Le continent africain, laissé-pour-compte du débat sur la cybersécurité ?

Par Karen Allen

La révolution numérique a ouvert de nouveaux horizons aux pays du Sud, en favorisant l’accès par-delà les frontières à une myriade de connaissances, de la technologie éducative à la technologie financière en passant par la médecine connectée, les preuves électroniques et tout un éventail d’outils humanitaires qui pourraient, en théorie, aider à prévoir le rendement agricole, signaler d’éventuels conflits avant qu’ils n’émergent ou documenter les injustices afin de responsabiliser les autorités. Ce bouleversement a également créé un environnement propice au développement de compétences et favorisé l’accès de l’entrepreneuriat africain à de nouveaux marchés. L’absence de cadre législatif cohérent concernant le cyberespace engendre néanmoins un certain nombre d’effets indésirables sur la sécurité humaine, notamment le détournement des nouvelles technologies à des fins militaires ou le risque d’une course à l’armement numérique. Mais ces menaces pourraient être éclipsées par un véritable phénomène de fétichisation de la technologie.

La sécurité numérique au sens large comprend la protection des cybertechnologies contre les attaques directes d’autres États ou d’acteurs non-étatiques tels que les entités commerciales, les hacktivistes, les réseaux criminels ou les terroristes. Mais outre les infrastructures numériques, les États sont de plus en plus tenus de protéger également les données personnelles de leurs citoyens. Sur le continent africain, confronté à un processus de numérisation assez soudain, l’engagement politique et les moyens employés à l’introduction de nouvelles mesures de protection juridique peuvent toutefois varier considérablement d’un pays à l’autre[1].

À l’échelle du continent, l’Union Africaine s’est engagée à élaborer une stratégie globale panafricaine de lutte contre les dérives numériques en organisant à Malabo, en 2014, la Convention sur la cybersécurité et la protection des données à caractère personnel[2]. Cette convention vise à harmoniser les législations et à coordonner les plans stratégiques nationaux à l’échelle continentale, ainsi qu’à créer des institutions (telles que les équipes de réaction d’urgence, ou CERT pour Computer Emergency Response Teams) qui permettent le partage des informations et des failles de cybersécurité, mais dont peu d’États disposent aujourd’hui. La convention vise également à renforcer les mécanismes d’entraide juridique et prend pour point de référence la Convention de Budapest sur la cybercriminalité organisée par le Conseil de l’Europe et également ouverte aux pays non européens. Pourtant, parmi les cinquante-cinq États membres de l’Union Africaine, seuls cinq pays (le Ghana, la Guinée, Maurice, la Namibie et le Sénégal) l’ont ratifiée. Certains pays (l’Afrique du Sud notamment) ont préféré plaider pour un traité commun à l’ensemble des Nations Unies, et ce en dépit des avertissements de certains sur la faisabilité d’un tel projet, sur le temps cela prendrait à mettre en place, et surtout sur le risque de sabotage de la part de la Chine et de la Russie qui chercheraient ainsi à étouffer toute dissidence politique sur leur territoire[3]. Des États tels que L’Afrique du Sud, le Ghana, le Kenya, Maurice, le Nigéria ou le Sénégal mettent également au point leur propre cadre législatif visant à lutter contre ces menaces émergentes[4]. Des chiffres de 2016 indiquent néanmoins que seuls 20 % des États africains ont mis en place une législation de base permettant de contrer les cyberattaques[5].

Avec la multiplication du nombre d’internautes, de réseaux de données et de matériel numérique, l’Afrique pourrait rapidement devenir le terrain d’action privilégié des cybercriminels. Selon les prévisions, le nombre d’abonnements téléphoniques en Afrique subsaharienne devrait atteindre les 930 millions d’ici la fin de l’année[6]. Par ailleurs, selon un rapport du Centre sud-africain d’information sur les risques bancaires (SABRIC), les attaques de logiciels malveillants sur les téléphones portables ont considérablement augmenté depuis fin 2018. L’Afrique du Sud a connu une hausse du nombre de cyberattaques : 570 par heure d’après la société de cybersécurité Kaspersky Lab. Toutes ne sont pas forcément délibérément malveillantes, mais la prolifération d’ordinateurs et de téléphones infectés en service sur le continent présente de sérieux risques. Selon des chercheurs, environ 80 % des ordinateurs personnels en Afrique en 2010 étaient infectés par un virus[7] et la vaste diffusion de logiciels sans licence a empêché les utilisateurs de télécharger des mises à jour les permettant de se protéger d’actes malveillants.

Bien que seulement 1% des cyberattaques comptabilisées émanent d’Afrique[8], si l’accent n’est pas rapidement mis sur la cyber-résilience, la démocratisation d’Internet et la sévérité de la réglementation sur les autres continents risquent d’attirer les réseaux criminels vers ce continent perçu comme une véritable terre d’asile pour les activités illégales. Le ministère public sud-africain a confirmé à plusieurs reprises que de multiples groupes de cybercriminels opéraient dans le pays, offrant leurs services à quiconque prêt à en payer le prix : des organisations terroristes et autres acteurs non-gouvernementaux, voire des États cherchant à influencer la dynamique interne de concurrents potentiels. Quand bien même certains pays tels que l’Afrique du Sud n’estiment pas avoir d’opposants politiques à proprement parler, le risque que ces États soient utilisés comme intermédiaires pour s’en prendre à d’autres puissances mondiales est assez fort.

Selon l’Office des Nations Unies contre la drogue et le crime, du fait de la rapidité sans précédent des progrès technologiques, de plus en plus de mégadonnées sont échangées dans le monde. Le recours à des moyens dits « offensifs » pour compromettre la sécurité d’un réseau informatique ou d’un téléphone portable en les transformant en dispositifs d’écoute permet de s’ingérer dans des élections et de saper le processus démocratique, d’utiliser des données sensibles pour déformer, spolier, faire chanter ou réclamer une rançon. Les cibles de choix de ces attaques sont les gouvernements, les fournisseurs de services publics, l’armée ou les acteurs industriels et commerciaux. Le risque pour les États dont les institutions démocratiques sont récentes, encore fragiles et vulnérables à la manipulation doit également être pris très au sérieux.

En Afrique, les restrictions budgétaires et la concurrence d’autres priorités ont néanmoins entraîné un déficit chronique d’effectifs formés à la défense contre les cyberattaques[9]. Lors de son dernier discours annuel sur l’état de la nation, le président sud-africain Cyril Ramaphosa s’est engagé à créer deux millions d’emplois, pour la plupart dans le secteur des technologies, pour lutter contre le chômage des jeunes, mais aussi afin de répondre à la demande du marché et aux problématiques de cyber-résilience. Une étude récente de la Société financière internationale a révélé que, d’ici à 2030, plus de 230 millions d’emplois en Afrique subsaharienne nécessiteront des compétences numériques, ce qui permettrait de générer près de 650 millions d'opportunités de formation, particulièrement au Ghana qui est un acteur clé en matière de développement de compétences[10]. Les arguments commerciaux en faveur de l’implication du secteur privé dans le développement des compétences numériques sont donc évidents mais il y a, comme nous allons le voir, également fort à gagner de l’engagement de ce même secteur à aider les États à se protéger des cybermenaces.

Ces menaces peuvent prendre la forme d’attaques par déni de service, de ransomware, de vol de données personnelles ou de manipulation de données, notamment les deepfake ou hypertrucages, ces vidéos générées par des algorithmes qui déforment la réalité[11]. Ces phénomènes pourraient entraîner une riposte bien réelle et armée contre le responsable présumé, ce qui suppose d’évidentes conséquences géopolitiques. Cela pourrait également conduire à des condamnations injustifiées où à des violences envers la personne mise en scène dans le deepfake et, à long terme, ébranler la confiance de la population dans la justice, l’information publique et les médias.

Bien que beaucoup de discussions concernant la cybersécurité aient porté sur l’enseignement de compétences telles que le codage aux jeunes enfants (ce que Cyril Ramaphosa a d’ailleurs promis de mettre en place dans toutes les écoles primaires sud-africaines) afin de se mettre au diapason de la révolution numérique, de plus en plus de voix préconisent une approche plus philosophique. Lors d’une récente conférence à Stockholm[12], la Secrétaire générale adjointe et Haute-représentante pour les affaires de désarmement Izumi Nakamitsi a appelé au développement de technologies « éthiques » qui fassent passer les « valeurs humaines » au premier plan. Cette dernière a également mis l’accent sur la nécessité d’apprendre aux enfants à distinguer la frontière entre l’humain et la machine, à faire la différence entre autonomie et responsabilité. Dan Smith, directeur de l'Institut international de recherche sur la paix de Stockholm, se montre plus incisif et parle même de « remettre la technologie à sa place ». Cette question de « l’humanisation » des technologies se répercute également sur le droit humanitaire, qui définit la manière dont les technologies numériques, qu’elles soient utilisées à des fins militaires ou non, doivent respecter la loi en temps de guerre. Tout en reconnaissant que le recours à des technologies numériques par des acteurs non-gouvernementaux (comme par exemple les drones armés observés en Irak et en Syrie) en temps de paix complique les choses sur le plan juridique, beaucoup de spécialistes, notamment le Comité international de la Croix-Rouge, estiment que les nouvelles technologies doivent s’adapter à la législation en vigueur et non l’inverse. En pratique, cela ne suppose-t-il pas des relations plus étroites avec le secteur privé et la mise en œuvre de codes de conduite et d’une normalisation des produits et de l’exploitation ?

En termes de développement des compétences, le secteur privé a un rôle majeur à jouer en Afrique. L’Union africaine a piloté un certain nombre d’initiatives communes, notamment des programmes d’universités virtuelles pour accélérer le développement de compétences[13], tandis que des géants de la technologie tels que Google ou Microsoft créent leurs propres initiatives. Outre le renforcement des capacités, il y a vraisemblablement des raisons de faire une place au secteur privé dans les débats sur des questions de gouvernance mondiale. Les initiatives autorégulatrices telles que l’Accord sur la cybersécurité (Cybersecurity Tech Accord) signé en 2018 par 34 grandes entreprises du secteur des TIC ont été globalement bien accueillies[14], mais beaucoup reste à faire.

Il est de plus en plus justifié que le secteur privé contribue à instaurer un climat de confiance propice au partenariat avec les gouvernements et la société dans son ensemble, l’Afrique devant être perçue comme un acteur à part entière de ces débats plutôt qu’un simple marché propice au développement du secteur. Les forums de discussions convoqués par l’ONU pour débattre de cybersécurité, notamment le Groupe d’experts gouvernementaux et les groupes de travail à composition ouverte, se sont focalisés sur les interactions entre États membres et n’ont pas directement impliqué le secteur privé. Mais en juin dernier une initiative distincte, le Groupe de haut niveau sur la coopération numérique créé par le Secrétaire général de l’ONU a toutefois proposé une version révisée du Forum sur la gouvernance de l’internet qui aurait pour vocation de renforcer la coopération entre les États, les entreprises et la société civile et d’engendrer des résultats plus concrets[15]. C’est un pas majeur vers la reconnaissance de la nécessité d’ouvrir à tous les débats sur les normes et les réglementations.

Le secteur privé peut également contribuer à sensibiliser la population au compromis qui doit être trouvé entre sécurité et vie privée : des mesures de sécurité plus rigoureuses pour protéger les données personnelles peuvent par exemple impliquer un plus grand nombre de restrictions.

Les entreprises peuvent aussi encourager la transparence des industries. En Afrique du sud, la police et le SABRIC travaillent en étroite collaboration, mais il existe toujours une certaine réticence de la part des entreprises privées à déclarer les failles de sécurité, de peur de voir leur réputation ternie. Une plus grande transparence est pourtant indispensable pour pouvoir repérer les points faibles et se protéger plus efficacement.

Avec l’arrivée de la 5G, d’armes hypersoniques atteignant des vitesses jusqu’à cinq fois supérieures à celle du son ou de machines autonomes, notre capacité à prendre des décisions réfléchies et éclairées et à maîtriser les conséquences de la numérisation massive de la société sera grandement mise à l’épreuve. Pour certains pays d’Afrique subsaharienne confrontés à des problématiques de sécurité humaine plus concrètes, ces questions de cybersécurité ne sont pas une priorité et semblent encore appartenir au domaine de la science-fiction. Pourtant, si comme le prévoit l’ONU un tiers de la population mondiale est bel et bien africaine d’ici 2100, l’apprivoisement des nouvelles technologies numériques doit impérativement être au cœur des programmes de sécurité des pays africains.

 

[1] Pour le détail des différents cadres juridiques en Afrique, consultez https://dataprotection.africa

[2]  https://au.int/fr/treaties/african-union-convention-cyber-security-and-personal-data-protection

[3] Peters, A “Russia and China are trying to set the U.Ns rules on cybercrime” (La Russie et la Chine cherchent à influencer les politiques de l’ONU en matière de cybercriminalité), Foreign Policy, Sep 16 2019

[4] En Afrique du sud, un projet de loi sur la cybercriminalité et la cybersécurité (2014) est en cours d’adoption au Parlement. Une loi sur la protection des données personnelles (dite POPIA) a été votée en 2000.

[5] Rapport des tendances en matière de cybercriminalité et cybersécurité en Afrique, www.symantec.com

[6] Rapport Ericsson sur la mobilité en Afrique subsaharienne (2014)

[7] Stefan Gady (2010) cité par Nir Kshetri dans son article Cybercrime and Cybersecurity in Africa, publié au Journal of global information

[8] Rapport sur les tendances en matière de cybersécurité en Afrique

[9] Nir Kshetri (2019)

[10] IFC - l’étude révèle que plus de 230 millions d’emplois en Afrique subsaharienne nécessiteront des compétences numériques d’ici 2030, ce qui permettrait de générer près de 650 millions d'opportunités de formation

[11] Voir Dr Alexa Koenig, “Half the truth is often a great lie: Deep fakes, open source information and international criminal law” (Une moitié de vérité est souvent un grand mensonge: deepfake, le renseignement de sources ouvertes et le droit pénal international), AJIL Unbound, vol. 113, p. 250-255. doi:10.1017/aju.2019.47

[12] Conférence de Stockholm sur la sécurité du 3 octobre 2019 (SIPRI)

[13] https://worldskills.org/media/news/african-union-launches-digital-skills-drive/

[14]  https://cybertechaccord.org

[15] Rapport du groupe de haut niveau sur la coopération numérique de l’ONU. https://www.un.org/en/pdfs/DigitalCooperation-report-for%20web.pdf

CONTRIB ALLEN

Karen Allen joined the ISS in June 2019 as Senior Research Advisor: Emerging threats in Africa, in the office of the executive director in Pretoria.

For the past 15 years Karen was a senior BBC foreign correspondent based in Nairobi and later Johannesburg. She has a particular interest in the relationship between terrorism and global justice, technology and human security.

She is a Visiting Fellow at King's College London in the Department of War Studies. Karen has a Master’s degree in international relations and contemporary war from King's College London.

 

CONTACTEZ-NOUS

Pour toute question ou demande d’informations, veuillez nous contacter par email en utilisant le formulaire du lien ci-dessous

AUTRES PAGES

Informations légales

Archives