Cybersécurité : les bonnes pratiques et mesures préconisées par l’expert Omar Arouna

Selon l’Union internationale des télécommunications (UIT), les niveaux d’engagement de l’Afrique en matière de cybersécurité – ainsi que sa capacité de réponse aux menaces – restent faibles par rapport aux autres continents. Face à la multiplication des attaques sophistiquées à la sécurité et à la souveraineté numérique des Etats, quelles solutions concrètes apporter pour répondre à ce phénomène ? Réponse avec Omar Arouna, spécialiste des questions de cybersécurité, ancien ambassadeur du Bénin près les Etats-Unis d’Amérique.

Présentez-vous à nos lecteurs et internautes ?

Je m’appelle Omar Arouna, titulaire d’un MBA en cybersécurité, obtenu à l’Université George Washington. Je suis le fondateur et l’associé directeur de US-Africa Cybersecurity Group, un cabinet de conseil collaboratif et de gestion de la cybersécurité à Washington, DC ; fournissant des services de conseil en cybersécurité, des programmes de formation, des évaluations, des renforcements de capacités, de développement et de mise en œuvre de stratégies et d’initiatives de cybersécurité pour les secteurs public et privé en Afrique. En outre, je suis le PDG de Global Specialty LLC, une société de conseil en développement des affaires axée sur la fourniture de services de conseil et d’exploitation aux organisations et à leurs communautés d’affaires à la recherche d’une entrée sur le marché et de l’établissement d’opérations commerciales en Afrique.  

Jusqu’en 2016, j’étais l’Ambassadeur de la République du Bénin aux États-Unis, au Mexique et l’ancien Représentant du pays auprès de la Banque mondiale, du Fonds monétaire international et de l’Organisation des États américains. Avant ma nomination, en tant qu’ambassadeur du Bénin aux États-Unis, j’étais le vice-président exécutif de Goodworks International, une société de conseil multinationale américaine fondée par l’ambassadeur Andrew Young, leader américain des droits civiques et chef de cabinet du Dr Martin Luther King.  À son apogée, la société comptait sept bureaux en Afrique et trois basés aux États-Unis axés sur la promotion des affaires en Afrique et dans les Caraïbes. Chez GoodWorks International, j’ai dirigé les efforts de l’entreprise pour faciliter l’engagement des entreprises américaines en Afrique. Les services à la clientèle comprenaient la facilitation des entreprises américaines pour sécuriser les affaires avec les pays africains, étendre leur présence et leurs opérations dans la région, et identifier des partenaires locaux pour conclure des partenariats. Parmi ses clients figurent AECOM, Chevron, Delta Airlines, General Electric, Motorola et Sumitomo Corporation, MGI Management et Verizon. Plus est, j’ai aidé plusieurs gouvernements africains à améliorer leurs relations avec les agences gouvernementales américaines et à collaborer avec les membres du Congrès Américain et la Maison Blanche.

Commandeur de l’Ordre National du Bénin, je suis actuellement le président du conseil consultatif du New York Center for Foreign Policy Affairs (NYCFPA), un think-thank américain consacré à la recherche et à l’analyse de tous les aspects de la politique étrangère américaine et de son impact dans le monde.

Je suis aussi président du conseil consultatif de l’Institut panafricain des municipalités Développement (PIMD). PIMD est une organisation à but non lucratif créée en 2021 pour combler les lacunes dans le développement de la main-d’œuvre, le renforcement des capacités et le développement du leadership dans les gouvernements municipaux en Afrique.

Vous êtes un spécialiste des questions liées à la cybersécurité. Comment vous la définissez ?

Selon l’Institut national des normes et de la technologie des États-Unis, la cybersécurité est la prévention des dommages, la protection et la restauration des ordinateurs, des systèmes de communications électroniques, des services de communications électroniques, des communications par fil et des communications électroniques, y compris les informations qu’ils contiennent, afin d’assurer leur disponibilité, leur intégrité, leur authentification, leur confidentialité et leur non-répudiation. En bref, la cybersécurité est le processus de protection des informations en prévenant, en détectant et en répondant aux attaques. La capacité de protéger ou de défendre l’utilisation du cyberespace contre les cyberattaques.

De plus en plus d’attaques contre la sécurité et la souveraineté numérique des Etats sont enregistrées. Comment se manifestent-elles dans la pratique ?

Déjà, il faut savoir qu’une cyberattaque est toute tentative d’obtenir un accès non autorisé à un ordinateur, un système informatique ou un réseau informatique dans l’intention de causer des dommages. Les cyberattaques visent à désactiver, perturber, détruire ou contrôler les systèmes informatiques ou à altérer, bloquer, supprimer, manipuler ou voler les données détenues dans ces systèmes. Vous avez probablement lu des informations sur les cyberattaques de gouvernements étrangers comme la Corée du Nord, la Russie et l’Iran dans les nouvelles. Ils ne sont malheureusement que trop courants. Les attaques potentielles de pays comme ceux-ci sont appelées menaces d’État-nations. Les menaces des États-nations sont liées aux attaques contre les infrastructures, l’armée et les entreprises. Il peut être difficile d’identifier les auteurs car, naturellement, ils souhaitent passer inaperçus et rejetteront toujours la faute sur des cyber gangs indépendants, des entités étrangères ou des hacktivistes.  

Le but derrière les attaques peut varier et peut inclure :

• Espionnage militaire
• Influencer l’opinion publique par la désinformation diffusée via les médias sociaux
• Manipuler les processus décisionnels des gouvernements.  

Les attaques d’États-nations sont généralement considérées comme des piratages technologiques très complexes. Mais, ils peuvent aussi être beaucoup plus simples dans la conception. La technologie pourrait même ne pas être impliquée. En fait, l’ingénierie sociale est une méthode courante utilisée pour violer les systèmes d’entreprise. L’ingénierie sociale tire parti des vulnérabilités humaines, convainquant les personnes au sein d’une organisation de cliquer sur de faux liens et de télécharger des logiciels malveillants, ce qui conduit invariablement à des failles de sécurité. Par exemple, de simples attaques de spear-phishing par courriel sont souvent utilisées par les États-nations pour infiltrer les actifs de l’infrastructure. Un courriel d’apparence légitime est ouvert par un employé et un logiciel malveillant est planté. Ce malware peut rester dormant jusqu’à ce qu’il soit déclenché par une agence ou un événement externe, de sorte qu’il pourrait ne pas être immédiatement découvert, ce qui rend encore plus difficile de s’en prémunir.

Comment vite les détecter ?

Que peut-on faire pour se prémunir contre les méthodes souvent changeantes et de plus en plus sophistiquées utilisées par les États-nations pour violer la sécurité de vos données ? Malheureusement, il n’y a pas de solution miracle unique ; vous devez adopter une approche multidimensionnelle et multicouche de la sécurité. Toutes les organisations doivent mettre à jour leurs calculs et leurs défenses en matière de cyber risques. Pour ce faire, procédez comme suit :  

• Assurez-vous que votre modélisation des risques inclut un scénario d’acteur de menace d’État-nation.
• Prendre tous les risques de cybersécurité plus au sérieux. Comprenez quels exécutables et fichiers légitimes doivent être exécutés sur vos appareils et assurez-vous d’être alerté en cas de comportement inhabituel des fichiers.
• Ne sous-estimez jamais la valeur des systèmes de gestion des vulnérabilités et des actifs. Ceux-ci sont essentiels pour comprendre votre profil de risque actuel, où résident vos systèmes et données critiques, développer vos plans de continuité d’activité et de reprise après sinistre et bien plus encore.
• Éduquer les employés à être hyperconscients des attaques des États-nations et des impacts potentiels sur votre entreprise. Vous ne devriez pas avoir une seule session de formation, mais elles devraient être continues et inclure une communication ciblée, des exercices et des tests inopinés pour évaluer la capacité des gens à identifier et à signaler les attaques de phishing.

Les attaques des États-nations ont changé ; ils sont plus fréquents, plus répandus et causent beaucoup plus de dégâts. Ils ne se limitent pas aux transgressions des gouvernements.  En fait, il n’existe aucun moyen garanti pour une organisation de prévenir une cyberattaque, mais il existe de nombreuses meilleures pratiques en matière de cybersécurité que les organisations peuvent suivre pour réduire le risque.

Qui en sont les auteurs et à quelle fin ils le font ?

Une cyberattaque peut être lancée de n’importe où par n’importe quel individu ou groupe en utilisant une ou plusieurs stratégies d’attaque différentes. Les personnes qui commettent des cyberattaques sont généralement considérées comme des cybercriminels. Souvent appelés mauvais acteurs, acteurs de la menace et pirates informatiques, ils comprennent :

• Des individus qui agissent seuls, en s’appuyant sur leurs compétences informatiques pour concevoir et exécuter des attaques malveillantes.
• Ils peuvent également appartenir à un syndicat criminel, travaillant avec d’autres acteurs de la menace pour trouver des faiblesses ou des problèmes dans les systèmes informatiques - appelés vulnérabilités - qui peuvent être exploités à des fins criminelles.
• Des groupes d’experts en informatique parrainés par des gouvernements lancent également des cyberattaques. Ils sont identifiés comme des attaquants d’États-nations, et ils ont été accusés d’attaquer l’infrastructure informatique d’autres gouvernements, ainsi que des entités non gouvernementales, tels que des entreprises, des organisations à but non lucratif et des services publics.  

Les cyberattaques sont conçues pour causer des dommages. Ils peuvent avoir divers objectifs, notamment :

• Gain financier. La plupart des cyberattaques d’aujourd’hui, en particulier celles contre des entités commerciales, sont lancées par des cybercriminels à des fins lucratives. Ces attaques visent souvent à voler des données sensibles, telles que les numéros de carte de crédit des clients ou les informations personnelles des employés, que les cybercriminels utilisent ensuite pour accéder à de l’argent ou à des biens en utilisant l’identité des victimes. D’autres attaques à motivation financière sont conçues pour désactiver les systèmes informatiques eux-mêmes, les cybercriminels verrouillant les ordinateurs afin que leurs propriétaires et les utilisateurs autorisés ne puissent pas accéder aux applications ou aux données dont ils ont besoin ; les attaquants exigent ensuite que les organisations ciblées leur paient des rançons pour déverrouiller les systèmes informatiques.
• D’autres attaques visent à obtenir des données d’entreprise précieuses, telles que des informations de propriété ; ces types de cyberattaques sont une forme moderne et informatisée d’espionnage d’entreprise. Perturbation et vengeance. Les mauvais acteurs lancent également des attaques spécifiquement pour semer le chaos, la confusion, le mécontentement, la frustration ou la méfiance. Ils pourraient prendre de telles mesures comme un moyen de se venger des actes commis contre eux. Ils pourraient viser à embarrasser publiquement les entités attaquées ou à nuire à la réputation des organisations. Ces attaques visent souvent des entités gouvernementales, mais peuvent également frapper des entités commerciales ou des organisations à but non lucratif.  Les attaquants des États-nations sont à l’origine de certains de ces types d’attaques. D’autres, appelés hacktivistes, pourraient lancer ce type d’attaques comme une forme de protestation contre l’entité ciblée ; un groupe décentralisé secret d’activistes internationalistes connu sous le nom d’Anonymous est le plus connu de ces groupes. Les menaces internes sont des attaques qui proviennent d’employés avec une intention malveillante. Cyberguerre. Les gouvernements du monde entier sont également impliqués dans des cyberattaques, de nombreux gouvernements nationaux reconnaissant ou soupçonnés de concevoir et d’exécuter des attaques contre d’autres pays dans le cadre de différends politiques, économiques et sociaux en cours. Ces types d’attaques sont classés comme cyberguerre. 

Voici quelques exemples très médiatisés :

• Sony Pictures a été ciblé en 2014 pour le film The Interview, que la Corée du Nord a trouvé offensant.
• L’attaque SolarWinds a compromis les agences fédérales.
• L’attaque zero-days de Microsoft Exchange a compromis plus de 100 000 serveurs de messagerie.

Quel est aujourd’hui l’état des lieux de la cybersécurité en Afrique ?

En Afrique, les services de base tels que les communications, les réseaux électriques, les systèmes de transport, les services de santé et les villes intelligentes dépendent de plus en plus des services cloud. Avec environ 500 millions d’internautes, l’Afrique possède l’un des réseaux téléphoniques et Internet à la croissance la plus rapide au monde. Il en a résulté une expansion tout aussi rapide de la cybercriminalité et la nécessité d’intégrer la cybersécurité dans les stratégies commerciales et les considérations politiques. Selon la Coopération financière internationale et Google, l’économie Internet de l’Afrique devrait contribuer à hauteur de 180 milliards de dollars à son économie globale d’ici 2025, pour atteindre 712 milliards de dollars d’ici 2050. Pour s’assurer que ces projections se concrétisent, les gouvernements africains et leurs partenaires mettent en place de nouvelles initiatives pour connecter rapidement environ 700 millions d’Africains non connectés et répondre aux problèmes de vitesse et de coût pour ceux qui y ont accès. Mais la connexion sans sécurité n’a pas de sens. Les cyberattaques et les vulnérabilités récentes indiquent un paysage de menaces de cybersécurité existant et croissant en Afrique : 

• Il a été rapporté que la cybercriminalité a réduit le PIB en Afrique de plus de 10%, pour un coût estimé à 4,12 milliards de dollars en 2021.
• En juin 2020, l’Afrique du Sud comptait le troisième plus grand nombre de victimes de cybercriminalité dans le monde, avec un coût d’environ 147 million de dollars par an.
• On estime qu’un téléphone mobile Android sur neuf au Nigeria a des applications infectées par des logiciels malveillants.
• L’Éthiopie, pays hôte du siège de l’Union africaine, a récemment signalé une forte augmentation des tentatives de cyberattaque.
• En 2018, il a également été allégué que tout le contenu des serveurs du siège de l’Union africaine était régulièrement transmis à Shanghai entre 2012 et 2017. Bien que la Chine ait rejeté l’allégation comme absurde, de véritables préoccupations concernant la capacité des gouvernements africains à protéger son cyberespace demeurent.

Pire encore, l’Afrique manque de talents et de ressources pour faire face à ses menaces à la cybersécurité. Sur une population d’environ 1,24 milliard de personnes, le nombre estimé de professionnels de la sécurité certifiés en 2018 était de 7 000, soit pour 177 000 personnes. Le continent est confronté à un déficit croissant de 100 000 personnes en professionnels de la cybersécurité certifiés, mais ce nombre peut même masquer l’ampleur du problème car il n’existe pas de données facilement disponibles sur le niveau d’investissement des gouvernements africains dans la cybersécurité.   Le dernier classement de l’Union internationale des télécommunications (UIT) sur les efforts nationaux mondiaux en matière de cybersécurité montre clairement que « les niveaux d’engagement de l’Afrique en matière de cybersécurité – ainsi que sa capacité de réponse aux menaces – restent faibles par rapport aux autres continents ».

A vous entendre, l’Afrique n’a pas encore pris la pleine mesure de cet enjeu économique, stratégique et politique ? N’existe-t-il pas de mécanismes sérieux pour y faire face efficacement, au-delà des conférences et colloques ?

Afin de renforcer la cybersécurité, les gouvernements africains peuvent prendre un certain nombre de mesures pour améliorer leur capacité à prévenir et à répondre aux vulnérabilités en matière de cybersécurité. Premièrement, il est essentiel que les décideurs définissent une politique et une stratégie de cybersécurité à moyen et à long termes pour intégrer la cybersécurité dans les initiatives gouvernementales et préciser les ressources nécessaires pour les réaliser. Cela nécessite la mise en place d’autorités ou d’agences nationales disposant de ressources financières suffisantes pour mettre en œuvre la stratégie et renforcer la cyber-résilience du pays.

En outre, les gouvernements doivent promouvoir une culture sociétale responsable de la cybersécurité afin de renforcer la confiance des citoyens et des organisations dans la cyberéconomie, les services numériques et l’Internet au sens large. Les États doivent mettre en place des programmes de sensibilisation et de formation en cybersécurité pour les secteurs public, privé, universitaire et de la société civile afin de les doter des compétences et des connaissances nécessaires pour faire face aux risques de cybersécurité. Les gouvernements doivent également établir les cadres juridiques essentiels pour réglementer l’utilisation du cyberespace et sanctionner la cybercriminalité.

Pour améliorer la résilience, les États africains doivent définir d’urgence des plans d’intervention à déployer en cas d’attaque majeure contre leurs infrastructures critiques. Ces plans devraient décrire les mesures immédiates qui seraient prises à l’échelle nationale, ainsi que des solutions de rechange numériques de secours, pour s’assurer que le gouvernement et les organisations seraient toujours en mesure de fonctionner même en cas de perte soudaine d’outils et de réseaux numériques. Les parties prenantes nationales et régionales devraient être associées au plan d’intervention, et les niveaux de maturité et de capacité du pays en matière de cybersécurité devraient être pris en compte, afin d’adapter la réponse au contexte local et aux ressources financières, humaines et technologiques disponibles.