Fondatrice de l’institut africain de cybersécurité et sécurité des Infrastructures (I-CSSI), créé en avril 2021 à Kinshasa, (République Démocratique du Congo), Nathalie Kienga évolue dans le secteur de la cybersécurité depuis plus d’une décennie. Elle est par ailleurs vice-présidente de Ciberobs, le premier observatoire de la cybersécurité en Afrique, et organisateur du Cyber Africa Forum. Dans cet entretien accordé à Forbes Afrique, la spécialiste revient sur les enjeux de ce secteur clé, à l’heure de la transformation numérique.
Par Patrick Ndungidi
Au préalable, tentons de cerner et de chiffrer la cybercriminalité en Afrique. Quelle est la fréquence des cyberattaques aujourd’hui en Afrique et quelles sont les entreprises les plus visées ?
Entre janvier et août 2020, 28 millions de cyberattaques ont eu lieu en Afrique. La communication sur ce genre d’évènement n’étant pas encore généralisée, les données peuvent mettre un certain temps avant d’être mises à jour. En revanche, nous pouvons constater par d’autres indicateurs que l’Afrique est de plus en plus exposée à la cybercriminalité. D’après l’éditeur de logiciel McAfee, la cybercriminalité a coûté à l’Afrique 4,12 milliards USD en 2021.
Aucun secteur d’activité n’est épargné. Cependant, ces dernières années, nous avons pu constater de multiples attaques dans le secteur financier. De par leur cœur de métier, les banques et autres institutions financières restent les cibles préférées des acteurs malveillants. Ces vulnérabilités viennent souvent du fait que les banques et autres organisations financières sont plus enclines à externaliser certains services, ce qui laisse la porte ouverte à de nombreuses failles de sécurité si une stratégie de sécurité de la sous-traitance n’est pas bien établie.
Quelles sont justement les failles de sécurité des entreprises en Afrique?
Ces failles prennent principalement trois formes : les failles informatiques, liées à un système d’information ou des infrastructures à un niveau de sécurité insuffisant ; les failles humaines, liées à un personnel qui n’est pas assez sensibilisé ou formé sur les questions de cybersécurité ; et les failles de gouvernance, liées à un manque de politiques et de procédures sécurité ou à une organisation ne respectant pas les standards en matière de sécurité. L’activité des cybercriminels consiste à débusquer ces failles et à s’en servir comme point d’attaque.
Quelles sont les précautions à prendre pour mieux se protéger d’une cyberattaque ? Par quoi faut-il commencer ?
Pour se prémunir des cyberattaques, les entreprises doivent principalement investir dans la sécurisation de leur capital informationnel et pallier au manque de compétences internes. D’un point de vue opérationnel, il est conseillé de veiller à la mise à jour de ses logiciels et applications ; procéder à la sauvegarde régulière des données ; veiller à une bonne ségrégation des tâches ; avoir une politique forte sur les accès à l’information et instaurer des sessions de sensibilisation pour les populations sensibles.
Ensuite, il est important de mettre en place un environnement fonctionnel et technique adapté aux enjeux de son secteur d’activité. À ce jour, plus de 90 % des entreprises africaines opèrent sans utiliser les protocoles de cybersécurité nécessaires. Le top management doit également se sentir concerné afin d’allouer les budgets nécessaires. La cybersécurité est un point important qui doit être traité à tous les niveaux.
Quel budget moyen une entreprise peut-elle consacrer pour sa cybersécurité ?
La cybersécurité doit être considérée comme l’un des défis majeurs du 21ème siècle. Afin de pouvoir faire face à tous les types de scénarios de manière sereine et surtout anticiper les différents évènements liés à la cybercriminalité, une entreprise se doit, selon moi, d’investir entre 3% et 5% de son chiffre d’affaires.
Comment réagir face à une attaque ?
S’agissant d’un rançongiciel, ne surtout pas payer la rançon ! Vous n’avez aucune garantie que le cybercriminel vous rendra vos fichiers et données. Dans ce cas de figure, il est conseillé de réagir de la manière suivante : isoler le poste touché du réseau pour investigation ; installer la cellule de réponse à incident de sécurité pour réagir de manière efficace ; mettre en place le plan de continuité des activités afin d’assurer le maintien du business ; se rapprocher des autorités compétentes pour rapporter les évènements. Les cyberattaques sont souvent préparées en silence et sont, de ce fait, difficiles à détecter. Il est essentiel pour une organisation de mettre en place une surveillance continue de son cyberespace à travers un SOC (Security Operations Center) afin de maîtriser au mieux les risques et d’anticiper les attaques. Mais au-delà de ces actions prises individuellement, avec un milliard d’utilisateurs internet africains, il est plus que nécessaire aujourd’hui et de travailler collectivement afin d’acquérir un niveau de sécurité globale suffisant. Cela passera notamment par la gouvernance et la formation.
La formation justement. Vous avez lancé l’année dernière l’institut africain de cybersécurité et sécurité des infrastructures (I-CSSI), à Kinshasa, en RDC. Présentez-nous cette initiative.
La création de l’Institut africain de cybersécurité et sécurité des infrastructures, qui propose de la formation, est partie de deux constats. Premièrement, la pénurie de compétences en la matière sur le continent africain. En effet, la transformation numérique, en forte croissance, entraîne non seulement des opportunités pour les États mais également des risques importants. Sans compétences pour faire face aux vulnérabilités et aux failles de sécurité que cela peut provoquer, les organisations africaines auront de la peine à réussir le pari d’une transformation sereine et efficace. Deuxièmement, le difficile accès à la formation et à l’information. Jusqu’à lors, les secteurs public et privé envoyaient leur collaborateurs se former à l’extérieur de leur pays, la plupart du temps en Europe. Cela représentait un coût important et provoquait une inégalité de chances d’une grande importance. Nous proposons donc de la formation accessible et disponible à tous.
L’I-CSSI souhaitait répondre à ces deux premières problématiques en créant une première ligne de défense africaine, capable de répondre aux besoins en sécurité des États, des entreprises privées et de la société civile. Nous souhaitons renforcer l’expertise locale dans le domaine de la cybersécurité et des nouvelles technologies en pariant sur la jeunesse africaine motivée à monter en compétences sur ces sujets et tout en luttant contre la fuite des cerveaux.
À plus long terme, quelles ambitions souhaiteriez-vous voir réalisées avec l’I-CSSI ?
La mise en place d’une promotion 100% femmes afin de s’engager sur les problématiques du genre ; la création d’un réseau de campus en Afrique centrale (Kinshasa, Douala, Libreville) et d’une antenne au Maghreb (Casablanca) pour essayer de créer des interconnexion entre l’Afrique centrale et l’Afrique du Nord. Notre objectif est de former entre 100 à 150 personnes par année. L’ambition première est de définir collectivement les exigences de sécurité minimales correspondant aux réalités des pays africains, et ce afin de prévenir un bon nombre de cyberattaques de masse dont les États et leurs entreprises sont fréquemment victimes. Si rien n’est fait, la vulnérabilité du continent ne fera que s’accroître au fur et à mesure de l’évolution des nouvelles technologies. Aujourd’hui et plus que jamais, la population qui utilise ces nouvelles technologies doit être outillée et préparée afin de faire face aux cybermenaces.
