Leçons d’Afrique en matière de cyber-stratégie

Pour faire face à un éventail croissant de cybermenaces et de défis, les gouvernements africains doivent adopter des stratégies de cybersécurité qui favorisent la collaboration et la confiance entre les acteurs civils et des secteurs de la sécurité et privé.


African Lessons in Cyber Strategy

(Image : Pixabay)

Des millions d’adresses internet ont été détournées du Centre africain d’information sur les réseaux (AFRINIC), l’organisme africain à but non lucratif chargé de gérer le registre internet du continent. L’enquête dans cette affaire continue. Un ancien dirigeant de l’AFRINIC a été remercié après que l’enquête a découvert que des entreprises qui lui étaient liées vendaient l’accès à des adresses AFRINIC pour leur profit personnel. Une entreprise basée à Hong Kong, qui avait acquis 6,9 millions d’adresses évaluées à 250 millions de dollars et représentant 5 % de toutes les adresses IP4 africaines, a intenté un procès à AFRINIC pour plusieurs millions de dollars. L’affaire porte atteinte à l’autorité d’AFRINIC d’exiger de ses membres qu’ils n’utilisent que des adresses africaines en Afrique, la raison même de son existence.

« L’Afrique est confrontée à un éventail croissant de cybermenaces provenant de l’espionnage, du sabotage des infrastructures critiques, de l’innovation de combat et de la criminalité organisée ».

L’absence d’une agence fonctionnelle chargée de faire quelque chose d’aussi fondamental que de veiller à ce que les adresses IP de l’Afrique restent entre les mains des Africains constitue une menace directe pour l’accès à l’internet, la liberté et la souveraineté de l’information du continent. Malheureusement, la vulnérabilité des adresses IP d’AFRINIC n’est pas un événement isolé, mais plutôt le signe d’une tendance plus générale des dirigeants africains à minimiser les cybermenaces, ce qui a un coût considérable pour la sécurité économique et nationale sur tout le continent.

L’Afrique est confrontée à un éventail croissant de cybermenaces provenant de l’espionnage, du sabotage d’infrastructures critiques, de l’innovation de combat et de la criminalité organisée. Pourtant, la plupart des pays africains n’ont pas encore élaboré de stratégie nationale en matière de cybersécurité. De nombreux pays dotés de stratégies ne parviennent pas à obtenir un impact significatif parce que leurs plans manquent d’éléments fondamentaux, n’impliquent pas les principales parties prenantes et ne sont pas adaptés à l’évolution du paysage des menaces.

Stratégies manquantes

Au niveau régional, les initiatives visant à faire face aux menaces et aux défis croissants du continent en matière de cybercriminalité abondent. Dès 2019, la Commission de la Communauté économique des États de l’Afrique de l’Ouest (CEDEAO), en partenariat avec l’Union européenne (UE), a lancé le projet de la Réponse de l’Afrique de l’Ouest sur la cybersécurité et lutte contre la cybercriminalité (OCWAR-C) et a adopté une stratégie régionale en matière de cybersécurité et de cybercriminalité. Le mécanisme de coopération policière de l’Union africaine (AFRIPOL) a créé une stratégie de lutte contre la cybercriminalité pour la période 2020-2024, qui vise à renforcer la coordination, à développer des capacités policières spécialisées et à harmoniser les cadres juridiques et réglementaires. Parallèlement, l’Union africaine (UA) s’emploie à élaborer et à mettre en œuvre sa propre stratégie continentale en matière de cybersécurité par l’intermédiaire d’un groupe d’experts en cybersécurité récemment créé. Grâce à la création de la communauté des cyber-experts africains (ACE), l’UA s’associe au Forum mondial sur la cyber-expertise (GFCE) pour soutenir le renforcement des capacités cybernétiques.

Signing of MoU between ITU and ECOWAS

Signature d’un protocole d’accord entre l’UIT et la CEDEAO. (Photo : UIT)

Bien que ces efforts régionaux visant à élaborer et à mettre en œuvre une cyber-stratégie soient dignes d’intérêt, ils ne seront efficaces que s’ils catalysent une coordination et une coopération à grande échelle au niveau national pour lutter contre la cybercriminalité organisée transfrontalière, l’extrémisme violent et les activités malveillantes parrainées par des États dans le cyberespace. Les efforts précédents pour améliorer la cybercoopération transfrontalière en Afrique, notamment la Convention sur la cybersécurité et la protection des données personnelles (Convention de Malabo) parrainée par l’UA, ont échoué précisément parce qu’ils n’ont pas réussi à obtenir un soutien adéquat au niveau national. Pour ce faire, il faut, comme point de départ, des stratégies et des politiques cohérentes en matière de cybersécurité au niveau national.

Malheureusement, les progrès réalisés dans l’élaboration et la mise en œuvre d’une stratégie de cybersécurité au niveau national en Afrique ont été limités. Selon les données les plus récentes compilées par l’Union internationale des télécommunications (UIT) des Nations unies, environ un tiers (17) des 54 pays d’Afrique ont élaboré une stratégie nationale de cybersécurité, ce qui représente moins de la moitié de la moyenne mondiale. Les gouvernements sont l’acteur le plus important en matière de gestion des cybermenaces. En l’absence de stratégies nationales, les gouvernements se trouvent souvent dans l’incapacité de définir la portée et l’ampleur des menaces auxquelles ils sont confrontés, de fixer des priorités, de mobiliser des ressources ou de coordonner efficacement les réponses au sein du gouvernement, avec le secteur privé et les acteurs communautaires.

Map - National Cybersecurity Strategy Adoption in Africa

Ingrédients manquants

La simple existence de cyber-stratégies nationales ou régionales n’est pas suffisante. Ce qui compte le plus, c’est leur conception, leur mise en œuvre et leur impact. Il existe toute une série de bonnes pratiques dans l’élaboration des stratégies en matière de cybersécurité et de sécurité nationale. Au minimum, les cyber-stratégies efficaces justifient leur nécessité, ce qu’il faut faire, quand il faut le faire, qui est responsable, et comment elles doivent être financées et mises en œuvre.

Malheureusement, selon nos estimations, les stratégies nationales de cybersécurité de trois pays africains seulement – l’Eswatini, le Kenya et le Sénégal – répondent aux critères minimaux essentiels. Il s’agit notamment de :

  • Une évaluation des menaces qui identifie la portée et l’ampleur des cybermenaces d’un pays
  • Un plan d’action qui contient des objectifs et des activités concrets destinés à faire face aux menaces
  • Un calendrier
  • Une répartition des responsabilités entre les principales parties prenantes
  • Des dispositions claires en matière d’affectation des ressources.

Moins de la moitié des pays dotés d’une stratégie nationale de cybersécurité disposent d’une évaluation des menaces (qui permet de justifier l’existence de la stratégie et d’adapter la réponse à la menace) ou d’une affectation des ressources (qui est nécessaire pour assurer la mise en œuvre d’une stratégie).

Le processus d’élaboration et de mise en œuvre de la politique et de la stratégie de cybersécurité du Nigeria (NCPS) illustre à quel point chaque élément est essentiel. La NCPS a été élaborée par un large éventail de parties prenantes représentant le secteur public, le secteur privé, des experts universitaires, la société civile et des organisations de médias. À bien des égards, elle est exemplaire – elle contient une évaluation de la menace, un plan d’action, un calendrier de mise en œuvre et une répartition des responsabilités. Malheureusement, en partie à cause d’un manque d’affectations budgétaires coordonnées entre les secteurs clés, la NCPS n’a pas été soutenue par la mise en place en temps voulu de son principal mécanisme de gouvernance, le Centre national de coordination de la cybersécurité.

Favoriser la collaboration

L’un des problèmes les plus courants des stratégies axées sur la sécurité en Afrique est qu’elles ne sont pas suffisamment inclusives. De par sa fonction, sa formation et sa doctrine, l’establishment de la sécurité nationale a tendance à privilégier la collecte et la classification des informations plutôt que leur partage. En matière de cybersécurité, cependant, la confiance généralisée, la transparence et le partage des informations sur les menaces sont essentiels pour que tous les acteurs, qu’il s’agisse des gouvernements, du secteur de la sécurité, des organisations du secteur privé ou des groupes de la société civile, puissent détecter les dernières menaces et y faire face. Pour obtenir un impact maximal, la conception, la rédaction et la mise en œuvre des stratégies nationales de cybersécurité doivent bénéficier de la contribution d’un large éventail de parties prenantes de la société.

(Photo : UNESCO Africa)

La logique qui consiste à inclure les acteurs du secteur privé et à faire des partenariats public-privé un centre de coordination des stratégies nationales de cybersécurité est simple. Le secteur privé possède un capital humain, des infrastructures, des capacités et une expertise en matière de cybersécurité qui font défaut aux gouvernements. Les secteurs de la finance, des télécommunications et de la technologie possèdent des capacités cybernétiques particulièrement précieuses. Par exemple, le secteur financier africain étant une cible privilégiée de la cyberfraude, les banques basées en Afrique investissent des ressources importantes pour se conformer aux normes, réglementations et standards internationaux en matière de cybersécurité. Leur coopération avec les gouvernements, qui peuvent jouer un rôle utile en identifiant les secteurs les plus sensibles et en aidant à la réponse aux incidents et à la récupération, est essentielle pour protéger les infrastructures nationales critiques.

La nécessité d’inclure et de consulter la société civile dans la stratégie et la politique nationales de cybersécurité n’en est pas moins impérieuse. La société civile joue un rôle crucial en contribuant à faire en sorte que les stratégies nationales de cybersécurité soient largement lues, bénéficient d’un soutien populaire et tiennent le gouvernement, le secteur privé et d’autres acteurs responsables des manquements. Au cours de l’élaboration de la NCPS, des organismes professionnels indépendants comme la Nigeria Computer Society et la Cyber Security Experts Association of Nigeria ont fait part de leurs commentaires. Ces groupes, dont les membres proviennent des secteurs public, privé et à but non lucratif, et qui comprennent également des parties prenantes de la diaspora nigériane, ont amélioré la stratégie grâce à leur expertise technique, leur indépendance et leur esprit civique.

Les stratégies sont des instruments clés qui désignent les rôles et les responsabilités à l’échelle de la société, en partie pour surmonter les obstacles à la coordination interministérielle. La cybersécurité étant un problème qui concerne l’ensemble de la société et dont les responsabilités incombent à l’ensemble du gouvernement, il est souvent extrêmement difficile d’assurer une harmonisation entre les secteurs. Les services militaires hésitent à recevoir des instructions des ministères civils. De même, les acteurs civils sont réticents à travailler sous la direction des militaires. Cette dynamique signifie que l’entité de coordination la plus appropriée est souvent une autorité indépendante chargée de la cybersécurité, directement responsable devant le bureau du chef de l’État.

« En matière de cybersécurité, la confiance généralisée, la transparence et le partage des informations sur les menaces sont essentiels ».

La NCPS illustre le rôle central, mais non prédominant, que les acteurs du secteur de la sécurité devraient jouer pour garantir une conception et une mise en œuvre inclusives. Le processus d’élaboration de la stratégie a été dirigé par le bureau du conseiller à la sécurité nationale, qui rendait directement compte au président Muhammadu Buhari. Le secrétariat chargé de coordonner le processus était composé d’acteurs de la sécurité nationale et d’universitaires. Les membres du comité chargé de concevoir et de rédiger la stratégie comprenaient toutefois un éventail beaucoup plus large de parties prenantes issues du secteur privé, de la société civile, des ministères de tutelle civils et d’experts indépendants. Au début du processus de conception, chacune de ces parties prenantes, ainsi que les parties externes, ont eu de nombreuses occasions d’exprimer leur point de vue, tant oralement que par écrit. Le fait de solliciter un éventail de points de vue dès le début a permis de rédiger, de valider et de diffuser la stratégie rapidement et avec une opposition limitée.

Ce processus inclusif a également permis une large reconnaissance, même parmi les acteurs de la sécurité, de l’importance des politiques de cybersécurité axées sur les citoyens. Comme l’a fait remarquer le conseiller à la sécurité nationale du Nigeria, le général (retraité) Babagana Monguno, « le cyberespace du Nigeria est devenu une scène centrale pour la gouvernance, les nouvelles innovations commerciales, les communications et les interactions sociales. Cette tendance nous a donné l’occasion de redéfinir nos objectifs nationaux et de relever certains des principaux défis de développement auxquels le pays est actuellement confronté ».

Enfin, le produit final joue un rôle aussi important que le processus pour garantir l’inclusion. Le résultat attendu d’une stratégie est qu’elle soit mise en œuvre dans le meilleur intérêt des parties prenantes. Ces dernières doivent non seulement se sentir impliquées, mais le document lui-même doit être court et direct afin de garantir qu’il soit largement lu. Les documents d’orientation sont souvent rédigés par et destinés à des décideurs de haut niveau plutôt qu’aux fonctionnaires de niveau intermédiaire chargés de les mettre en œuvre ou aux non-experts auxquels ils sont destinés. En particulier dans un contexte politique, culturel, de classe, démographique, religieux et ethnique aussi diversifié que celui de la plupart des pays africains, les décideurs auraient intérêt à rédiger des documents de politique de cybersécurité plus courts et plus simples, dépourvus de jargon trop technique et destinés à un public aussi large que possible.

S’adapter à l’évolution du paysage des menaces

AU Cybersecurity Experts

Experts en cybersécurité de l’UA. (Photo : AU).

Une fois adoptée, de nombreux pays ne parviennent pas à mettre en place des mécanismes permettant à leurs stratégies de cybersécurité d’être proactives et de s’adapter à l’évolution rapide du paysage des cybermenaces. Paradoxalement, les cinq pays africains qui n’ont pas mis à jour leur stratégie nationale de cybersécurité au cours des cinq dernières années – l’Afrique du Sud, le Kenya, l’Ouganda, l’île Maurice et le Maroc – sont généralement considérés comme faisant partie des pays les plus matures du continent en matière de cybercriminalité. Toutefois, sans stratégies mises à jour, ils risquent de ne pas pouvoir anticiper, répondre et s’adapter aux dernières menaces. Pour rester pertinentes, les stratégies nationales de cybersécurité devraient idéalement être mises à jour tous les cinq ans. L’un des principaux défis pour les législateurs africains est donc de promulguer des lois qui permettent aux régulateurs de s’adapter rapidement à un environnement dynamique sans essayer de légiférer sur des points de détail.

Il est tout aussi important que les stratégies et politiques nationales en matière de cybersécurité soient tournées vers l’avenir. Dans la mesure où elles contiennent des évaluations des menaces, la quasi-totalité des stratégies nationales de cybersécurité existantes en Afrique diagnostiquent le paysage contemporain des cybermenaces plutôt que de réfléchir de manière proactive aux tendances et menaces futures probables. En conséquence, la plupart des nations africaines sont terriblement mal préparées à affronter les progrès de l’intelligence artificielle, des communications sans fil, de l’informatique quantique et de l’automatisation qui caractériseront probablement la prochaine décennie. Les États africains ne seront pas en mesure d’exploiter ces technologies de manière optimale s’ils ne sont pas préparés à faire face aux menaces et aux défis.

La personne au centre de la machine

Tous les gouvernements africains, quel que soit leur niveau de cyber maturité, pourraient bénéficier d’une meilleure stratégie nationale de cybersécurité. Les pays moins matures sur le plan cybernétique devraient se concentrer sur la mise en place d’une stratégie de base comportant tous les éléments nécessaires. Dans certains cas, ils devront peut-être commencer par un renforcement des cybercapacités de base afin de mettre en place une autorité principale ou une équipe d’intervention en cas de cyberurgence, qui pourra servir de point de contact pour veiller à ce que les stratégies nationales de cybersécurité reflètent les réalités techniques et les bonnes pratiques.

« Pour garantir une pertinence continue, les stratégies nationales de cybersécurité devraient idéalement être mises à jour tous les 5 ans ».

Les pays plus matures sur le plan cybernétique devraient s’attacher à surmonter les obstacles à la coordination interministérielle, à mettre régulièrement à jour leurs stratégies et à tenter de se projeter dans l’avenir pour faire face à la prochaine génération de menaces. Ils peuvent et doivent jouer un rôle de premier plan dans l’établissement de bonnes pratiques, le renforcement des capacités, le soutien à la recherche et au développement indigènes d’outils numériques (y compris les algorithmes et les technologies de cryptage), et l’amélioration de la cyber coopération régionale et internationale en Afrique.

Au niveau continental, des mécanismes sont nécessaires non seulement pour améliorer la coordination et la coopération entre les États et les organisations régionales, mais aussi pour faciliter le partage des ressources. Il existe de nombreuses initiatives africaines qui, si elles étaient étendues, permettraient d’améliorer de manière significative et rentable la capacité cybernétique continentale, la coordination et la capacité à faire face aux menaces communes. Il s’agit notamment de l’Initiative de politique et de régulation pour l’Afrique numérique (PRIDA), de la Réponse de l’Afrique de l’Ouest sur la cybersécurité et la lutte contre la cybercriminalité (OCWAR-C), des initiatives conjointes de renforcement des capacités informatiques de la Commission de l’UA et du Forum mondial sur la cyber-expertise (GFCE), ainsi que des efforts déployés par l’équipe africaine d’intervention en cas d’urgence informatique (AfricaCERT) pour établir et améliorer la coordination entre les équipes d’intervention en cas d’urgence informatique dans le monde entier. Les acteurs extérieurs qui souhaitent soutenir les efforts de renforcement des cybercapacités en Afrique devraient d’abord chercher à s’associer ou à soutenir ces initiatives et d’autres initiatives intéressantes avant d’entreprendre des efforts sur une base bilatérale ou unilatérale.

(Image : Pxhere)

Les gouvernements africains, les acteurs de la sécurité nationale, le secteur privé, le monde universitaire et la société civile doivent comprendre que les décisions qu’ils prennent aujourd’hui détermineront la stratégie, la politique et la culture de la cybersécurité pour les générations suivantes. Les personnes chargées d’élaborer des cyber-stratégies en Afrique ne doivent jamais oublier pour qui, en fin de compte, la stratégie est élaborée : les personnes (des agriculteurs itinérants aux officiers militaires) qui dépendent de plus en plus des services numériques et qui sont vulnérables aux menaces numériques.

Les générations futures jugeront les dirigeants africains non seulement sur leur efficacité à répondre aux menaces de cybersécurité, mais aussi sur le fait que leurs stratégies de cybersécurité renforcent le contrat social entre les gouvernements et les citoyens.

Abdul-Hakeem Ajijola est le président du groupe d’experts en cybersécurité de l’Union africaine (AUCSEG), à Addis-Abeba.
Nate D.F. Allen est professeur adjoint d’études de sécurité au Centre d’études stratégiques de l’Afrique.


Ressources complémentaires