Avec 20% de de sa population connectée à Internet, l’Afrique est un continent en voie de connexion au cyberespace. Une partie des pays du continent profite des retombées économiques du numérique mais ceux-ci doivent aussi faire face aux cybermenaces qui mettent en péril leur développement dans le cyberespace. Dès lors, comment se construit la cybersécurité en Afrique?
L’enjeu de la connectivité avant celui de la cybersécurité
Avant d’évoquer pleinement la question de la cybersécurité en Afrique, il convient au préalable de poser une série de constats sur le niveau de connectivité du continent africain. Rappelons tout d’abord que le taux d’accès de la population du continent à Internet a atteint 20% en 2015, contre 77% en Europe. En cause, la faiblesse importante des infrastructures nationales rendant, dans certains pays, une connexion à Internet très onéreuse ; en République centrafricaine ou en Guinée une connexion haut débit peut coûter jusqu’à 500 dollars par mois. Par ailleurs, le développement rapide de l’Internet mobile en Afrique et l’essor des cybercafés dans certains pays ne participent que modestement à désenclaver numériquement la population. Et si certains observateurs saluent les nombreux projets en cours visant à relier l’Afrique aux autres continents par des câbles sous-marins, il est utile de rappeler que les gains de connectivité ne bénéficieront pleinement qu’aux populations dont les États auront préalablement résolu les problèmes d’approvisionnement et de délestage électriques, puis investi dans une infrastructure nationale des Technologies de l’Information et de la Communication (TIC).
Au regard de ces constats, il existe donc de profondes inégalités dans l’accès à Internet sur le continent, rendant ainsi certaines régions et une grande partie de la population totalement absente du cyberespace et de ses enjeux. Cette réalité, mise en parallèle avec les besoins d’une partie de la population africaine, éloigne évidemment bon nombre d’États africains de la problématique de la cybersécurité.
Une cybersécurité encore timide face aux menaces
Pour autant, au-delà de ces insuffisances, il existe bel et bien un développement du numérique en Afrique, caractérisé par bon nombre d’études comme porteur de croissance économique. De nombreux projets fondés sur l’utilisation du numérique vont en effet dans ce sens, facilitant une sortie de la pauvreté et un développement économique local. Pour accompagner ce mouvement, certains pays comme le Sénégal ou le Kenya se sont dotés d’autorités chargées de piloter et promouvoir le développement des TIC au niveau national. Mais en Afrique comme ailleurs, le développement du numérique est synonyme de développement des menaces. À ce titre la Côte d’Ivoire et le Nigeria sont régulièrement cités comme principaux foyers de la cybercriminalité sur le continent, encore principalement portée par les escroqueries de tout type (scam 419). Un rapport de Trend Micro note par ailleurs un développement du défacement (cyberhacktivisme) et de formes plus lucratives de cybercriminalité (botnets, malwares, RATs). Jusqu’à présent, bien que le niveau de sophistication de la cybercriminalité en Afrique soit resté globalement limité, les insuffisances des États dans la lutte contre la cybercriminalité font craindre à terme une multiplication des actes cybercriminels, au détriment du développement de l’économie numérique.
Face à ces cybermenaces, force est de constater que l’action des États africains en matière de cybersécurité est globalement encore timide. À ce jour, seulement 40% des pays africains disposeraient d’un cadre législatif sanctionnant les actes liés à la cybercriminalité. Certains de ces pays disposent par ailleurs d’une autorité dédiée à la cybersécurité, voire d’un CERT dont le rôle est de répondre aux incidents. Mais bon nombre de pays africains peinent à lutter efficacement contre la cybercriminalité, en raison notamment d’un déficit important de ressources. Ce manque touche autant la main d’œuvre qualifiée en cybersécurité, tant dans le secteur public que privé, que les formations dédiées et les ressources matérielles et technologiques adéquates. En outre, le faible nombre de mécanismes de coopération entre pays africains et avec le reste du monde complique considérablement l’identification, l’interpellation et le jugement des cybercriminels par les forces de l’ordre. Enfin, même si ce n’est pas l’apanage des pays africains, il existe un risque dans certains États que la cybersécurité soit dévoyée afin de limiter la liberté d’expression, comme cela a été le cas en Angola.
Quelques États africains sont toutefois remarquables par les efforts qu’ils déploient pour devenir des acteurs de la cybersécurité crédibles sur le continent, comme le Maroc qui multiplie les initiatives ces dernières années : plan d’action de lutte contre la cybercriminalité, présentation de sa stratégie de cybersécurité devant la 4ème conférence mondiale sur le cyberespace, coopération avec l’Espagne… Le Sénégal n’est pas non plus en reste avec dernièrement la création d’un centre national de cybersécurité, d’un laboratoire dédiée à la lutte contre la cybercriminalité, une coopération renforcée avec les Pays-Bas et la France ou encore l’accueil d’une rencontre régionale sur la cybersécurité. Nous aurions pu également citer le Kenya ou l’Afrique du Sud.
Quelles perspectives pour la cybersécurité en Afrique ?
Pour renforcer la lutte contre la cybercriminalité, l’Union Africaine (UA) a adopté en 2014 – après quatre années de négociation – une convention sur la cybersécurité et la protection des données personnelles fournissant aux États signataires un cadre légal commun régulant les activités des internautes. Bien que l’initiative aille dans un sens propice à la lutte contre la cybercriminalité, là aussi, certaines mesures du texte peuvent être utilisées pour limiter la liberté d’expression des citoyens des pays concernés. Le texte a donc été vivement contesté et, à ce jour, aucun pays de l’UA ne l’a ratifié, faisant de cette initiative un échec. Une poignée de pays africains ont néanmoins adhéré ou sont en voie d’adhésion à la convention de Budapest, élaborée par le Conseil de l’Europe, dont le contenu prête davantage au consensus puisqu’elle a déjà été ratifié par 44 pays, majoritairement européens.
D’autres initiatives émergent pour soutenir les actions des États dans la lutte contre la cybercriminalité, à l’image de l’Organisation Internationale de la Francophonie (OIF) qui aspire à devenir un cadre d’échanges sur les meilleures pratiques entre les 80 États membres concernant la cybersécurité. Des initiatives se structurent également sur le plan régional, comme en attestent les rapprochements sur ces questions des États de la Communauté Économique des États d’Afrique de l’Ouest (CEDEAO) avec le Conseil de l’Europe[25] et des États de l’East African Community (EAC) avec l’ONU. Citons enfin les partenariats bilatéraux que peuvent tisser les pays, comme le programme de coopération entre l’ANSSI et l’Agence De l’Informatique de l’État (ADIE) sénégalaise, dont l’objectif est d’accroitre les capacités du Sénégal en matière de cybersécurité. Des programmes similaires existent avec le Gabon et le Maroc.
Les différentes initiatives régionales évoquées sont salutaires à deux titres. Elles permettent, au sein d’une même région, d’inscrire des États étant à différents niveaux de maturité dans une dynamique d’entraide, qu’il s’agisse de coopération judiciaire ou de partage d’informations et de bonnes pratiques. Par ailleurs, ces initiatives font intervenir des acteurs extra-africains (organisations internationales ou États) qui disposent de l’expertise (formation, entrainement, connaissance des menaces) et/ou de moyens financiers et matériels à même de soutenir les efforts des États africains. Mais ces mécanismes de coopération ne seront efficaces, à termes, que s’ils s’appuient au niveau national sur des outils et instruments crédibles au service d’une réelle volonté politique de renforcer la cybersécurité. Cela passe entre autre par la création et la mise en œuvre effective d’un cadre juridique de lutte contre la cybercriminalité, de forces de police dédiées, d’une stratégie nationale de sécurité des systèmes d’informations, d’une autorité dédiée ou encore d’un CERT.