Cybersécurité : cinq défis que pose la généralisation du télétravail en Afrique
Dans beaucoup de pays africains, le travail hybride s'est pendant un temps généralisé. Cette généralisation du télétravail tend aujourd'hui à régresser bien que certaines entreprises ont totalement adopté le concept. Cependant, le phénomène risque d’amener des difficultés exacerbées sur un continent où les entreprises ne sont pas toujours aussi bien outillées qu’ailleurs dans le monde. Un tour d’horizon, avec ESET, des cinq grands défis auxquels devront répondre les firmes africaines pour assurer à leurs employés un travail hybride en toute sécurité.
Avec la crise du Covid-19, le télétravail a bondi en Afrique, comme ailleurs. En Afrique du Sud, par exemple, 79% des travailleurs se sont mis à travailler depuis chez eux, alors qu’ils n’étaient que 26% à avoir tenté l’expérience avant la pandémie, d’après une étude du cabinet Michael Page Africa. Et les pays francophones ont suivi la même tendance : d’après le site Statista, les Béninois sont les plus enclins du continent à télétravailler (82%), suivis des Ivoiriens (80%). Les Congolais de RDC sont quatrièmes (76%).
Dans le même temps, l’Afrique devient une cible privilégiée des cybercriminels. En 2020, les cyberattaques avaient plus que doublé dans certains pays africains, selon Interpol. Les chiffres collectés par le panafricain Liquid Intelligent Technologies, par exemple, sont préoccupants : 82% des entreprises zimbabwéennes ont relevé une hausse des tentatives de cyberattaques en 2021. En Afrique du Sud, elles sont 79% et 78% au Kenya. Et parmi les pays les plus ciblés, on retrouve certes ces deux derniers pays, mais aussi la Maroc et la Côte d’Ivoire, rapporte le média Jeune Afrique.
Plus largement, l’Afrique francophone n’est pas en reste : dans une étude réalisée en 2021 Auprès de 211 grandes entreprises basées dans onze pays africains francophones, le cabinet de conseil Deloitte révèle que 40% d’entre elles ont connu « une augmentation du nombre d’incidents » depuis 2020. En cause, la « surface d’attaque encore plus importante » apportée par le télétravail.
Fraudes aux paiements, rançongiciels, botnets, escroqueries aux faux ordres de virement comptent parmi les principaux risquent auxquels sont exposées les entreprises africaines. Le vecteur d’attaques, quant à lui, réside généralement dans une campagne d'hameçonnage (phishing) ou des problèmes de sécurité liés aux appareils ou aux logiciels.
1. Manque de préparation des entreprises
Or, certaines entreprises africaines sont encore bien trop peu préparées à protéger leurs réseaux. A commencer par le budget qu’elles consacrent au domaine : en Afrique francophone, 66% des entreprises de plus de 500 employés dépensent moins de 200 000 euros dans la cybersécurité, a calculé Deloitte. Elles ne sont que 11% à débourser plus de 500 000 euros.
Pire, ces budgets ne sont pas équitablement répartis entre les différents domaines, comme c’est généralement le cas ailleurs dans le monde. L’accent de ces firmes africaines est surtout mis sur la sécurité de l’infrastructure IT (35% du budget moyen), alors que des enjeux comme la sécurité des données, la détection et le suivi des menaces et la gestion des identités sont minimisés, avec pas plus de 5% du budget chacun.
Au-delà du budget, de nombreuses entreprises africaines semblent bien peu actives sur les procédures de cyber-protection. A titre d’exemple, 90% des entreprises africaines n’utilisent pas de protocoles de sécurité et 96% des incidents de cybersécurité ne seraient pas signalés ou resteraient non résolus, d’après le Centre d’Études Stratégiques de l’Afrique (CESA). Difficile d’envisager un avenir de travail plus hybride en toute sécurité dans ces conditions.
2. Manque de formation du personnel
Un autre problème s’ajoute, étroitement lié au premier : les entreprises peinent à recruter une main d’œuvre qualifiée dans le domaine. Les estimations les plus optimistes, comme celles du CESA, parlent de 100 000 cyber-experts manquants sur le continent mais d’autres, plus alarmantes, tablent plutôt sur un chiffre de l’ordre de quatre millions. C’est le cas du Forum économique mondial dans son rapport annuel sur le futur du travail. C’est d’ailleurs la première cause justifiant les manquements des entreprises en termes de cybersécrité, d’après les réponses de ces dernières enregistrées par Deloitte.
Mais, dans le même temps, le personnel des entreprises africaines manque, lui, de sensibilisation, voire de formation, à la cybersécurité – et là, les entreprises sont bel et bien responsables. Hors du bureau, les employés sont davantage livrés à eux-mêmes et leurs (parfois) mauvaises pratiques sont moins vite mitigées, ou réparées, par les experts de leurs entreprises. Et c’est d’ailleurs bien le résultat de l’étude de Liquid Intelligent Technologies : le « shadow IT », cette informatique parallèle qui désigne des systèmes, applications et logiciels déployés de manière décentralisée par des services ou des employés sans que le service informatique ne le sache ou ne le contrôle, « augmente avec le télétravail ». « Il en résulte souvent des portes dérobées vulnérables qui permettent un accès facile », indique encore le rapport.
« L'une des défenses immédiates contre la cybercriminalité est un employé qui a été bien formé et qui comprend comment repérer et signaler les cyber-menaces », assure Anna Collard, vice-présidente de KnowBe4 Africa chargée de la stratégie des contenus, qui a elle aussi mené une enquête auprès des entreprises africaines. « Un pourcentage important d'entre elles n'est pas certain de la manière dont leurs employés réagiraient à une menace pour la sécurité. Cela montre qu'il existe un besoin urgent de formation à la sécurité », a-t-elle conclu.
3. Technologies parfois inadaptées à la maison
Ce shadow IT a une autre cause que le manque de sensibilisation des collaborateurs, toutefois : il est aussi dû au manque d’outils adaptés au télétravail au domicile des collaborateurs. « Les entreprises du Nigeria, du Kenya et d'Afrique du Sud ont également dû faire face à des réseaux Wi-Fi domestiques non sécurisés et à des personnes partageant leurs appareils professionnels avec leur famille et leurs amis », illustre par exemple Anna Collard.
En 2019, seuls 7,7% des foyers d’Afrique subsaharienne possédaient un ordinateur. Si ces chiffres se sont probablement légèrement améliorés depuis, on peut aisément imaginer qu‘un nombre conséquent d’employés d’entreprises sur le continent sont encore dans cette situation. Sans compter les coupures d’électricité, relativement fréquentes dans certaines villes africaines.
4. Manque de lois contre les cybercriminels
Les lois africaines en matière de cyber-protection sont encore largement insuffisante. Par exemple, la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel de 2014 – appelée « convention de Malabo » – « n’a été signée que par 18 pays et ratifiée par huit », soupire dans les colonnes du Monde Adnane Ben Halima, vice-président chargé des relations publiques de l’entreprise de télécoms Huawei Northern Africa.
De plus en plus de pays africains se dotent certes de forces de lutte anti-criminalité, mais les sanctions contre les cyber-criminels sont très insuffisantes, tout comme l’accompagnement des entreprises nationales attaquées.
Et si l’on en croit le dernier Global Cybersecurity Index, le classement des pays les plus avancés en cybersécurité publié chaque année par l’Union internationale des télécommunications (UIT), l’Afrique francophone fait pâle figure. Déjà mal placés, 50% des pays africains francophones ont dégringolé au classement – un indicateur que les pays anglophones, eux, ont davantage pris la mesure des risques.
En plus de l’exception mauricienne, numéro un du GCI depuis 2014, la Tunisie se démarque en gagnant des places, passant de la 76e à la 45e, « et ce, grâce à diverses mesures adoptées telles que la publication d’une stratégie nationale de cybersécurité et l’approbation de certains projets en cybersécurité (politique de sécurité gouvernementale, programme de sensibilisation en cybersécurité, etc.) », note le site CIO Mag.
C’est aussi le cas du Maroc, qui grimpe de la 93e à la 50e place, dont la loi 05.20 relative à la cybersécurité est entrée en vigueur le 30 juillet 2020, avec pour objectif de préconiser des moyens de protection, assurant ainsi le développement de la confiance numérique, la digitalisation de l’économie et plus généralement l’assurance de la continuité des activités économiques, et du Bénin qui se hisse de la 80e à 56e place, notamment grâce au travail de son Agence de cybersécurité (Anssi) et de son centre de réponse aux cyber-incidents (bjCSIRT). Le Togo, lui aussi, a renforcé son Agence de cybersécurité (Ancy) et a mis en place un centre de réponse aux cyber-incidents (CERT). Il gagne 46 places (151e à 105e).
5. Manque de solutions de sécurité managées à distance
Enfin, les entreprises africaines sont face à une offre en cybersécurité plus réduite que sur d’autres continents. L’occasion de rappeler qu’ESET propose un catalogue d’outils pour sécuriser les activités des travailleurs à domicile, et même un kit IT du télétravail. Et ce dans 22 pays au Maghreb, en Afrique de l’Ouest et centrale.