Cybersécurité: l’Afrique a perdu 10% de son PIB dans les cyberattaques en 2021
Sur le continent africain, la cybersécurité représente un marché exponentiel qui se structure à marche forcée. Entre renforcement des infrastructures et formations tous azimuts, Franck Kié, le président fondateur de Ciberobs à la manoeuvre dans l’organisation du Cyber Africa Forum qui se tiendra les 9 et 10 mai à Abidjan, revient pour la Tribune Afrique, sur les enjeux de la cybersécurité en Afrique.
« Souveraineté numérique et protection des données, leviers de croissance économique pour le continent africain », tel est le thème de la 2e édition du Cyber Africa Forum (CAF). La première édition placée sous le signe du « risque cyber au coeur des enjeux de l’Afrique », avait donné lieu à la publication d’un livre blanc réunissant des recommandations en matière de cybercriminalité appliquée au continent. Ce forum fut le premier d’une série de rendez-vous consacrés à la cybersécurité en Afrique francophone dans les moins qui suivirent, témoignant d’un intérêt grandissant pour la question.
Simultanément, les pouvoirs publics africains structurent leur défense numérique, face à l’augmentation des cybermenaces.
« Le gouvernement ivoirien a pris la décision d’investir près de 30 millions d’euros pour renforcer la cybersécurité sur la période 2021-2025 » souligne Franck Kié, non content de constater une sensible évolution.
Placé sous le haut patronage de Patrick Achi, le Premier ministre ivoirien, le Cyber Africa Forum réunira des ministres africains de l’économie numérique (Côte d’Ivoire, Guinée, Bénin, Congo et République démocratique du Congo, notamment), des directeurs d’agences nationales de cybersécurité, des responsables de la sécurité informatique et des représentants de groupes internationaux (EcoBank, Schneider Electric, Orange CyberDéfense ou Atos).
Cybersécurité: l’Afrique a perdu 10% de son PIB dans les cyberattaques en 2021
L’Afrique : la nouvelle cible des cyberattaques ?
En quelques années, la récurrence des faits divers impliquant des attaques à plusieurs millions de dollars, a éveillé les consciences des entrepreneurs africains. Récemment aux Etats-Unis, un ransomware paralysait un oléoduc géré par la société Colonial Pipeline, créant la panique générale (45% du pétrole de la côte sont transités par le pipeline). La direction de l’entreprise révéla quelques jours après l’attaque au Wall Street Journal, qu’elle avait dû verser la coquette somme de 4,4 millions de dollars aux pirates informatiques. L’affaire avait fait le tour du monde. En 2019, le malware Wannacry qui s’était propagé dans 150 pays n’avait pas épargné le continent, du Maroc à l’Ouganda en passant par l’Egypte, la Côte d’Ivoire ou le Kenya. La généralisation du cloud mais aussi l’arrivée des objets connectés sont autant de nouvelles menaces qui pèsent aujourd’hui sur les entreprises.
L’ « Etude de la maturité Cybersécurité 2021 en Afrique Francophone », réalisée par le cabinet Deloitte auprès de 210 entreprises dans 11 pays, révèle que 40% des entreprises africaines ont enregistré « une augmentation du nombre d’incidents » depuis l’arrivée de la pandémie de Covid-19. Logiciels malveillants et attaques de phishing, sont devenus les cauchemars des entrepreneurs africains, car, si le Covid-19 a permis d’accélérer l’informatisation du continent, il s’est accompagné d’une augmentation des cyberattaques. A l’échelle mondiale, McAfee enregistrait une hausse de 605% du nombre de cyberattaques au second trimestre 2020. Entre janvier et août 2020, l’Afrique a été la cible de 28 millions de cyberattaques, estime Kaspersky dont les dernières études annoncent un manque à gagner de 4,12 milliards de dollars lié au cybercrime sur le continent, soit près de 10% de PIB, pour l’année 2021.
Des réponses sous-dimensionnées face aux cybermenaces
« Les événements actuels entre la Russie et l’Ukraine ont fait apparaître un aspect hybride et numérique de la guerre. En Ukraine, des banques ont été paralysées pendant plusieurs jours. Il faut des armes pour attaquer ou se défendre numériquement, mais aussi des infrastructures en propre » explique Franck Kié.
Les fonds demeurent insuffisants pour apporter une réponse adaptée. En Afrique, 66% des entreprises investissent moins de 200.000€ par an dans la cybersécurité, 35% des investissements en cybersécurité sont destinés à la sécurité des infrastructures IT et seulement 5% à la sécurité des données, à la détection, au suivi des menaces et à la gestion des identités. L’étude conduite par Deloitte fait également apparaître, qu’un tiers des entreprises utilisent des solutions de sécurisation avancées, 22% disposent d’un SOC, 42% d’un plan de continuité d’activité et seulement 11% ont souscrit à une police d’assurance pour se couvrir des risques de cyberattaques.
Le cybercrime apparaît encore sous-évalué en Afrique où seuls 12% des entreprises africaines échangeraient chaque trimestre, sur les questions de cybersécurité dans le cadre de leurs comités exécutifs, contre 49% au niveau mondial. Enfin, les fonds nécessaires pour lutter efficacement contre le cybercrime se heurtent à d’autres priorités économiques ou sécuritaires nationales. « Il existe des institutions continentales et sous-régionales comme la Cédéao, qui poussent à la mutualisation des ressources en matière d’infrastructures, dans le cadre d’une stratégie concertée sur la cybersécurité », explique Franc Kié.
Un secteur en plein essor face à une pénurie de compétences
« Il n’y aurait que 10.000 professionnels sur le continent », précise le commissaire général du Cyber Africa Forum. Or, l’association ISC considère que la pénurie de main-d’oeuvre qualifiée pourrait atteindre 1,8 million de personnes d’ici la fin de l’année 2022, au niveau international. Les compétences sont rares et les profils courtisés aux 4 coins du monde. Dès lors, comment l’Afrique peut-elle retenir ses talents ?
« Ce n’est pas parce qu’une personne a été formée à l’étranger qu’elle ne reviendra pas sur le continent », explique Franck
Kié, qui parle en connaissance de cause, ayant lui-même suivi un cursus entre la France, l’Angleterre et les Etats-Unis. « Je suis revenu vers l’Afrique pour apporter ma pierre à l’édifice et chaque jour, je reçois des CV d’Africains formés à l’étranger, qui cherchent des opportunités professionnelles sur le continent », ajoute-t-il.
Pour combler ce déficit en ressources humaines, plusieurs initiatives locales sont apparues comme l’école Epitech au Bénin ou l’Institut de cybersécurité et sécurité des infrastructures (I-CSSI) lancé à Kinshasa l’année dernière. De plus en plus de formations made in Africa se développent en parallèle aux transferts de compétences proposés par les géants de la tech comme Google, Orange ou Huawei.
Le secteur de la cybersécurité suppose des investissements considérables, à la hauteur des défis qu’il représente à la veille de l’ère quantique. En 2021, le marché mondial était évalué à 150 milliards de dollars par le cabinet américain Gartner. L’Afrique reste un poids plume. Le secteur de la cybersécurité sur le
Cybersécurité: l’Afrique a perdu 10% de son PIB dans les cyberattaques en 2021
continent représentait 2,32 milliards d’euros en 2020, d’après les données d’Africa Cyber Security Market.
La protection des data à l’épreuve de l’extraterritorialité du droit américain
En quelques années, les Etats-Unis ont changé la donne en matière de souveraineté numérique, à travers l’extraterritorialité du droit américain. De l’amende (parfois faramineuse) à la prison ferme (Frédéric Pierucci, ancien cadre d’Alstom, en 2013), ces lourdes sanctions s’accompagnent aussi d’un accès aux données sensibles d’une entreprise (Airbus en 2020, par exemple).
La loi FCPA (Foreign Corrupt Practises Act) qui s’attaquait à l’origine, à la lutte contre les fraudeurs, les groupes criminels et terroristes, fut appliquée à des sociétés étrangères comme la compagnie norvégienne Statoil ou le groupe allemand Siemens. En 2010, le Foreign Account Tax Compliance Act qui extraterritorialise les prérogatives du fisc américain, venait compléter cet arsenal juridique. Il en coûta près de 9 milliards de dollars à la BNP Paribas, pour avoir violé les embargos américains en commerçant en dollars avec le Soudan, Cuba et l’Iran, en 2014. De Madrid à Johannesburg et de Melbourne à Nairobi, cette vision extensible du droit américain conditionnée à l’utilisation du dollar US ou de serveurs basés aux Etats-Unis, s’applique à toutes les géographies.