Stratégie africaine de cybersécurité avec François Xavier DJIMGOU NGAMENI

Africa Cybersecurity Mag a rencontré certains acteurs de la cybersécurité en Afrique. Il n’est pas question de parler de solutions cyber mais d’une discussion des plus passionnantes sur la stratégie de cybersécurité en Afrique. Il ne vous est pas nouveau que de nombreux pays africain ont signé la Convention de Malabo sur la cybersécurité et d’autres l’ont ratifié. Qu’en est il vraiment dans la pratique ?

Dans ce Cyber-Interview accordé à Africa Cybersecurity Mag, François Xavier DJIMGOU NGAMENI du LARC (Laboratoire Africain de Recherche en Cyberstratégies) fait un décryptage d’expert de la stratégie africaine de cybersécurité et nous fait une vue d’ensemble du LARC. Cette interview assez particulière est très intéressante tant sur les questions qu'elle aborde que sur le fond des réponses de notre invité.

Africa Cybersecurity Mag : Présentation de François Xavier DJIMGOU NGAMENI

François Xavier DJIMGOU NGAMENI est d’origine camerounaise et ingénieur en réseaux et sécurité des systèmes d'information. Il a travaillé pour de nombreuses entreprises internationales tel que IBM en tant qu’analyste de cybermenaces et par la suite évolué en tant que manager de solutions cybersécurité. Il a pendant longtemps aussi travaillé en tant que consultant en stratégie de cybersécurité pour des entreprises. Très passionné par les questions liées à la souveraineté numérique, il a vu à quel point nos pays sont mal préparés face aux menaces d’ordres cybernétiques. Une mauvaise préparation le plus souvent couplée d’une formation insuffisante ou inadéquate. Il a consacré beaucoup de temps sur la question en tant que chercheur afin de comprendre et aborder la question sous tous les aspects. C’est à ce titre qu’il a sorti un premier ouvrage intitulé “Souveraineté Numérique et Cyberdéfense: un enjeu de taille pour l’Afrique

Africa Cybersecurity Mag : Pouvez-vous nous en dire plus sur votre ouvrage ?

François Xavier DJIMGOU NGAMENI : L'idée de cet ouvrage me vient en 2017 en pleine crise “Wannacry”, du nom de ce logiciel malveillant de type rançongiciel qui a impacté de nombreuses entreprises dans différents pays à travers le monde. Face à l'ampleur de la crise que cette cyberattaque avait provoquée, je me posais alors la question de savoir si des pays africains avaient été impactés et quels dispositifs ces derniers avaient mis en place pour détecter et réagir face à ce type de menace. C’est donc en tentant de répondre à cette question que je tombe tout à fait par hasard sur l’affaire Edward Snowden, lanceur d’alerte américain dont les révélations ont secoué le monde. En divulguant des millions de documents classifiés dont certains démontrent le lien de collaboration entre les géants du numérique dont nous utilisons les services au quotidien et les services de renseignement américain, la mise sur écoute des dirigeants du monde entier etc., Snowden vulgarise largement la problématique du cyberespionnage, obligeant de nombreux pays au changement de paradigme dans la protection de leur cyberespace. Alors que cette affaire par son retentissement mondial a été très massivement traitée par la presse internationale en 2014, j’ai été grandement surpris de constater le manque d'intérêt de la presse et des Etats africains pour cette affaire, alors que ces derniers étaient bien concernés par les révélations.

Conçu et élaboré comme une lecture africaine de ces révélations afin d’en tirer les leçons, ce premier ouvrage avait pour ambition d’une part de tirer la sonnette d’alarme en montrant concrètement quel est l'impact de ces révélations sur ce qu'on pourrait appeler le cyberespace africain, et d’autre part de mettre en exergue l'urgence pour les africains de mener une réflexion sur comment implémenter un dispositif plus adéquat par rapport à ce type de menace qui sont très peu traités.

Africa Cybersecurity Mag : Parlez-nous du LARC. Quelles sont ses activités ?

François Xavier DJIMGOU NGAMENI : Le LARC, Laboratoire Africain de Recherches en Cyberstratégie, a été initié en 2018 suite à la sortie de ce premier ouvrage afin d’aller plus loin dans la réflexion de ce qui a été démarré. Le LARC se veut être un cadre de réflexion, d'analyse, de recherche et de production des connaissances pluridisciplinaires visant à décrypter les enjeux de demain dans le cyberespace africain, ainsi que d'élaborer des stratégies qui peuvent permettre aux gouvernants de prendre les décisions les plus éclairées possibles. C’est en somme ce qu’on peut appeler un think thank sur la problématique des enjeux dans le cyberespace africain.

Africa Cybersecurity Mag : Quelles sont les missions du LARC ?

François Xavier DJIMGOU NGAMENI : La vision du LARC est de créer un corpus de connaissances structurées sur le cyberespace à partir de l’Afrique comme épicentre de notre réflexion. A travers cette vision, l’une de nos principales missions est d’aider les pouvoirs publics, les décideurs et les acteurs du numérique sur le continent à élaborer une stratégie propre au cyberespace africain, permettant de préserver nos intérêts vitaux dans ce nouveau champ de bataille et d’acquérir ce qu’il convient de nos jours d’appeler la souveraineté numérique.

Africa Cybersecurity Mag : Le LARC a publié de nombreux documents sur les questions de stratégie de cybersécurité en Afrique. Que peut-on dire des différentes stratégies africaines et de la transformation numérique ?

François Xavier DJIMGOU NGAMENI : La particularité du LARC, c'est de positionner la réflexion au niveau des rapports de force entre différents acteurs dans le cyberespace. Plus simplement c'est de dépasser la logique des usages qui le plus souvent gouverne l'élaboration des stratégies de transformation numérique sur le continent, pour entrer dans une logique des enjeux. Ce qui permet de hisser notre analyse au niveau de la dialectique des volontés entre acteurs dans le cyberespace, de la façon dont ces volontés s’y opposent, de la compréhension des affrontements qui s’y déroulent, etc. Nous devons élaborer ce qui serait notre propre volonté avant de la confronter à celle des autres. La grille de lecture du LARC c’est donc la stratégie au sens étymologique même du terme, appliquée au cyberespace.

A contrario, si vous analysez globalement les stratégies de transformation numérique actuelles dans nos différents États, vous constaterez qu’elles sont encore centrées sur la logique des usages. C'est-à-dire comment rattraper, comme on le dit bien, le retard numérique avec les pays avancés.  Ce qui nous conduit à courir vers les technologies déjà développées ailleurs. Et puisqu'on est pressé, on ne prend pas le temps de réfléchir sur les impacts à long terme de ces technologies. Bien au contraire, on les adopte et les déploie sur le continent tel qu’elles nous sont présentées afin de rattraper le gap. Car la promesse derrière, c'est que la transformation numérique peut améliorer les conditions de prospérité et de développement des États. Ce qui n'est pas faux. La seule différence, c'est que maintenant le LARC offre une nouvelle grille de lecture en réfléchissant sur les impacts (économiques, politiques, stratégiques, etc.) des choix que nous avons fait pour opérer cette transformation-là. C’est l’objet même de nos publications.

Africa Cybersecurity Mag : Aujourd'hui, il y a beaucoup d'attaques cyber en Afrique. À cet effet, l'Union africaine a mis en place une stratégie africaine autour de la cybersécurité. Cela suffit-il pour venir à bout de la menace ? Et quelles sont les limites de la stratégie africaine ?

François Xavier DJIMGOU NGAMENI : C’est dans le même ordre d’idées que ce que je disais précédemment, les dispositifs que mettent en place la plupart de nos États aujourd'hui, y compris les organisations régionales et même continentales comme l'Union africaine, sont focalisés en termes de protection du cyberespace, sur la lutte contre la cybercriminalité. Ce qui est très important. C'est ce qui permet d'assainir le cyberespace et de créer une forme de confiance dans l'utilisation du numérique, je tiens à le signaler. Cependant, cela laisse un autre pan de la thématique qui est, à mon sens, beaucoup trop rarement traité. Prenons une analogie : c'est comme si, en considérant le cyberespace africain comme un “territoire souverain”, on était préoccupés par comment réguler le cybercrime en son sein en mettant en œuvre des moyens comme la Police ; mais qu’on ne se préoccupe pas de ses frontières. Ni de qui entre, comment et par quel moyen ? etc... 

Les notions de cyberdéfense, de lutte informatique offensive et défensive ne font pas partie des stratégies mises en place par les organisations y compris dans la Convention de Malabo qui est proposée par l'Union africaine. Celle-ci ne prend pas en charge cette dimension. Au-delà du fait que même en encadrant la cybersécurité, la lutte contre la cybercriminalité, c'est que la plupart des États n'ont pas encore ratifié. Par conséquent ce n'est pas encore complètement entré dans les lois en vigueur dans la plupart de ces États. 

Africa Cybersecurity Mag : Comment les entreprises et les organisations doivent-elles se préparer aux prochains défis ou aux prochaines menaces de plus en plus sophistiquées ?

François Xavier DJIMGOU NGAMENI : De mon point de vue, le premier des manquements globales que je constate, c'est que les africains n’ont pas encore pris le temps de réfléchir et d'étudier en profondeur ce que c'est que le cyberespace, en le considérant comme un objet d’étude scientifique. On a adopté le cyberespace comme il a été présenté dans le langage commun, sans vraiment le questionner. Pourtant, en prenant le temps de l’étudier minutieusement comme le font la plupart des grands centres de recherche dans le monde, on peut arriver à des constats surprenants. Notamment en ce qui concerne ses propriétés, ses caractéristiques (la notion de dualité du cyberespace par exemple), etc. Beaucoup dissent encore que c'est un espace virtuel alors qu'il y a bien des repères physiques du cyberespace, avec une matérialisation géographique sous le contrôle des États. Des études s’accordent par exemple sur la structuration du cyberespace en 3 couches : physique, logique et informationnel. Comment est-ce que nous traitons ces couches dans la stratégie que nous mettons en place ? 

L’autre point porte sur la sensibilisation et la formation. En plus des ingénieurs, nous devons aussi commencer à former des stratégistes qui répondent ces nouvelles exigences, et donc qui réfléchissent sur la logique des enjeux, pas uniquement sur la question des usages: j'insiste là-dessus, parce que je crois que c'est par là qu'on fera les meilleurs choix technologiques et qu'on pourra enfin se décider de créer en Afrique une base industrielle numérique qui peut répondre aux besoins de nos entreprises et organisations en limitant ce type de risque que je viens d'évoquer et qui n’est pas cartographié par les entreprises.

Africa Cybersecurity Mag : Comment le LARC peut-il accompagner cette poussée sur le continent ?

François Xavier DJIMGOU NGAMENI : Le LARC a commencé justement cette réflexion notamment par l'élaboration régulière des contributions sur les questions de cyberstratégie. On se veut être un centre d'idées. J'ai parlé d'un premier ouvrage mais il y en a un second. Nous avons aussi pour ambition de devenir une maison d'édition de référence pour tous les ouvrages qui porteraient sur les enjeux dans le cyberespace africain. C'est un peu difficile parce qu’il faut l’avouer cela coûte cher et ce n'est pas facile à mettre en place. Ceci étant, c'est aussi ça la volonté du LARC de publier tous ceux qui veulent réfléchir sur cette thématique en l’abordant a partir de l'angle des enjeux, quelle que soit leur expérience. Nous devons produire des réflexions sur les impacts économiques, politiques, stratégiques, sociologiques, et même psychologiques dans le cyberespace africain.


La Rédaction d’Africa Cybersecurity Mag