Le forensic et l’investigation numérique en Afrique : Un enjeu stratégique pour la lutte contre le cybercrime

 Le forensic et l’investigation numérique en Afrique : Un enjeu stratégique pour la lutte contre le cybercrime

À l’heure où le continent africain accélère sa transformation numérique, les menaces cybernétiques prennent une ampleur sans précédent. Piratage de données, fraudes en ligne, attaques ciblées contre les infrastructures critiques : le cybercrime s’intensifie, mettant en péril les efforts de développement numérique. Face à cette réalité, le forensic et l’investigation numérique s’imposent comme des outils stratégiques et indispensables pour identifier les auteurs d’actes malveillants, collecter des preuves numériques recevables en justice, et renforcer la cybersécurité des États et des organisations. Pourtant, malgré leur importance croissante, ces disciplines restent encore peu développées dans plusieurs pays africains.

Dans un contexte où la cybercriminalité ne cesse de croître en Afrique, comment le forensic et l’investigation numérique peuvent-ils devenir des leviers efficaces pour renforcer la cybersécurité et garantir une justice numérique adaptée aux réalités du continent ?  Nous recevons à cet effet sur Africa CyberSecurity Mag cette semaine François KHOURBIGA CEO & Co-founder de Defants afin d’en discuter.

Africa CyberSecurity Mag :  Quel est l’état des lieux de la cybercriminalité en Afrique

François KHOURBIGA : J’ai eu l’occasion de consulter un rapport d’Interpol qui dresse un panorama intéressant. On y retrouve des typologies d’attaques présentes aussi ailleurs dans le monde, mais leur fréquence ou priorité peut être différente en Afrique. Par exemple, les escroqueries, faux ordres de virement ou escroqueries en ligne sont très présentes. Ce type d’attaques, que nous avons eu à traiter, exploitent souvent des services cloud ou hébergés. Les attaquants compromettent des comptes utilisateurs pour accéder à des informations qui rendent leurs escroqueries plus crédibles. Leur objectif est de diminuer la vigilance de la victime. L’accès à des informations précises ou générales sur la personne renforce l’efficacité de l’attaque. Les ransomwares et codes malveillants sont aussi encore très répandus comme types d’attaque.

Africa CyberSecurity Mag : Définition et importance du forensic numérique dans les enquêtes cyber

François KHOURBIGA : Le forensic numérique est comparable au travail de médecine légale. Lorsqu’il y a une scène de crime, il faut l’analyser pour collecter des éléments et permettre que justice soit rendue. Dans une cyberattaque, l’objectif n’est pas forcément d’arrêter les attaquants, car cela nécessite une coordination internationale complexe. Le but est d’arrêter les prochaines attaques. Le forensic vise à comprendre ce qui s’est passé, comment l’attaque a eu lieu, quand elle a commencé. Cette compréhension permet d’éviter que cela ne se reproduise. Trop souvent, des entreprises réinstallent leurs systèmes après une attaque sans traiter la cause. Les attaquants reviennent alors, parfois plus virulentes avec des exigences plus fortes. Il faut comprendre les accès utilisés pour les fermer, identifier le moment exact de l’attaque, et s’assurer que les sauvegardes restaurées ne contiennent pas la menace. Le forensic repose sur l’analyse des traces laissées par les attaquants, pour reconstituer leur mode opératoire et mieux sécuriser les systèmes.

Africa CyberSecurity Mag : Pouvez nous faire part des  Difficultés rencontrées dans l’identification et la poursuite des cybercriminels

François KHOURBIGA : On intervient selon deux modes opératoires. Un mode opératoire réactif et un mode opératoire proactif. Quand je dis réactif, je pense qu'on répond à une cyberattaque et on a un besoin premier : c’est assurer la survie dans les meilleures conditions de l'entreprise, faire en sorte que cette cyberattaque ne soit pas fatale. Et lorsqu'elle passe, faire en sorte que l'entreprise soit mieux sécurisée, encore mieux préparée pour les futurs risques auxquels elle pourra être exposée. Sur celà, on a des difficultés, auxquelles on pallie sur tout ce qui est collecte. On doit pouvoir collecter l'information pour pouvoir l'analyser et comprendre ce qui a pu se passer. On apporte une réponse en travaillant avec des agents, qu'on appelle des agents de forensic, des agents de collecte, qui vont automatiquement faire ces prélèvements, les rapatrier sur la plateforme pour que le traitement commence automatiquement et que nos analystes, qui basés n'importe où, en Afrique, en Europe, même aux États-Unis, pour couvrir aussi une plage horaire plus importante, soient en capacité d'assurer une continuité. Une autre difficulté, c'est comment faire pour répondre dans le temps le plus court possible. Les attaquants fonctionnent parfois sur des plages horaires complètement différentes et on a besoin, en tant que défenseurs, d'être capables de maximiser nos efforts, et pour ça, avoir des équipes, des jeunes formés sur différentes zones géographiques. L'impact est très important pour une entreprise qui voit son activité arrêtée pendant trois jours. 

Ce qu’ on demande à nos analystes, c'est de faire des rapports qui soient extrêmement lisibles, extrêmement simples, de sorte que les recommandations qui sont dedans puissent être appliquées dès le jour même ou dès le lendemain, et faire en sorte que l'entreprise puisse fermer les accès, sortir l'attaquant de son réseau et appliquer des recommandations qui font que cette cyberattaque ne pourra plus se reproduire. Il y a un deuxième sujet auquel nous, on apporte une réponse, c’est qu'on fait exactement ce même travail-là de manière proactive. C'est-à-dire qu'on intervient auprès des entreprises au même titre qu’un pentest. Le pentest va rechercher si une porte est ouverte. L’un des défis aujourd'hui, c'est aussi comment on va être en mesure de répondre à ces cyberattaques en Afrique de façon réactive, de la meilleure façon, mais aussi être capable d’aller vers une autre temporalité, être capable de détecter, d’investiguer, de comprendre, de révéler ces attaques avant qu'elles aient un vrai impact. Et celà passe par ces actions d’audit de compromission. 

Africa CyberSecurity Mag : Quels sont les outils et techniques que vous recommandez pour mener des investigations numériques en Afrique ?

François KHOURBIGA : L’écosystème est vaste et fragmenté. Il existe des centaines d’outils, certains open source, d’autres commerciaux. Leur usage nécessite une expertise technique qui s’acquiert sur plusieurs années. Mais les attaquants, eux, n’attendent pas. Une seule vulnérabilité exploitée peut compromettre des milliers de victimes. Chez Defants, nous avons décidé de simplifier ce processus. Nous avons développé une plateforme tout-en-un qui couvre l’ensemble de la chaîne : collecte automatique de preuves, analyse, génération de rapports clairs et recommandations. Mais surtout, nous intégrons la formation au cœur de notre approche. Nous prenons des profils juniors et les rendons opérationnels dès le premier jour, puis les accompagnons dans leur montée en compétences pour en faire des experts.

Africa CyberSecurity Mag : Comment vos outils soutiennent-ils la conformité réglementaire et la coopération avec les autorités ?

François KHOURBIGA : Aujourd'hui, nous développons des capacités technologiques avec une plateforme déployable en fonction des contraintes de souveraineté et de protection des données sur n'importe quel hébergeur. La plateforme permet de générer un rapport circonstancié, utile lors de procédures comme le dépôt de plainte, et qui pourrait aider à identifier un réseau d'attaquants. Cela rend ce processus accessible et industrialisé.

Il y a un enjeu majeur à mettre en coopération les équipes, qui relève à la fois de la volonté et des moyens. Aujourd'hui, nous avons répondu à cet enjeu en utilisant la technologie. Nous avons déjà lancé des initiatives avec des réseaux comme le pôle d'excellence cyber, qui offre des programmes de formation certifiants en collaboration avec des écoles et des universités, notamment l'Université de Rennes. Ces formations couvrent plusieurs niveaux, du BAC aux ingénieurs. Elles s'adressent à des analystes techniques qui interviennent dès le début sur la plateforme pour gérer les cyberattaques. Nous formons également des analystes lead, capables de coordonner les équipes et de comprendre l'impact global d'une cyberattaque, tout en construisant les rapports nécessaires à la conformité réglementaire et au dépôt de plainte.

Africa CyberSecurity Mag : Quel est votre analyse des réglementations existantes sur la collecte et l’exploitation des preuves numériques

François KHOURBIGA : Dans le forensic, un impératif essentiel est la traçabilité et le maintien de l'intégrité des données. Il est crucial, notamment d'un point de vue judiciaire, de garantir que la partie adverse puisse confronter les résultats. Cela implique de pouvoir, dès la collecte, indiquer comment cette collecte a été effectuée, avec quel outil, quand elle a eu lieu, et de signer les informations collectées pour assurer que les données n’ont pas été altérées. Il est essentiel de garantir que si une contre-expertise est nécessaire, la partie adverse travaille sur les mêmes données. Cela permet de certifier que les données n'ont pas été corrompues et que l'analyse repose sur les informations exactes. En garantissant l'intégrité des données et de l'analyse, il devient possible de construire un rapport solide qui peut être présenté devant la justice et retracé jusqu'à la source des données initiales.

En ce qui concerne la coopération à l'international et les partenariats public-privé, leur rôle est primordial. La capacité de l'Afrique à répondre aux cyberattaques passe inévitablement par la collaboration entre différents acteurs. La coopération internationale permet d'échanger des connaissances, des outils et des ressources, tandis que les partenariats entre le secteur public et privé renforcent les capacités locales et facilitent la réponse face aux menaces.

Africa CyberSecurity Mag : Recommandations pour faire du forensic un pilier central de la lutte contre le cybercrime en Afrique

François KHOURBIGA : Nous avons d'excellents résultats, notamment avec les alternants et les stagiaires que nous formons et qui sont immédiatement impliqués dans le traitement des cyberattaques. La clé réside dans la formation sur des outils efficaces et accessibles. Cela permet de construire une expérience précieuse, particulièrement pour les jeunes. Ces compétences, acquises grâce à une expérience concrète face aux cyberattaques, sont rares et très valorisées, et elles peuvent ensuite être appliquées à d'autres domaines de la cybersécurité.

En comprenant comment les attaquants opèrent, identifier les vulnérabilités et donner des recommandations, ces compétences peuvent être mises à profit pour sécuriser les secteurs publics et privés en Afrique. Le pilier de tout cela est un programme de formation ciblant les jeunes, soutenu par une technologie qui facilite l'accès à la cybersécurité.

Propos recueillis par Christelle HOUETO, journaliste digital