L’Afrique, prochain Eldorado du cyberespace ?

« L’utilisation d’Internet en Afrique a bondi de 23 % entre 2019 et 2021 », relève l’ONG Internet Society. Une croissance fulgurante qui induit une croissance des besoins en cybersécurité. Pour en savoir plus ce marché à la fois prometteur et complexe, inCyber a interrogé Franck Kié et Clément Rossi. Le premier est Commissaire général du Cyber Africa Forum (CAF), le salon de référence de la cyber sur le continent, dont la troisième édition se tiendra les 24 et 25 avril 2023 à Abidjan, en Côte d’Ivoire. Le second est directeur des partenariats et relations extérieures du FIC (Forum international de la cybersécurité), l’un des partenaires du CAF. Regards croisés.

Internet est en pleine croissance en Afrique. Pouvez-vous dresser un état des lieux de ce marché ?

Franck Kié : L’Afrique est un marché en plein boom, qui est passé directement à la 4^e révolution industrielle, celle des usages numériques et mobiles. On le voit au niveau du Cyber Africa Forum : entre la première et la troisième édition, le nombre de partenaires et leur niveau d’engagement ont considérablement augmenté.

Ensuite, les taux de pénétration sont assez hétérogènes, mais de plus en plus de pays ont un accès facile à Internet, notamment grâce aux câbles côtiers et aux infrastructures que des opérateurs mettent en place.

Clément Rossi : On constate une progression très forte au niveau de l’Internet mobile. L’Afrique est déjà très en pointe au niveau des usages mobiles, des micropaiements, de l’identité numérique. Mais on voit aussi un rattrapage de la transformation numérique des organisations et des entreprises. Tout cela est tiré par l’essor de l’économie de services. Les plus gros secteurs pour la cybersécurité restent le bancaire, les assurances et les infrastructures critiques.

Constate-t-on une croissance du nombre des acteurs locaux dans l’Internet et la cyber ?

Franck Kié : Oui, absolument, on en a de plus en plus, que ce soit en Afrique subsaharienne, en Afrique du Nord, en Afrique francophone ou anglophone. Nous arrivons d’ailleurs à attirer au CAF de plus en plus d’acteurs anglophones qui cherchent à s’implanter sur de nouveaux marchés.

Clément Rossi : De plus, il existe une vague de personnes qui se sont formées et ont travaillé en Europe ou aux États-Unis et qui reviennent en Afrique. Elles participent à la transformation numérique du continent. Ce sont des personnes qui montent des entreprises locales, qui développent des solutions et des partenariats dans les domaines du conseil, de l’intégration, de la vente, du cyber…

Quelles sont les spécificités du marché de la cybersécurité en Afrique ?

Franck Kié : L’un de nos défis majeurs reste la cybercriminalité. L’un des premiers axes dont nous avons discuté avec Clément Rossi a été de créer des ponts entre différents écosystèmes pour renforcer cette lutte contre le cybercrime. Par ailleurs, trouver certaines compétences reste encore assez compliqué. D’une façon générale, en termes de gouvernance, de réglementation, de structures, de stratégies de cybersécurité, il reste encore beaucoup à accomplir.

Clément Rossi : Nous sommes passés d’une cybercriminalité contre les particuliers, qui opérait de l’Afrique vers l’Europe, à une cybercriminalité globale qui vise les organisations, les entreprises et les États africains. Ils sont victimes de cyberattaques comme le reste de l’économie mondiale. Le deuxième changement, c’est la montée en puissance des États. Au moins 70% d’entre eux ont au moins formalisé une stratégie nationale de cybersécurité.

Enfin, il faut encore faire beaucoup de sensibilisation, notamment des grands dirigeants, qui doivent apprendre les enjeux numériques. Ce sont souvent de grosses affaires qui permettent ces prises de conscience, comme ces entreprises de logistique qui ont été victimes de ransomwares assez virulents. Alors c’est « stupeur et tremblements », la sidération face à l’événement avant la réaction qui permet de corriger le tir.

Quels sont les secteurs et les pays qui sont à la pointe dans ces domaines ?

Clément Rossi : Le secteur bancaire, qui obéit à des règles prudentielles internationales ou régionales qui imposent des standards en termes de cybersécurité. Depuis dix ans en Europe, il y a eu un travail réglementaire et législatif, notamment autour de la notion « d’opérateur d’importance vitale », qui oblige les services essentiels à mettre en place des mesures de cybersécurité. On voit par là que la réglementation peut aider le marché de la cybersécurité à éclore et prospérer. Des réflexions similaires existent en Afrique, mais elles ne sont pas encore mises en application.

Franck Kié : La Côte d’Ivoire a une loi sur la protection des données personnelles et une autre sur la lutte contre la cybercriminalité, depuis 2013. Récemment, le gouvernement a annoncé la création d’une agence nationale de cybersécurité au Bénin. Il y en a déjà une au Togo et en Afrique centrale. La République démocratique du Congo vient d’adopter une stratégie nationale de cybersécurité. Je pense que les pays comme l’Afrique du Sud, le Rwanda, le Maroc, la Côte d’Ivoire, le Bénin ou le Togo sont les pays qui prennent le leadership sur ces questions avec la réglementation, la structure de gouvernance et les investissements adaptés.

Comment s’effectue l’articulation entre les secteurs public et privé dans ces politiques de cybersécurité ?

Franck Kié : Cela va dans les deux sens. Le secteur public prend le leadership sur la réglementation, la gouvernance, la protection et la sensibilisation. J’ai organisé pour l’Autorité de régulation des télécoms de Côte d’Ivoire des actions de sensibilisation dans le domaine de la cybersécurité avec l’aide du secteur privé. Aujourd’hui, on était à l’association des professionnels de banque, des établissements financiers de Côte d’Ivoire et de la même façon, ils demandent à avoir de l’accompagnement, du soutien, de l’information, de la sensibilisation de la part du secteur public. Je suis plutôt satisfait de la dynamique qui se crée sur le continent.

L’UE est-elle un partenaire important de l’Afrique ou a-t-on plus affaire à des partenariats bilatéraux entre pays européens et pays africains ?

Clément Rossi : Il y a des actions bilatérales, évidemment. Citons la France qui a ouvert à Dakar une ENVR (école nationale à vocation régionale) spécialisée dans la cybersécurité, à destination des décideurs régionaux. Je pense aussi à l’Anssi, qui a invité des stagiaires à venir se former et a noué des accords de partenariat et d’échanges.

L’UE est le premier bailleur international des pays africains, avec ses programmes de coopération et de développement. On y retrouve ceux consacrés à la transformation numérique, à la modernisation des services publics, etc., dans lesquels figurent la gouvernance, les équipements et la cybersécurité.

Une entraide se met aussi en place entre gendarmeries dans la lutte anti-cybercriminalité. À ce propos, le FIC a tissé un partenariat avec Francopol : on organise des réunions pour partager les retours d’expérience, les bonnes pratiques entre entités spécialisées dans le cybercrime. Et bien sûr, la coopération judiciaire se développe au sein de l’Afrique comme avec les autres zones géographiques. Par exemple, des « brouteurs » ivoiriens ont été arrêtés au Sénégal à la demande des autorités ivoiriennes.

Enfin, au niveau économique, même si de grands acteurs sont présents en Afrique, on constate que ce marché ne fait pas encore partie des priorités pour les sociétés françaises. Le partenariat entre le CAF et le FIC contribue à changer cela en montrant qu’il y a un marché, des clients et que l’on peut assurer la pérennité du développement des sociétés françaises en Afrique avec le soutien de partenaires locaux.

Un autre volet de coopération vital est celui des compétences et ressources humaines. Il y a des écoles, notamment françaises, qui ont monté des succursales. Je pense notamment à l’EPITA, qui a monté des partenariats avec des universités africaines ou implanté des campus là-bas.

Ces coopérations s’inscrivent dans le cadre de la rivalité entre la Russie, la Chine, les États-Unis, certains pays européens… Sur le continent africain. A-t-elle une influence sur le développement des marchés cyber ?

Franck Kié : Il y a forcément une corrélation entre la géopolitique et les marchés dans lesquels les pays concernés sont impliqués, mais ce n’est pas automatique et cela dépend aussi du niveau de maturité du pays. La Côte d’Ivoire, par exemple, est plutôt francophone avec une forte influence française, mais des opérateurs d’autres pays arrivent à s’implanter. L’influence d’un État ne définit pas forcément l’importance du pays sur les marchés cyber et Internet. La compétition entre entreprises reste vive, quel que soit le contexte géopolitique.

Dans cette lutte d’influence, les pays européens et notamment la France semblent à la traîne. Cela se traduit-il par des difficultés particulières pour leurs entreprises ?

Franck Kié : Pas forcément. Il existe un leadership clair de certains pays, comme les États-Unis, la Chine ou Israël. Il existe en revanche de très bons opérateurs européens ou français qui n’ont peut-être pas la même force de frappe sur le continent, mais qui arrivent à proposer des solutions extrêmement pointues dans certains domaines d’activité.

Clément Rossi : C’est variable suivant les secteurs. Pour les services, l’analyse de risque, etc., on n’est pas encore sur de grands contrats de supervision de cybersécurité, mais cela évolue progressivement, surtout dans les entités les plus matures, comme les banques. Ensuite, il existe plus d’opportunités pour les solutions qui apportent de la valeur et qui sont assez simples à déployer, comme les communications sécurisées. Ces solutions « quick win » ont le vent en poupe.

Je pense aussi à des figures qui émergent comme Clément Domingo, qui illustre la problématique du bug bounty : développer des communautés pour faire baisser les vulnérabilités. C’est un vrai enjeu, à la fois parce qu’il comprend un volet RH d’animation et de structuration de communautés cyber et parce que cela répond à de vrais besoins. Je pense que ces plateformes ont un grand avenir en Afrique.