Le capital humain, élément clé du développement de la cybersécurité en Afrique

Par Clément Rossi, chargé de programme cybersécurité, CEIS

Avec la multiplication des grands projets d’infrastructures d’une part (projet de 4 000km de fibre optique en Guinée depuis 2014, déploiement de 3 000km de fibre optique au Sénégal en 2015-2017 etc.) et de transformation numérique globale des administrations d’autre part (mise en place d’une véritable identité numérique dans le cadre de la remise de documents d’identité au Gabon, projet e-gov au Sénégal), la protection de ces infrastructures critiques demeure un défi majeur. A cet égard, les attaques massives qu’a connu le Sénégal contre ses sites gouvernementaux (2015) ou le Liberia contre son réseau internet (2016) ont servi de révélateur. C’est un fait, la prise de conscience des autorités africaines s’est accélérée avec tout d’abord la création de plateformes dédiées (Plateforme de Lutte Contre la Cybercriminalité, Côte d’Ivoire, dès 2009) et de CERT nationaux (Burkina-Faso, 2013). Ces structures ont ensuite été progressivement renforcées grâce à la montée en puissance d’agences nationales prenant en charge la cybersécurité (ANTIC au Cameroun, ARTCI en Côte d’Ivoire, ANSSI au Burkina-Faso) et l’élaboration de véritables stratégies nationales de cybersécurité (Cameroun en 2016, Sénégal en 2017, Bénin à venir en 2018).

La cybersécurité se conçoit comme un continuum entre défense et sécurité dans une optique de stabilité globale de l’espace numérique. Cependant, cette vision implique que l’ensemble des acteurs, publics comme privés, puissent en comprendre l’intégralité des enjeux, et ce, jusqu’au plus haut niveau de décision. La coopération et les partenariats public-privé sont alors essentiels. Or, si les États d’Afrique de l’Ouest prennent désormais en compte la dimension « cyber » dans leurs stratégies de sécurité nationales et élaborent des plans d’action dédiés à la sécurité numérique, la protection de ses intérêts économiques et du secteur privé reste encore largement à développer. On ne le répètera jamais assez, la transformation numérique et le développement des nouveaux usages, en particulier sur l’internet mobile, ne peuvent se concevoir sans la création d’une « confiance » numérique, d’autant plus pour des services aussi critiques que les domaines bancaires ou financiers.

L’Afrique de l’Ouest demeure donc un marché à fort potentiel de croissance, véritable opportunité pour permettre un développement économique pérenne, source durable d’emplois locaux. Les besoins sont multiples : audits & conseils, tests d’intrusion, solutions de détection, d’analyse, mise en place d’équipes de réponses à incidents, administration de sécurité réseau, hébergement sécurisé, systèmes de lutte anti-fraude, chiffrement des données etc. Face à cette demande importante, de véritables écosystèmes constitués de cabinets de conseils, de distributeurs informatiques, de revendeurs de solutions de sécurité et d’intégrateurs permettent d’offrir toute l’expertise nécessaire. La multiplication des structures d’incubation (C-TIC au Sénégal) et les dispositifs visant à favoriser l’innovation et l’entrepreneuriat dans le numérique (Rwanda) accompagnent l’émergence de cette véritable industrie africaine du numérique. Seulement, de la même manière qu’en Europe, la pénurie de main d’œuvre qualifiée reste criante, freinant de ce fait le développement économique du secteur.

Les cursus universitaires spécialisés en informatique se multiplient dans toute la sous-région, notamment par le biais d’écoles privées permettant la formation de techniciens et d’ingénieurs. Ces derniers doivent néanmoins faire face à une double problématique : d’une part un manque de débouché du fait d’une certaine inadéquation de ces formations initiales avec les attentes opérationnelles des entreprises et d’autre part, un manque de spécialisation, qui nuit à leur insertion dans des filières professionnelles elles-mêmes encore peu structurées. Certaines universités, à l’instar de l’Université Cheikh Anta Diop de Dakar, ouvrent bien des cursus plus spécialisés en cybersécurité, mais elles restent trop peu nombreuses et généralement réservées à des étudiants de formations supérieures et devront être ouvertes à des techniciens. Problématique supplémentaire, les compétences les plus pointues en sécurité informatique sont détenues par les hackers eux-mêmes, majoritairement autodidactes avec peu ou pas de bagages scolaires, qui trouvent par la cybercriminalité un moyen de subsistance. Comment assurer leur réinsertion professionnelle et faire en sorte qu’ils puissent mettre leurs compétences techniques au service des entreprises et des forces de l’ordre ? Il faut saluer en ce sens l’initiative de la Gendarmerie Nationale sénégalaise qui propose, aux moyens de challenges informatiques, de véritables parcours professionnels en intégrant en tant que sous-officiers les meilleurs hackers éthiques, quels que soient leurs parcours académiques.

Les produits technologiques et autres solutions techniques ne représentent qu’un fragment seulement de la réponse aux enjeux de cybersécurité. Le facteur humain en constitue bien la majeure partie, et l’expertise humaine demeure une des clés fondamentales. Dans un parallèle avec la sécurité physique, on n’imagine pas les forces spéciales d’intervention partir en mission sans une expérience préalable du combat et un entrainement intensif. Confrontées à des attaques multiples et de plus en plus complexes, les équipes de réponse aux incidents informatiques devront, elles aussi, s’aguerrir.

Alors que la formation initiale va permettre de développer des compétences théoriques selon une démarche pédagogique adaptée, la certification professionnelle permet de valoriser les compétences indispensables à ces métiers de protection du cyberespace. Il apparaît donc clairement que la reconnaissance de compétences opérationnelles par le biais de certifications ou qualifications puissent être une voie vers la construction de véritables filières professionnelles, fruit d’une concertation entre acteurs privés et administrations.

A l’image du monde physique, il ne peut y avoir de développement et de croissance pérenne du monde numérique sans sécurité ni stabilité. Le Forum de Dakar est sans doute le lieu où s’exprime le mieux cette conviction. C’est dans cette optique de structuration des filières spécialisées et de développement des compétences humaines, au service de la sécurité des états et de leurs entreprises, que CEIS a souhaité s’engager aux côtés de Bluecyforce dans la formation opérationnelle et l’entrainement des personnels de cybersécurité. Avec cette philosophie de transmission par la pratique et l’expérience, il s’agit parmi d’autres initiatives de contribuer à l’établissement des écosystèmes africains de la cybersécurité, maillon essentiel du développement numérique du continent et pierre angulaire de sa souveraineté numérique. « Ce que tu donnes est à toi pour toujours. Ce que tu gardes est perdu à jamais» affirme le proverbe Soufi.

 

contribution CYBER_compressed_compressed

Clément Rossi est chargé de programme cybersécurité au sein de l'entreprise CEIS. Il est également en charge de l'ensemble des partenariats pour le Forum International de la Cybersécurité (FIC) qui a lieu tous les ans à Lille et qui réunit, durant 2 jours, plus de 8500 personnes et quelques 350 entreprises autour des questions de cybersécurité et de défense.

CONTACTEZ-NOUS

Pour toute question ou demande d’informations, veuillez nous contacter par email en utilisant le formulaire du lien ci-dessous
Fermer le menu