Apprendre de l’approche multipartite du Ghana en matière de cybersécurité

The inauguration of Ghana’s Joint Cybersecurity Committee. (Photo: Cyber Security Authority)Avec la croissance exponentielle de la pénétration d’Internet, les pays africains sont devenus plus exposés aux cybermenaces. Des acteurs malintentionnés de plus en plus organisés déploient des formes de logiciels malveillants de plus en plus sophistiqués qui menacent les infrastructures maritimes et énergétiques essentielles, causent des milliards de dollars de pertes annuelles, perturbent l’accès à l’internet et volent des informations sensibles aux gouvernements, aux politiciens, aux hommes d’affaires, aux citoyens et aux militants sur tout le continent. La plupart des pays africains ont connu au moins une campagne de désinformation publiquement documentée, dont la majorité est parrainée par des acteurs extérieurs.

Malheureusement, la plupart des pays africains n’ont pas encore mis en place de politiques fondamentales en matière de cybersécurité pour faire face à ces menaces. La majorité d’entre eux n’ont pas encore élaboré de stratégie nationale de cybersécurité, ni mis en place d’institutions capables de répondre à des incidents majeurs de cybersécurité, ni défini une approche de la coopération internationale dans le cyberespace.

Le Ghana n’est pas comme la plupart des pays africains. Il est l’un des 12 pays d’Afrique à posséder à la fois une stratégie nationale de cybersécurité et des capacités nationales de réaction aux incidents. Il est également l’un des quatre pays à avoir ratifié les Conventions de Budapest et de Malabo, deux traités majeurs visant à traiter les dimensions internationales des menaces liées à la cybernétique.

Tout aussi impressionnant, le Ghana a placé une approche multipartite centrée sur le citoyen au cœur de ses efforts pour relever les défis de la cybersécurité du pays. Les civils jouent un rôle de premier plan dans l’élaboration de la plupart des aspects de la politique et de la stratégie en matière de cybersécurité, de la définition des responsabilités interagences au développement des capacités de réponse aux incidents. D’autres pays du continent ont beaucoup à apprendre de l’approche adoptée par le Ghana, qui a entraîné une croissance considérable de ses cybercapacités, lui a permis de prendre des mesures pour faire face aux menaces croissantes et a renforcé la confiance entre le gouvernement et les citoyens.

Une approche à la cyber-stratégie menée par les civils

Dans de nombreux pays du monde, une agence de sécurité nationale fait office d’autorité principale en charge de la cybersécurité. Si la participation du secteur de la sécurité à la cybersécurité est essentielle, les acteurs de la sécurité ne sont pas toujours suffisamment polyvalents pour gérer efficacement l’écosystème informationnel d’un pays. En outre, elle peut être coûteuse, inefficace et miner la confiance entre les parties prenantes publiques, privées et civiles.

L’expérience du Ghana illustre les mérites d’une approche à la stratégie et à la politique de cybersécurité menée par les civils. Lorsqu’il a pris ses fonctions en 2017, le président Nana Addo Dankwah Akufo-Addo a hérité de la mise en œuvre de la politique et de la stratégie nationales de cybersécurité de 2015 (NCPS). Bien que les ministères ghanéens de la sécurité nationale et des affaires étrangères aient cherché à assumer la responsabilité de la mise en œuvre de la NCPS, M. Akufo-Addo a choisi le ministère de la Communication et a nommé un conseiller national en cybersécurité au sein du ministère pour servir de haut responsable de la cybersécurité du pays. Cette décision a été prise pour plusieurs raisons :

• Les menaces de cybersécurité sont omniprésentes et concernent presque tous les citoyens du pays.
• Les avantages perçus par le secteur de l’information, des communications et des technologies du pays grâce à une meilleure posture de cybersécurité.
• La rédaction de la stratégie et de la politique a été effectuée par le ministère des Communications, ce qui le place dans la meilleure position pour diriger la mise en œuvre.
• La crainte qu’une infrastructure de cybersécurité dominée par les responsables de la sécurité nationale ne réduise la confiance du public et ne rende plus difficile la coopération interministérielle.

Sous la direction du conseiller national en matière de cybersécurité, le Ghana a mis en place une structure de gouvernance à trois niveaux avec des acteurs clés du secteur civil, du secteur de la sécurité et du secteur non gouvernemental. Tout d’abord, un Conseil national de la cybersécurité de niveau ministériel, présidé par le ministre des Communications, a été créé pour prendre des décisions de haut niveau en matière de cybersécurité.

Le Conseil national de la cybersécurité a été soutenu par un comité conjoint de la cybersécurité (JCC) qui supervise la mise en œuvre quotidienne de la stratégie nationale de cybersécurité du Ghana. Le JCC est composé à la fois de départements et d’agences gouvernementales de niveau sous-ministériel, et conseillé par des acteurs non gouvernementaux, chacun ayant le pouvoir de faire appliquer la NCPS dans sa propre agence.

Enfin, un Centre national de cybersécurité (NCSC) a été créé pour superviser et coordonner toutes les activités quotidiennes de cybersécurité nationale. Rebaptisé Autorité de cybersécurité (CSA) en 2021, il abrite l’équipe nationale d’intervention en cas d’urgence informatique du Ghana (CERT-GH), sert de centre névralgique du gouvernement en matière de renseignement sur les cybermenaces et contribue à coordonner la réponse aux incidents majeurs de cybersécurité.

L’architecture de gouvernance de la cybersécurité à trois niveaux du Ghana

Ces efforts ont permis de mettre rapidement en place les institutions de cybersécurité du Ghana en définissant clairement les rôles et les responsabilités interministérielles. Les lignes de communication et de responsabilité, tant horizontales que verticales, permettent de prendre rapidement des décisions au niveau approprié et par l’organisme compétent.

Par conséquent, le Ghana est devenu un leader régional en matière de cybersécurité. En trois ans seulement, il a gagné plus de 40 places dans l’indice mondial de cybersécurité de l’Union internationale des télécommunications, passant du 89e au 43e rang, ce qui en fait l’un des sept pays africains à figurer parmi les 50 premiers (avec l’île Maurice, l’Égypte, la Tanzanie, la Tunisie, le Nigeria et le Maroc). Il s’est également impliqué activement dans le renforcement des capacités cybernétiques des pays voisins, notamment la Sierra Leone et la Gambie.

Développer des capacités de réponse aux incidents de premier plan

L’approche inclusive et dirigée par des civils du Ghana en matière de cybersécurité lui a permis de développer rapidement des capacités de réponse aux incidents. Ces capacités sont essentielles pour aider le gouvernement, le secteur privé ou les institutions civiles à identifier les cybermenaces malveillantes, à se préparer aux attaques et à s’en remettre.

L’architecture de réponse aux incidents du Ghana date de 2014, avec la création de l’équipe nationale d’intervention en cas d’urgence informatique du Ghana (CERT-GH) sous l’autorité du ministère des communications (aujourd’hui ministère des communications et de la numérisation). La CERT-GH sert de point focal national pour la réponse aux incidents de sécurité informatique. Elle possède la capacité de visualiser le paysage des menaces de cybersécurité du Ghana en temps réel. Elle exploite également une plate-forme d’échange d’informations pour partager les renseignements sur les menaces et la réponse aux incidents de sécurité en coordination avec les parties prenantes internationales, locales et du secteur privé.

Le Ghana a également mis en place un solide réseau de CERT au niveau sectoriel. Les CERT sectorielles s’appuient sur une expertise technique, des autorités spécifiques au domaine et des relations étroites avec le secteur privé pour aider à sécuriser les infrastructures critiques de leurs secteurs contre les cyberattaques. À ce jour, le Ghana a établi des CERT efficaces au niveau sectoriel dans les secteurs de la banque, du gouvernement, des télécommunications et de la sécurité nationale. Ces capacités placent le Ghana loin devant la plupart des pays africains. Seuls 21 des 54 pays d’Afrique ont établi l’équivalent d’une CERT nationale et 9 ont des CERT au niveau sectoriel.

Cette solide architecture de réponse aux incidents a permis d’améliorer la résistance du Ghana aux cyberattaques, notamment dans les secteurs vulnérables comme le secteur bancaire. Face à la multiplication des cyberattaques dans le secteur financier ghanéen, la CERT de la Banque du Ghana a mis en place un centre d’opérations de sécurité qui lui a permis de surveiller les incidents de cybersécurité en temps réel et de faciliter le partage des informations sur les menaces. En 2018, la Banque a publié une directive sur la cybersécurité et la sécurité de l’information qui encourageait les banques commerciales à mettre en place des mécanismes de signalement des incidents et à consacrer des ressources humaines et physiques pour améliorer leur posture en matière de cybersécurité. La Banque du Ghana et les représentants du secteur ont attribué à l’adoption de la directive des baisses significatives de la cyberfraude, de 174 cas en 2018 à 28 en 2020.

Tirer parti des partenariats externes

Le Ghana a réussi à mettre en place son infrastructure de cybersécurité relativement rapidement en partie grâce aux partenariats externes qu’il a noués. Ces partenariats ont été mis à profit par les dirigeants du pays pour développer une cybercapacité conforme aux objectifs et aux intérêts du Ghana.

De grandes organisations à but non lucratif de gestion des incidents, dont le Forum of Incident Response and Security Teams (FIRST) et AfricaCERT, ont contribué à la création de la première CERT du Ghana (CERT-GH) et ont permis aux membres de la CERT de recevoir une formation et d’accéder aux réseaux mondiaux de surveillance des cybermenaces. Les renseignements reçus grâce à la participation à ces réseaux ont permis à la CERT-GH d’identifier et d’aider les opérateurs de réseaux à se remettre de plusieurs incidents de cybersécurité importants. L’assistance reçue par le Ghana dans le cadre de l’initiative américaine de gouvernance de la sécurité a permis de soutenir la rédaction de la stratégie nationale de cybersécurité du Ghana et d’orienter le développement des CERT sectorielles du pays. La Banque mondiale a contribué à doter les intervenants en cas d’incident au Ghana d’un équipement de pointe.

En 2018, le ministère des communications a demandé à l’Université d’Oxford de réaliser une évaluation du modèle de maturité des capacités de cybersécurité pour le Ghana. À la suite de cette évaluation, le Ghana a pris des mesures pour améliorer les mécanismes de coopération informels et formels pour répondre à la cybercriminalité et pour former les juges et les procureurs sur la façon de traiter les preuves médico-légales numériques. Ces améliorations ont permis au Ghana d’adhérer à la Convention de Budapest de 2018 sur la cybercriminalité parrainée par l’Union européenne et de ratifier la Convention de Malabo parrainée par l’Union africaine en 2021. Le Ghana est l’un de seulement quatre pays africains à avoir ratifié ces deux conventions, et son adhésion à ces traités importants a contribué à solidifier la réputation du Ghana comme l’un des leaders du continent en matière de cybersécurité.

Mais l’adhésion du Ghana à ces traités a fait bien plus que cela. Les Conventions de Budapest et de Malabo fournissent aux États qui les ratifient une série commune de protocoles, de normes et de procédures permettant de fournir une assistance juridique, de recueillir et d’échanger des preuves et de demander des comptes aux cybercriminels. Dans un monde où des acteurs malveillants basés à Lagos, Prague ou Moscou attaquent régulièrement des réseaux à Accra, l’adhésion d’un plus grand nombre de pays africains à ces traités importants sera essentielle pour coordonner une réponse aux menaces mondialisées.

L’expérience du Ghana illustre la mesure dans laquelle le développement d’une cyber-capacité nationale peut être favorisé par des partenariats externes avisés, et comment le développement d’une cyber-capacité nationale peut, à son tour, améliorer la cyber-résilience mondiale.

Une approche de la cybersécurité axée sur les droits et impliquant de multiples parties prenantes

Un dernier avantage du leadership civil est que le Ghana a résisté aux vents ascendants de l’autoritarisme numérique. Il se classe au troisième rang des pays africains en termes de liberté globale de l’internet. En outre, contrairement à de nombreux pays du continent, le gouvernement ne peut censurer le contenu de l’internet, les organisations politiques ou la liberté d’expression. Cela a permis au Ghana de développer ses cybercapacités de manière transparente, ce qui a contribué à renforcer la confiance entre le gouvernement et les citoyens.

Ces dernières années, la société civile ghanéenne a joué un rôle plus important en veillant à la responsabilité du gouvernement et en attirant l’attention sur la cybersécurité. Des organisations non gouvernementales telles que l’Africa Cybersecurity and Digital Rights Organisation, la Media Foundation for West Africa et Child Online Africa ont organisé des événements, sensibilisé l’opinion et directement contribué à l’élaboration et à la mise en œuvre de la stratégie et de la politique nationales du Ghana en matière de cybersécurité. L’autorité ghanéenne chargée de la cybersécurité travaille en étroite collaboration avec des institutions de la société civile et du secteur privé pour mener des campagnes pendant le mois national annuel de sensibilisation à la cybersécurité au Ghana, en octobre.

Une vigilance permanente sera nécessaire. Une loi sur la cybersécurité, adoptée par le corps législatif en 2020, donne aux forces de sécurité des pouvoirs de surveillance et des autorisations légales qui inquiètent certains défenseurs des droits. L’atténuation de ces préoccupations dépendra de l’indépendance du système judiciaire ghanéen, de la bonne organisation de la société civile, des droits constitutionnels à la liberté d’expression et à l’accès à l’information, et de la solidité des lois sur la protection des données.

Points à retenir

Le Ghana doit encore relever d’importants défis en matière de cybercriminalité. Ses politiques nationales de cybersécurité sont parfois trop ambitieuses et ne reflètent pas les réalités du terrain. Par exemple, seules 35 % des banques ghanéennes se sont entièrement conformées à la directive de la Banque du Ghana sur la cybersécurité et la sécurité de l’information (en grande partie à cause des exigences onéreuses qui visent à aligner le secteur bancaire ghanéen sur les normes internationales de cybersécurité). Même si la cybersécurité s’est améliorée dans le secteur bancaire traditionnel, de nouvelles vulnérabilités sont apparues dans le secteur de la banque mobile, où le Ghana fait partie des leaders africains et où les régulateurs peinent à rattraper leur retard.

Les autorités ghanéennes chargées de la cybersécurité pourraient également tirer davantage parti d’innovations telles que les systèmes de signalement anonyme des menaces, qui pourraient renforcer la confiance entre les autorités publiques et privées en permettant aux entités du secteur privé de divulguer des incidents avec un risque moindre pour leur réputation. Elles pourraient également prendre des mesures supplémentaires pour s’assurer que les acteurs du gouvernement et du secteur de la sécurité restent transparents et responsables, même s’ils cherchent à promouvoir la confiance et la sécurité en ligne.

Quoi qu’il en soit, le Ghana s’est placé dans une excellente position pour limiter les risques et exploiter les avantages de la numérisation. Le Ghana montre comment une approche inclusive de la cybersécurité peut conduire au développement d’institutions de cybersécurité solides et multisectorielles. Il montre comment ces institutions sont à la fois informées par et servent finalement à renforcer la capacité de toutes les nations à surveiller, prévenir et répondre aux cyberattaques. Plus important encore, il montre que les efforts visant à améliorer la cybersécurité ne doivent pas nécessairement se faire au détriment de la démocratie.

Alors que les cybermenaces continuent de poser des défis importants à la sécurité nationale, le Ghana a montré comment une réponse à l’échelle de la société peut y faire face efficacement.

Kenneth Adu-Amanfoh est le président de l’Organisation africaine de la cybersécurité et des droits numériques. Il a précédemment occupé le poste de directeur des TIC et de la cybersécurité au sein de la National Communications Authority of Ghana, où il a créé une division de la cybersécurité et facilité l’élaboration de la politique et de la stratégie nationales du Ghana en matière de cybersécurité.

Nate D.F. Allen est professeur associé en études de sécurité au Centre d’études stratégiques de l’Afrique.