La cybersécurité démarre en Afrique

L’Union Internationale des Télécommunications vient de publier son rapport annuel 2015 sur la société de l’information dans le monde , où elle intègre un indicateur sur la cybersécurité, dont la conception est inspirée de son rapport de 2014 ,  et qui est composé de 5 grands domaines :
•    le cadre légal avec la législation et la mise en œuvre des mesures votées ;
•    les mesures techniques aves la création d’un CERT, d’un référentiel national de sécurité approuvé par le gouvernement pour ce qui concerne les normes applicables et la politique de certification ;
•    l‘organisation de la cybersécurité, incluant une politique, un plan d’actions, une agence responsable, une mesure de la situation ;
•    le développement de compétences nationales en matière de cybersécurité et une agence de certification ;
•    une coopération internationale pour lutter contre la cybercriminalité.
A la lecture du rapport, il apparaît  que l’Afrique est en retard sur les autres continents, avec un niveau de sécurité généralement inférieur à la moyenne mondiale.



C’est bien ce que disait la Commission économique de l’Afrique (UNECA), dans sa note sur la Cybersécurité en Afrique  « Relever les défis de la cybersécurité en Afrique », où elle exposait en 2014 :
-    au niveau national, il importe de créer ou de renforcer les lois sur la cybersécurité et le développement de la coopération internationale en matière de police et de justice ;
-    au plan panafricain, il importe de faire converger les règlementations nationales en matière de cybersécurité, comme nous le verrons dans la recommandation relative aux organisations non gouvernementales ;
-    il importe de créer un ou plusieurs centre de ressources travaillant en réseau sur la cybersécurité, à l’exemple de l’ENISA en Europe, avec les CERT  africains et le futur centre de recherche sur la cybersécurité de Bassam, porté par le ministère de l’Intérieur ivoirien.
Depuis lors, une partie significative des pays africains ont signé la convention de l’Union africaine sur la cybersécurité, dite convention de Malabo , sur la cybersécurité et la protection des données à caractère personnel.






Celle-ci vise à « renforcer et harmoniser les législations actuelles des Etats membres et des Communautés Economiques Régionales (CER) en matière de TIC », dans le respect des libertés fondamentales et des droits de l’Homme et des Peuples. Elle vise également à créer « un cadre normatif approprié correspondant à l’environnement juridique, culturel, économique et social africain » et souligne que la protection des données personnelles et de la vie privée est un « enjeu majeur de la société de l’information » ; tout traitement de données personnelles doit respecter un équilibre entre libertés fondamentales, promotion et usage des TIC, intérêts des acteurs publics et privés.
En novembre 2015, une note stratégique de CEIS « L’essor du  Numérique en Afrique de l’Ouest ;  entre opportunités et cyber menaces »  dresse un bilan pour l’Afrique de l’Ouest autour des trois titres suivants : des pratiques cybercriminelles en augmentation  ; la mise en place progressive de législations ; la coopération pour accompagner le développement des politiques de cybersécurité.
J’en déduis, en accord avec les auteurs, qu’il y a des opportunités pour les entreprises françaises dans la sécurité et la confiance numérique en Afrique. J’ajouterais en outre qu’elles auraient tout à gagner de partenariats Nord-Sud, mais je démontre rai ce point dans un autre article.

Alain Ducass, ingénieur général des mines,
expert de la transformation numérique de l’Afrique.



[1] https://www.itu.int/en/ITU-D/Statistics/Documents/publications/mis2014/MIS2014_without_Annex_4.pdf

[2] UIT  « En quête de la cyber confiance », novembre 2014, http://www.itu.int/dms_pub/itu-s/opb/gen/S-GEN-WFS.02-1-2014-PDF-F.pdf

[3] Idem, p. 29.

[4] Commission économique des Nations Unies pour  l’Afrique “Tackling the challenges of cybersecurity in Africa », http://repository.uneca.org/bitstream/handle/10855/22544/b11079411.pdf?sequence=1 NTIS/002/2014,

[5] En sécurité informatique, il existe des organismes officiels chargés d'assurer des services de prévention des risques et d'assistance aux traitements d'incidents. Ces CERT (Computer Emergency Response Team) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous.

[6] http://www.cdp.sn/index.php?option=com_content&view=article&id=202:convention-de-l-union-africaine-sur-la-cyber-securite-et-la-protection-des-donnees-a-caractere-personnel&catid=111&Itemid=1323

[7] Charlotte Gonzales et Julien Dechanet, novembre 2015.