L’Afrique à l’épreuve de la cybersécurité

Alors que se tenait le 23 mars dernier à Lomé le premier sommet africain sur la cybersécurité, le chef de l’État togolais a rappelé l’importance de développer un cadre juridique et politique unifié pour lutter contre la cybercriminalité sur le continent. Quels sont aujourd’hui les principaux écueils du continent en matière de cybersécurité ? Comment y remédier ? Gilles Babinet, conseiller sur les questions numériques auprès de l’Institut Montaigne, nous livre son analyse.

Le développement de l’économie numérique et l’évolution de la cybercriminalité en Afrique appellent à évaluer ses besoins en matière de cybersécurité. Selon vous, quelles sont les principales faiblesses du continent, et quels besoins rencontre-t-il en matière de cybersécurité ?

D'une façon générale, le continent a un retard significatif en matière de cybersécurité. Par le passé, le recours à des prestataires externes et des offres en "black box" (des applicatifs pour lesquels on ne dispose pas du code source et vendus sur étagère) a souvent été privilégié, notamment du fait du manque de compétence locale pour administrer des solutions plus élaborées. Le continent constitue une cible privilégiée, ce qui est naturel dans la mesure où les cyber-attaquants ont clairement fait l'analyse de cette faiblesse structurelle de l'Afrique en matière de sécurité informatique, qu'il voient comme un "low hanging fruit", c'est-à -dire une cible facile.

Par ailleurs, les audits montrent généralement un niveau d'hétérogénéité au sein du continent supérieur à ce que l'on observe en Europe ou ailleurs, et une plus grande difficulté à mettre en place une gouvernance appropriée. L'Afrique du Sud serait le 3ème pays recevant le plus d'attaques. Cela s’explique par le manque d’investissement du pays dans le sujet, malgré son niveau de développement relativement élevé par rapport aux autres pays du continent. Il existe également une nette différence entre les entreprises dépendantes de multinationales et celles issues d'une croissance organique locale. Les premières ont généralement des normes globales, qu'elles appliquent de façon indifférenciée partout dans le monde. Les secondes ont une culture moins structurée et prêtent moins d'importance à ces sujets de cybersécurité. Cependant, on observe que les pratiques des premières contaminent les secondes, particulièrement depuis la crise du Covid-19, où le nombre de cyberattaques a considérablement augmenté, alors que les travaux de fond sur les sujets de cybersécurité n’étaient pas priorisés.

Alors que le premier sommet africain sur la cybercriminalité s’est tenu en mars dernier à Lomé, autour du thème “Faire de la cybersécurité une priorité absolue pour les États africains”, quelle coopération intra-africaine peut-on envisager pour apporter une réponse souveraine, à la hauteur des enjeux cyber ? Quel peut être le rôle de l’Union africaine (UA) ?

L'UA peut avoir un rôle normatif significatif, en expliquant pourquoi l'exposition des entreprises africaines est un problème de premier plan. Dans la mesure où celles-ci sont souvent liées à des enjeux de ressources essentielles aux chaînes de valeurs mondiales, celles liées aux activités minières et énergétiques en particulier, elles sont plus susceptibles d'être attaquées et doivent donc se protéger de façon accrue. L'UA est ainsi parfaitement dans son rôle en sensibilisant les États et même directement a minima les acteurs systémiques africains.