Le Bénin, un leader émergent en cybersécurité en Afrique de l’Ouest et sur le continent

“ Il faut qu'on arrête de se dire, moi, je ne suis exposé à aucun risque. Je suis un petit pays ou une petite société parce que finalement ce n'est pas du tout le prisme de réflexion des cybercriminels ou de leurs robots”. Ouanilo Medegan FAGLA

Avec une augmentation significative des compétences locales, des partenariats internationaux stratégiques et une législation adaptée, le Bénin se forge une réputation solide en matière de prévention des menaces numériques. Les indicateurs récents démontrent que le Bénin, souvent ombragé par des voisins plus médiatisés, investit massivement dans des initiatives de cybersécurité qui commencent à porter leurs fruits. 

Pour en parler dans ce nouveau  numéro, Africa Cybersecurity Mag reçoit pour vous M. Ouanilo Medegan FAGLA, Directeur du pôle Sécurité Numérique de l'Agence des Systèmes d'Information et du Numérique (ASIN) du Bénin. Ici, l’expert avec environ 20 ans d’expérience en cybersécurité nous offre un aperçu captivant des progrès fulgurants réalisés en matière de cybersécurité au Bénin. De sa stratégie nationale novatrice à la récente Conférence Ouest-africaine sur les infrastructures digitales et la cybersécurité, M. Ouanilo partage des perspectives éclairantes sur la situation actuelle et les initiatives futures. 

À travers cette interview, le Directeur du pôle de la Sécurité Numérique de l'Agence des Systèmes d'Information et du Numérique du Bénin (ASIN-Bénin) nous plonge davantage dans le monde dynamique de la cybersécurité au Bénin.

Africa Cybersecurity Mag :  Pouvez-vous nous faire un bref état des lieux de la cybersécurité en Afrique et plus particulièrement au Bénin ?

Ouanilo Medegan FAGLA : Je vais commencer d’abord par le Bénin avant d'aller au niveau de l'Afrique. Au Bénin, il y a un classement d'accord de l'Union Internationale des Télécommunications qui classe les pays par rapport à leur posture en termes de préparation à la Cybersécurité. Ainsi, en 2016, l’UIT avait classé le Bénin au 149ème rang sur 156 pays évalués. En 2021, le Bénin a été évalué dans le même Index à la 56ème place sur 194 pays évalués. Donc, c'est pour dire près de 100 places gagnées en environ cinq (05) ans. Nous attendons la dernière édition 2023 du classement pour voir un peu ce qui a bougé depuis 2021. 

Je tiens à préciser que c'est la mise en œuvre de la Stratégie Nationale de Sécurité Numérique qui a permis d'attaquer, pendant trois (03) ans et un petit peu plus, les axes comme la Protection des Systèmes d'Information et des Infrastructures Critiques, la lutte contre la cybercriminalité, le renforcement du cadre juridique et réglementaire, la promotion de la confiance numérique, le développement des compétences et la culture en sécurité numérique, la coopération internationale et la coordination nationale…. Donc c'est autant  d'actions sur chacun de ces axes-là qui nous ont amené à faire ces progrès. 

Aujourd'hui, j'aime bien dire qu’au niveau central, nous avons un niveau de sécurité qui commence à être satisfaisant, qui commence à être acceptable, mais cette sécurité doit encore être diffusée dans tous les cercles concentriques, à savoir les Ministères, les Agences, les Institutions, les Sociétés d'État. Il y a un premier niveau qui est fait, mais la sécurité doit aller jusqu'à descendre à tous les niveaux de chacune de ces entités-là et c'est ce sur quoi nous travaillons pour les prochaines années. Mais je pourrais ensuite aborder le niveau africain pour donner une idée. Ce qui ne traduit pas forcément toute la réalité des choses. Si on regarde ce même classement au niveau africain, le Bénin est en 6ème position en Afrique Subsaharienne.

Sur le continent, on a des niveaux assez disparates en termes de cybersécurité, des pays qui auraient pu être très en avance sont plutôt en avance dans la lutte contre la cybercriminalité, mais ne se sont pas encore vraiment penchés sur le volet cybersécurité. Et souvent ça part de blocage institutionnel. De ce que j'observe. Vous avez des pays qui ont eu des stratégies avant nous, qui ont eu des lois sur la cybersécurité avant nous, mais n’ont jamais pu les opérationnaliser parce qu'il y a des problèmes de gouvernance. 

Et donc là, s’il n’y a pas de problème de gouvernance, il y a des problèmes de compétences et quand il n'y a pas des problèmes de compétences, il y a des problèmes de budget. Ce qui fait notre progrès au Bénin, c’est que plusieurs des paramètres que je viens d’énumérer ont été pris en compte par le gouvernement en misant surtout sur la jeunesse. Parce que si vous regardez dans une unité opérationnelle au sein de nos agences et institutions en charge de la cybersécurité, la moyenne d'âge est autour de 22, 23 ans. Mais aussi, nous avons pris  la cybersécurité comme une dimension essentielle et donc nous y avons mis des moyens et notamment en associant une gouvernance qui fait que les choses marchent et évoluent. 

Au niveau continental, ce sont peut-être ces problèmes cités plus haut qui pèchent encore et qui font qu'on n'arrive pas à démarrer dans certains pays du continent. Mais attention, comme je dis, il y a différents niveaux, il y a des gens qui ont bien avancé, il y a des gens qui étudient, qui sont sur d'autres modèles, complètement des modèles assez inédits tels que des PPP dans le secteur de la cybersécurité. Mais voilà, chacun fait son petit chemin. Il y a des initiatives aux niveaux régionaux qui essaient d'harmoniser les choses. Mais comme je disais, ça ne redescend pas toujours aussi facilement dans les pays où ça devrait.

Africa Cybersecurity Mag :  Parlant de la Stratégie Nationale de Cybersécurité, est-elle déjà opérationnelle ? Si oui, alors qu'est-ce qu'elle prévoit en matière de Cybersécurité pour les agences ? les Institutions gouvernementales, les entreprises publiques ou privées béninoises ? 

Ouanilo Medegan FAGLA : Bien sûr, la Stratégie est opérationnelle depuis mai 2020, c'est vraiment ce sur quoi je mettais le doigt. Ça a été une des toutes premières actions après le vote du Code du Numérique et la création de l'Agence Nationale des Systèmes de Sécurité et d’Information (ANSSI) pour une durée de trois (03) ans. Elle est basée sur cinq (05) axes et déclinée en 47 actions. Il y a des actions clés par axes, mais pour répondre précisément à votre question, ce qui concerne ces agences et ces institutions, c’est principalement deux (02) choses. C'est vrai que déjà, toute la stratégie les concerne. Si je prends par exemple la publique et l'infrastructure à gestion de clé publique opérée par l’ASIN. C'est quelque chose qui va attendre à dématérialiser ou en tout cas à créer la transformation digitale en garantissant la fiabilité des transactions qui sont dématérialisées grâce à la confiance humaine qui est induite.

Ça veut dire que si aujourd'hui je ne vous vois pas, je peux quand même garantir que c'est vous, même si je suis une entité virtuelle, je peux faire le lien avec votre identité. Par exemple, les compétences que nous formons, c'est-à-dire qu'aujourd'hui, par exemple, au cyber-rinch de l’ASIN, nous formons des DAF, des PRMP, des étudiants, des RSSI. Nous formons un peu tout le monde. Donc la stratégie touche toutes ces entités. Ou bien encore l'équipe gouvernementale de réponse aux incidents de sécurité informatique qui est le policier du cyberespace et qui veille à la cybersécurité de tous les systèmes de l'État dans le cyberespace. Mais ce qui les touche principalement et  les met en responsabilité directe au niveau opérationnel, c'est la politique de Sécurité des Systèmes d'Information de l'État qui est une politique qui concerne tout ce qui est justement Agence, Institution, Société d'État où il doit avoir des règles à mettre en œuvre. Une règle par exemple, c'est d'avoir en son sein un Responsable de la Sécurité des Systèmes d'Informations qui est rattaché à la direction. En tout cas, qui est au CODIR et qui est capable de mener la sécurisation de la maison.

Il y a un certaine règle telle que le respect des données, de la protection des données personnelles, les mesures de souveraineté des données, c'est-à-dire ne pas imaginer des données des gens à l'étranger sauf si certaines conditions sont remplies, le fait de faire d’auditer son système d'information, le fait d'avoir un plan de continuité d'activité…. Donc toutes ces règles-là doivent être mises en œuvre. 

La deuxième politique qui concerne les entités, c'est la politique de protection des infrastructures d'information critique qui vise justement à protéger les opérateurs d'importance vitale du pays. Une infrastructure, si elle est piratée, handicape le fonctionnement du pays et astreint à cette politique-là. Donc eux, ce sont des règles aussi auxquelles ils doivent se conformer, mais qui sont plus contraignantes. Là, il y a des sanctions financières qui vont avec quand ils ne sont pas en règle face à face à cette politique-là. 

D'un autre côté, vous avez le référentiel des fournisseurs de services de sécurité numérique. Parce que les deux (02) politiques que je viens de citer, les entités ont besoin d'accompagnement pour les mettre en œuvre. Donc ce qu'on veut éviter, c'est qu'ils aillent parler à n'importe qui et qu'on leur fasse n'importe quoi et qu'ils se sentent dans une fausse sensation de sécurité. Donc ce qu'on a mis en place par ce référentiel, c'est la qualification des gens qui font des prestations dans ce domaine-là. Donc dans les audits de conformité, dans les tests de pénétration. Ceux qui font des prestations dans ces domaines doivent être connus et qualifiés par le Ministère du Numérique et de la Digitalisation appuyé par l’ASIN de manière à ce que ces gens-là en soient sûrs qu'ils font un travail correct. Voilà un peu ce qui impacte les entités dont on a parlé.

Africa Cybersecurity Mag :  Du 28 au 29 novembre dernier,  le Bénin a accueilli la conférence Ouest-africaine sur les infrastructures digitales et la cybersécurité et vous y avez participé en tant que Directeur du pôle Sécurité Numérique à  l’ASIN-Bénin. Dites-nous qu'est-ce que l'organisation et l'accueil de cet événement apportent au Bénin matière d’expertise sur les questions de sécurité numérique ?

Ouanilo Medegan FAGLA : Il faut l'avoir comme un brassage des expertises, une rencontre entre experts où finalement, nous avons eu une très grande richesse en termes d'intervenants du milieu universitaire, du milieu de la recherche scientifique, du milieu professionnel, du tissu local qui se sont rencontrés, et qui ont échangé pendant ces deux (02) jours-là sur des problématiques telles que la cybersécurité, les infrastructures d'informations publiques ou encore l'Intelligence Artificielle dans ses différents domaines d'application. On a même parlé aussi de comment avoir plus de femmes dans la transformation digitale que nous observons aujourd'hui sur le continent.

Les partages d'expériences ont servi au tissu local justement à s'imprégner de méthodes ou de raccourcis, en tout cas, ou des erreurs à ne plus refaire qui ont été déjà faites par les autres. Donc ça je pense que les personnes qui ont participé ont été forcément sorties, enrichies de ces échanges, de ce brassage et c'était aussi une opportunité pour le Bénin d'exposer, de partager un peu les leçons apprises, de partager un peu les succès, mais surtout les leçons apprises puisqu'il y avait pleins de pays qui étaient dans les mêmes conditions que nous. Finalement, ça a permis à ceux qui partent aussi d'avoir une référence. Par exemple, on a déjà d'autres pays qui attendent et qui ont déjà pris date pour revenir au Bénin, voir comment nous avons mis en œuvre ceci, comment nous avons mis en œuvre cela pour pouvoir le faire chez eux plus facilement. C'est ça les avantages des coopérations Sud-Sud.

Généralement, quand vous rentrez d'un voyage, d'une mission exploratoire d'un même pays qui a eu les mêmes, qui est dans les mêmes contextes que vous, vous savez quel pied mettre devant l'autre alors que quand vous allez dans un pays qui est beaucoup trop en avance, le lien à faire entre les deux (02) étapes entre votre étape et la leur est beaucoup plus compliquée à décomposer et à trouver.

Africa Cybersecurity Mag : En prélude à cette conférence, pouvions-nous s’attendre à des partenariats avec Carnegie Mellon University (CMU), une université américaine implantée au Rwanda pour une portée africaine ? Y-a-t-il des étudiants béninois qui y suivent des formations ?

Ouanilo Medegan FAGLA : Oui, c’est une université américaine implantée au Rwanda pour une portée africaine. Donc c'est déjà quelque chose qui est réel.  C'est-à-dire que beaucoup d'étudiants béninois de l'Institut de Formation et de Recherche en Informatique (IFRI) et d'autres écoles. Il faut préciser que c’est une université qui est très sélective. C'est quand même la toute première université, la plus prestigieuse au monde en termes d'informatique, installée en Afrique, contrairement à ce qu'on pourrait croire quand on parle de MIT. Il y a des jeunes Béninois qui arrivent à se qualifier tous les ans pour avoir pour les bourses. Puisque cela coûte 40.000$ par an. C’est donc à partir du système boursier, il y a quelques étudiants du Bénin qui chaque année arrivent à se faire qualifier pour aller finir des Masters ou des Doctorats dans cette université. 

C'est vrai que le fait de venir au Bénin était aussi une opportunité de les exposer à plus de Béninois. Et ça a été fait au travers d'un petit concours qu'on appelle le  CTF qui a eu lieu le lundi 27 novembre 2023 où plusieurs étudiants de l'IFRI de plusieurs écoles se sont affrontés en cybersécurité et ont été primés. Ce qui a permis aux responsables de cette université avec laquelle nous avons organisé cette conférence d'être plus au contact du tissu universitaire béninois et de tisser des partenariats. Pendant la première journée, les autorités de CMU sont passées à l'Université d’Abomey-Calavi pour créer des liens de manière à ce que nous puissions avoir plus de collaborations qui vont profiter au monde scientifique numérique du Bénin.

Africa Cybersecurity Mag : Selon vous, il faut miser sur la formation juvénile en matière de cybersécurité. Mais vous n’êtes pas sans savoir que les personnes du 3ᵉ âge utilisent aussi de façon extraordinaire les nouvelles technologies, en l’occurrence les smartphones. Comment comptez-vous sensibiliser ou former cette couche de la société ?

Ouanilo Medegan FAGLA : Formation, je ne sais pas dire parce que la formation, pour moi, c'est un côté quand même un peu professionnel. Et comme on n'a pas ce lien avec les populations, je vais m'appesantir sur la sensibilisation. Et donc la sensibilisation est justement quelque chose d'essentiel, car c’est l'une des meilleures défenses en termes de cybersécurité ou de lutte contre la cybercriminalité. C'est la prévention pour que les victimes soient sensibilisées aux dangers. Cela permet de ne pas tomber  dans les pièges. Il faut noter que c’est normal qu’ils tombent dans ces pièges parce qu'ils ne se rendent compte pas de l’insécurité à laquelle ils sont exposés. 

Donc au niveau de l’Agence des Systèmes d’Information et du Numérique, nous avons établi de mener des campagnes de sensibilisation que nous  avons regroupées sous l'étendard du projet PARE. Un projet avec lequel nous protégeons, alertons, responsabilisons et surtout, nous éduquons déjà. Il faut préciser que ce projet a déjà connu une première édition l'année dernière. 

Et pour cette année qui va connaître la 2ème édition, nous attaquons une nouvelle dimension. Puisque jusque-là, c'était dans les écoles, dans les villes, et cetera. Maintenant, on va passer au niveau des réseaux sociaux, on va aller dans plusieurs langues pour toucher plus de public, un peu comme les seniors qui ne sont peut-être pas dans les zones urbaines. Au travers de cette campagne-là, nous espérons vraiment toucher un maximum de personnes pour les mettre à l'abri des cybercriminels. 

Africa Cybersecurity Mag : Selon l’OCRC, 1351 cybercriminels ont été arrêtés entre 2022 et 2023 pour un préjudice d’environ 1 milliard de francs CFA. Vous, en tant qu'expert dans le domaine de la cybersécurité, dites-nous quelle sensibilisation ou stratégie, vous suggèreriez aux autorités de la lutte contre la cybercriminalité pour éviter un préjudice pareil à l’avenir ?

Ouanilo Medegan FAGLA : Déjà, quand on parle de ce fameux préjudice d'un milliard, il faut être conscient que ce n'est qu'une fraction de la réalité. C'est ce qui a été déclaré, c'est ce qui a été retrouvé. Ce ne sont que des restes ou bien des bribes de la réalité. Je pense qu'on peut multiplier ce chiffre facilement par plusieurs dizaines. Je vais reprendre ce que je disais déjà plus qu’il faut plus de sensibilisation. Il faut intensifier les campagnes de sensibilisation pour toucher plus de personnes. Aujourd'hui, les causes de la cybercriminalité sont multiples et se justifient ou bien se comprennent par une histoire de repères, de valeurs, de mauvaises perceptions, vu que c'est lié à l'invisibilité des victimes. 

Et donc finalement, on ne sait si c’est bon ou si c'est mauvais. On pense que ce ne sont que les Européens qui subissent et du coup ce n'est qu'un retour du bâton de la colonisation.  Alors que le plus grand nombre de victimes se retrouve au Bénin, en Afrique. Ces victimes de tous les jours sont nos compatriotes, donc il faut arrêter de prendre les cybercriminels pour des Robins des bois. Je n'arrête pas à le répéter.

Tout le monde est un peu témoin du rythme ou du mode de vie de ces jeunes. Un train de vie qui n'a rien de Robin des Bois, qui n'a rien de chevaleresque. Il faut peut-être même revoir le sujet à la base. À cette occasion, le gouvernement béninois a annoncé mercredi 20 septembre dernier en Conseil des Ministres l’introduction  des Classes Socioéducatives, un peu pour réintroduire l’éducation civique en matière de sécurité en ligne au Bénin. Je pense que c'est vraiment ce qu'il faut faire. Et le gouvernement l'a compris et a bien fait d'avoir introduit ces classes pilotes là pour l'instant avant de les généraliser pour que finalement les enfants grandissent en se disant, je ne vais pas avoir la cybercriminalité comme modèle ou comme un moyen de m'en sortir dans la vie.

Africa Cybersecurity Mag : Au niveau continental, en ce qui concerne la ratification de la Convention de Malabo sur la cybersécurité, le Bénin l'a-t-il déjà ratifié ? Si oui, depuis quand ?
 
Ouanilo Medegan FAGLA : Le Bénin est signataire de la Convention Malabo sur la Cybersécurité depuis son élaboration. Nous sommes signataires. Maintenant, il faut faire le processus de ratification. Démarrés depuis 2020, ces processus-là ont été revus. Et je peux vous dire qu'aujourd'hui, le gouvernement a repris des actions pour ratifier même les protocoles de Budapest aussi plus ses deux Protocoles Additionnels d'Accord. Je tiens à préciser que toutes ces conventions ont été déjà transmises à l'Assemblée Nationale et vont être étudiées pour être ratifiées dans les mois à venir.

Africa Cybersecurity Mag :  Quel est Votre Mot de Fin ?

Ouanilo Medegan FAGLA : Il faut que l'on arrête de considérer la cybersécurité comme juste un peu de dépenses superflues ou un Nice to have, il faut qu'on arrête de se dire, moi, je ne suis exposé à aucun risque. Je suis un petit pays ou une petite société parce que finalement ce n'est pas du tout le prisme de réflexion des cybercriminels ou de leurs robots. Les robots ne savent pas qui vous êtes et ça peut faire très mal. Ça peut faire extrêmement mal, donc il vaut mieux aujourd'hui adopter les bonnes postures, les bons réflexes.  Mettre en œuvre un certain nombre de mesures dans notre vie numérique ou dans la digitalisation, de nos entreprises, de nos administrations.

Interview réalisée par Koffi ACAKPO, jouraliste digital