Sensibilisation des hauts cadres aux enjeux de cybersécurité dans les secteurs critiques en Afrique

Le manque de sensibilisation et de formation à la cybersécurité chez les cadres dirigeants en Afrique, notamment dans des secteurs critiques comme la finance, l’énergie et les institutions publiques représente un risque majeur. Alors que la transformation numérique progresse, ces organisations restent vulnérables aux cyberattaques, ce qui expose leurs finances et leur réputation. Cette semaine, Africa Cybersecurity Mag reçoit Radia Ouro-Gbele, PDG d’OG IT CONSULTING, pour partager sa vision sur l'importance de former et sensibiliser les dirigeants, et de renforcer la cybersécurité dans les entreprises africaines.

Radia Ouro-Gbele est une experte en cybersécurité et delivery lead sur des projets de cybersécurité. Elle est également PDG d'OG IT CONSULTING, un cabinet de conseil et d'intégration de solutions de cybersécurité implanté à Paris et en Afrique, précisément au Togo, depuis quelques années.

Africa CyberSecurity Mag : Radia, pouvez-vous nous expliquer pourquoi il est crucial de sensibiliser les hauts cadres aux problématiques cyber, notamment dans les secteurs où les données sensibles et le secret industriel sont essentiels ?

Radia Ouro-Gbele : Sur le continent, nous observons que le niveau de maturité en matière de cybersécurité des entreprises demeure relativement faible. Étant donné ce niveau, il est essentiel de commencer par sensibiliser les personnes à la cybersécurité : expliquer ce qu’elle est et les enjeux qu’elle représente pour chaque organisation. Les défis des organisations financières, par exemple, ne sont pas les mêmes que ceux d’un hôpital, de l’État ou du secteur de la défense. Il est nécessaire de leur parler de cybersécurité, de les sensibiliser et de les former, afin qu'ils disposent des outils nécessaires pour prendre des décisions éclairées.

C'est la raison pour laquelle nous mettons l'accent sur la sensibilisation et la formation en Afrique. Car ce n'est pas un manque de budget, mais un manque de sensibilisation et de connaissance des cadres dirigeants. Étant donné que les directeurs généraux et leur Comité de Direction (CODIR) ne sont pas informés des enjeux, des menaces et des pertes potentielles en cas de cyberattaque, ils jugent souvent plus important de concentrer les budgets sur les opérations générant des revenus immédiats. Pourtant, lorsqu'ils sont sensibilisés, ils comprennent que ces opérations peuvent effectivement rapporter de l'argent, mais qu'en une fraction de seconde, ils risquent de perdre des millions de dollars, comme cela s'est déjà produit chez leurs homologues. C’est pourquoi la sensibilisation est primordiale : elle leur permet de prendre conscience des enjeux.

Ensuite, une mauvaise sensibilisation et formation entraîne également une mauvaise hygiène numérique dans l’usage de l’IT. Quand on ne pratique pas une bonne hygiène numérique, cela ouvre la porte aux cyberattaques, qui représentent un grand vecteur d'intrusion. Les entités possèdent souvent des infrastructures peu robustes, faciles à attaquer, et qui peuvent faire l’objet de demandes de rançon. Dans le cas de certaines banques, cela peut aller jusqu’à permettre des virements frauduleux. Le manque de sensibilisation et de formation est donc à l’origine de ces deux problèmes majeurs.

Africa CyberSecurity Mag : Quels sont, selon vous, les secteurs en Afrique les plus vulnérables face à une mauvaise gestion des problématiques cyber au niveau des cadres dirigeants ?

Radia Ouro-Gbele : Aujourd'hui, le secteur bancaire est principalement visé. En termes d'historique, en Afrique, les failles ont commencé avec des arnaques ciblant les particuliers, comme celles venues du Nigeria où l’on recevait des messages disant : « Aide-moi à débloquer mon héritage, je te donnerai de l'argent. » Mais par la suite, les attaques sont devenues d'ordre pécuniaire, visant principalement les institutions où les attaquants peuvent obtenir énormément d'argent, notamment dans le secteur bancaire.

Hormis le secteur bancaire, ce que nous avons remarqué sur le continent, c'est l’État. Avec la défense et la protection de l'État, et tout ce qui se passe aujourd'hui dans certains pays africains, nous constatons que la souveraineté numérique est directement liée à la souveraineté nationale. Si des pirates peuvent accéder à vos informations, vous écouter, ou savoir comment un président se déplace d’un point A à un point B, ils savent où l’intercepter simplement. C’est un exemple concret.

Il y a aussi des cas où des acteurs malveillants prennent possession de certaines infrastructures et diffusent de fausses informations, manipulant l'opinion publique et causant d'importants dégâts. L'État, qui a accès aux informations sensibles de ses citoyens, devient une cible privilégiée. Si un attaquant accède à cette base de données  dans un contexte où nos pays parlent beaucoup de numérisation  imaginez les conséquences : toutes les informations sur les citoyens, y compris leurs empreintes digitales et d'autres données sensibles, pourraient être exploitées à mauvais escient. Les attaquants pourraient faire chanter des individus ou causer des préjudices graves. Pour ma part, les deux secteurs les plus sensibles sont le secteur financier et les États.

Africa CyberSecurity Mag : Pouvez-vous nous donner des exemples concrets d'entreprises qui ont subi des attaques en raison d'une mauvaise gestion ou d'un manque de sensibilité des hauts cadres ? Et quelles ont été les conséquences ?

Radia Ouro-Gbele: Oui, effectivement, il y en a énormément. D'ailleurs, on en parle aussi dans les sensibilisations qu'on fait aux cadres dirigeants dans les institutions. Je peux commencer par le cas d’une des banques leader en Afrique Centrale. C'était le 26 juin 2023. En gros, c'est un type d'attaque qu'on appelle souvent une attaque d'espionnage industriel. Pourquoi ? Parce qu'il y a eu vraiment des fuites de données. On a accès à des fichiers clients. C'est vraiment disponible. Vous pouvez voir le nom des fichiers dont les attaquants étaient en possession. Quand on communique, il faut savoir qu'il y a une bonne partie qui n'est pas communiquée. Il y avait ce cas de la même banque où on leur avait demandé une rançon de 1,5 million d'euros. Ce qui est dangereux, c'est qu'on avait accès à leur fichier client. On pouvait voir le comportement de leurs clients et leur comportement interne. 

Un autre cas est celui d’une banque ouest-africaine. Fin 2022, début 2023, il y a eu une usurpation d'identité du directeur informatique. Cela a conduit à un virement de 1 milliard de francs CFA à partir du système monétique de la banque.

Enfin, un autre cas concerne la CAN en Côte d'Ivoire en janvier 2024. Des billets de 10 000 francs ont été vendus à 11 francs à cause de failles dans la configuration des systèmes.

Africa CyberSecurity Mag : Comment OG IT CONSULTING accompagne-t-il les entreprises africaines ?

Radia Ouro-Gbele : Nous commençons par le cadre dirigeant. C'est des sessions que nous avons déjà animées avec des comités de direction (CODIR) de grandes institutions bancaires panafricaines. Lors de ces sessions, nous dressons un panorama de la cybersécurité : nous abordons les menaces actuelles, l'évolution des tactiques des attaquants, ainsi que les vulnérabilités propres aux différents secteurs d'activité. Nous analysons des cas concrets survenus dans leur secteur, en mettant en lumière les failles exploitées. Ensuite, nous proposons des solutions adaptées pour remédier à ce type de problématiques et travaillons avec eux à la définition d'une feuille de route pour renforcer la sécurité de l'entreprise.

Cette étape constitue une première sensibilisation. Par la suite, nous déployons des formations et des sessions de sensibilisation ciblées pour les directeurs, les chefs de département, les managers, et les opérateurs clés au sein de la structure. En fonction des besoins spécifiques des organisations, certaines catégories de personnel, comme ceux en charge d'opérations critiques, reçoivent une formation adaptée.

Enfin, nous élaborons un plan d'action global visant à former et sensibiliser l'ensemble des collaborateurs. Les formations sont adaptées selon les profils, mais tout le monde doit être impliqué, car la cybersécurité est l'affaire de tous. Par exemple, si les cadres dirigeants ou certains employés sont formés et sensibilisés, mais que d'autres, comme un agent de sécurité, ne le sont pas, cela peut devenir un point faible. Il pourrait, par exemple, faciliter un accès physique à des locaux sensibles, comme une salle de data center, compromettant ainsi tous les investissements réalisés pour sécuriser les infrastructures.

Nous insistons donc sur une approche globale, avec des vagues successives de sensibilisation et de formations détaillées, afin de garantir que chaque collaborateur comprenne les enjeux de la cybersécurité et contribue activement à la sécurité de l’organisation.

Africa CyberSecurity Mag : Quel est le rôle du management de haut niveau (CODIR, etc.) dans la prévention des risques cyber au sein des entreprises et des institutions africaines?

Radia Ouro-Gbele: Le rôle du management de haut niveau est absolument central dans la prévention des risques cyber. Tout d'abord, ils ont la responsabilité stratégique de protéger les actifs critiques de leur organisation, qu'il s'agisse de données sensibles, de secrets industriels ou de systèmes essentiels au bon fonctionnement. Cela engage directement la compétitivité et la pérennité de leurs structures. Ensuite, il est primordial pour ces dirigeants de comprendre que la cybersécurité n’est pas un domaine statique. Les menaces évoluent constamment, notamment avec l’arrivée de nouvelles technologies comme l’intelligence artificielle générative, qui a récemment été exploitée pour amplifier les cyberattaques. 

En 2023, par exemple, 85 % des professionnels de la sécurité ont constaté une augmentation de ce type d’attaques. Cela impose aux cadres dirigeants de se tenir informés des évolutions technologiques et des nouvelles vulnérabilités pour mieux anticiper les risques. Mais cela ne s’arrête pas là. Leur rôle est aussi d’agir en tant que catalyseurs de changement. Ils doivent impulser une véritable culture de la cybersécurité au sein de leur organisation. Cela passe par des formations adaptées pour les collaborateurs à tous les niveaux. D’ailleurs, les chiffres sont éloquents : une étude récente a montré que 67 % des salariés français jugent une formation en cybersécurité bénéfique, mais une majorité n’en a pas encore bénéficié. En Afrique, où les capacités en matière de cybersécurité restent limitées, selon Interpol, cette sensibilisation est encore plus urgente.

Enfin, le management doit structurer une gouvernance efficace. Cela implique de définir des politiques claires, d’allouer les ressources nécessaires et de s’assurer que des audits réguliers soient réalisés. C’est un rôle qui ne peut être délégué entièrement aux équipes techniques, car les décisions stratégiques notamment sur les investissements  reviennent aux dirigeants. C’est ce à quoi nous les sensibilisons lors des sessions de formations d’OG IT CONSULTING dédiée aux dirigeants

.Africa CyberSecurity Mag : Quel est votre mot pour conclure cette interview ?

Radia Ouro-Gbele:  Faites-vous accompagner ou à minima formez-vous. Il s'agit d'une première session, relativement courte, car nous savons que vous disposez de peu de temps. Que ce soit avec nous ou avec un autre cabinet en qui vous avez confiance, pour leurs compétences et leur expertise, il est essentiel de vous entourer de professionnels capables de vous guider. Ces experts vous sensibiliseront et vous fourniront les clés adaptées à votre organisation, vos besoins et votre stratégie actuelle. Cela vous permettra d'avoir une vision claire et concrète : vous saurez précisément ce que vous devez faire, à quel moment, et de quelle manière, pour atteindre le niveau de sécurité souhaité.

À mon sens, c'est la première action essentielle à entreprendre en tant que cadre dirigeant, que vous soyez à la tête d'une institution bancaire, étatique, ou de toute autre organisation.

Propos recueillis par Christelle HOUETO, journaliste digital