Mag : Pour commencer, pouvez-vous expliquer ce qu’est la cybersécurité industrielle ?
Farell FOLLY : J’aimerais d’abord parler de la cybersécurité de manière générale, car il existe aujourd’hui beaucoup d’amalgames. La cybersécurité est comparable à la médecine, avec des domaines très techniques et d’autres très managériaux. Il existe des spécialistes de la réglementation, des lois et des politiques, qui ne sont pas techniciens mais qui maîtrisent parfaitement les cadres juridiques. La cybersécurité comprend plusieurs domaines à savoir la régulation, la gouvernance et les aspects techniques. Sur le plan technique, on est souvent habitué à sécuriser les réseaux informatiques traditionnels des entreprises. Cependant, au-delà de ces réseaux, il existe des réseaux de fabrication et des systèmes automatisés permettant de produire de l’eau, des médicaments, des voitures ou d’autres biens. Ces systèmes automatisés répondent aujourd’hui à des normes informatiques qui les rendent vulnérables aux cyberattaques.
La cybersécurité industrielle consiste à sécuriser ces équipements opérationnels, qui ne sont pas des réseaux informatiques traditionnels mais des réseaux étendus aux sites de production automatisés. Contrairement à la cybersécurité traditionnelle, une attaque sur un réseau industriel peut avoir des impacts très graves comme les pertes humaines, explosions, arrêt de production, empoisonnement de l’eau distribuée aux populations. Les conséquences sont donc beaucoup plus sérieuses.
La cybersécurité industrielle mesure l’impact que les attaques peuvent avoir sur l’humain et sur l’environnement. Par exemple, un patient connecté à un système de surveillance ou de respiration peut voir sa vie mise en danger si ce système est compromis.
Africa Cybersecurity Mag : En parlant du continent africain, quels types de cyberattaques ciblent actuellement les infrastructures industrielles en Afrique ?
Farell FOLLY : Les attaques visent généralement l’arrêt de la production, car cela entraîne des pertes financières importantes pour les entreprises. Les attaquants paralysent les systèmes et exigent des rançons, sachant que quelques jours d’arrêt peuvent coûter beaucoup plus cher que la rançon demandée. Un autre type d’attaque concerne les actes terroristes ou les opérations menées par des gouvernements hostiles. Cela peut inclure la compromission de centrales nucléaires, de sites chimiques ou de systèmes de distribution d’eau, afin d’empoisonner les populations, provoquer des explosions ou paralyser des villes entières en coupant l’électricité.
Africa Cybersecurity Mag : On évoque souvent en Afrique le manque d’expertise locale en cybersécurité. Est-ce également le cas dans la cybersécurité industrielle ?
Farell FOLLY: Le manque d’expertise en cybersécurité est un problème mondial. Même en Allemagne, il existe une pénurie de compétences. C’est à la fois une bonne et une mauvaise nouvelle pour l’Afrique. L’Afrique devra produire ses propres experts. La cybersécurité offre toutefois une opportunité, car les formations peuvent se faire entièrement en ligne, avec des ressources gratuites ou peu coûteuses. Avec une bonne stratégie, les gouvernements et les entreprises africains peuvent former leurs experts localement. Ce n’est pas un domaine facile, mais l’accès à la connaissance n’est plus une barrière. Il n’est plus nécessaire de quitter l’Afrique pour devenir expert en cybersécurité.
Africa Cybersecurity Mag : Pensez-vous que l’Afrique peut-elle devenir un hub stratégique de cybersécurité industrielle ?
Farell FOLLY : Absolument. L’Afrique est le continent le plus jeune, avec une population dynamique et un fort taux de croissance. Toutes les connaissances sont aujourd’hui accessibles en ligne. Si la jeunesse africaine s’approprie ces savoirs, elle pourra constituer une main-d’œuvre hautement qualifiée. De nombreux pays, comme l’Allemagne, recherchent des experts hautement qualifiés à l’international. L’Afrique peut devenir une véritable machine à former des experts capables de servir à la fois leurs pays et le marché international. Personnellement, je reste en contact régulier avec les acteurs en Afrique de l’Ouest afin de partager et mettre en œuvre mes connaissances sur le continent.
Africa Cybersecurity Mag : Enfin, pour conclure cette interview quel conseil donneriez-vous aux décideurs et responsables industriels africains pour anticiper les cyberrisques ?
Farell FOLLY : La cybersécurité doit être considérée comme un investissement stratégique et non comme un coût. Il est essentiel de bâtir des fondamentaux solides, notamment des plans nationaux de sécurité, des stratégies de défense, des partenariats, ainsi que des actions d’éducation et de sensibilisation.
Il faut impliquer les équipes locales, identifier les secteurs industriels à risque et définir une stratégie nationale cohérente. Le retour sur investissement n’est pas immédiat. Il s’agit d’un investissement de long terme dans le renforcement des capacités humaines, dont les effets positifs bénéficieront durablement au pays.
Propos recueillis par Christelle HOUETO, journaliste communicante
