« Les dérives du numérique constituent aujourd’hui l’une des menaces les plus sérieuses à la paix, à la sécurité et à la stabilité de nos pays ; menaces d’autant plus difficiles à combattre qu’elles sont diffuses et protéiformes. » Franck Kié n’a rien perdu des mots du président sénégalais Macky Sall, qui présidait le 24 octobre l’ouverture du Forum de Dakar sur la paix et la sécurité. C’était la deuxième participation du fondateur de Ciberobs, un observatoire sur les questions de cybercriminalité, à cet évènement annuel qui réunit les experts de la sécurité sur le continent.
« Le président Macky Sall a dit de façon claire que la cybersécurité devient une priorité pour nos États », insiste le consultant, qui se satisfait de voir « les responsables se saisir de la question ». En 2021, selon l’entreprise de cybersécurité kényane Serianu, la cybercriminalité aurait coûté 4,12 milliards de dollars au continent, contre 3,5 milliards de dollars quatre ans plus tôt.
« Les attaques visent tout le monde et sont de plus en plus sophistiquées », prévient Frank Kié, à l’heure où la numérisation des services et des activités économiques s’accroît en Afrique, qui se retrouve, une nouvelle fois, le théâtre des luttes d’influences des puissances étrangères. Entretien.
Jeune Afrique : Le 17 octobre, le régulateur des télécoms sénégalais a été attaqué par le groupe de hackers Karakurt, qui a eu accès à plus d’une centaine de gigaoctets (Go) de données. En quoi cette attaque est-elle révélatrice des risques liés à la cybercriminalité sur le continent ?
Franck Kié : Elle montre à quel point les cybercriminels arrivent à mener des attaques de plus en plus sophistiquées et n’ont pas peur de s’attaquer à l’État. Hier, c’était l’ARTP [Autorité de régulation des télécommunications et des postes], demain, ce sera la primature ou la présidence. Plus personne n’est à l’abri. Rappelez-vous les hôpitaux attaqués en Afrique du Sud pendant la crise du Covid-19. Désormais, il faut s’attendre à ce que n’importe quel service soit visé : administration, services de délivrance de passeports électroniques, opérateurs chargés de la distribution de l’eau, de l’électricité, de l’énergie. Voilà pourquoi il faut prendre des mesures dès maintenant, afin d’anticiper.
En quoi ces attaques consistent-elles et en quoi sont-elles sophistiquées ?
La méthode utilisée est celle de la rançon, où le cybercriminel infiltre votre système et stocke vos données sans que vous ne vous en rendiez compte et donc sans que vous puissiez le contrer. S’offre ensuite à lui deux possibilités : soit collecter l’information et rançonner la victime en la menaçant de divulguer ses données ; soit implanter un logiciel pirate qui bloque le système et force la victime à payer pour retrouver ses informations. C’est très différent des arnaques basiques de cyber au début des années 2000, celles des brouteurs en Côte d’Ivoire ou au Nigéria, ou la fameuse « arnaque au président », qui consiste à envoyer un mail en se faisant passer pour quelqu’un d’autre.
Selon une récente étude, 64 % des entreprises africaines ont été victimes d’une attaque de ce genre en 2021. Le secteur privé est-il le plus touché ?
L’absence de données empêche d’avoir des données précises. Ce que l’on sait néanmoins, c’est que les particuliers, plus vulnérables, étaient concernés mais aussi le secteur privé et les institutions financières. Désormais, les criminels touchent également le secteur public, qui dispose de données importantes et sensibles.
Comment les plus petites entreprises peuvent-elles assurer leur protection, qui affiche souvent un coût élevé ?
Par la sensibilisation et la formation de leurs employés, ce qui se fait de plus en plus. Les sous-traitants représentent habituellement des voies d’accès privilégiées pour viser des grands groupes, beaucoup mieux protégés, mais qui partagent leurs données avec des acteurs plus vulnérables. Les entreprises en sont conscientes, et des acteurs proposent désormais des solutions adaptées aux PME et TPE.
