00:00 Bonjour et bienvenue dans l'entretien de l'Intelligence économique,
00:07 la mission consacrée aux coulisses de la mondialisation.
00:09 L'Afrique défend son espace numérique comme un cyber-lion.
00:14 Elle rugit face aux attaques de plus en plus nombreuses
00:17 contre ses États, ses entreprises et ses citoyens.
00:21 Pour en parler, je reçois Franck Quiet,
00:23 expert en cybersécurité, fondateur et président du cabinet CyberOps
00:29 et commissaire général du CyberAfrica Forum,
00:32 rendez-vous annuel à Abidjan, Côte d'Ivoire,
00:35 des spécialistes publics et privés de la cybersécurité en Afrique.
00:40 Bonjour Franck Quiet.
00:41 Bonjour M. Lamy.
00:41 Allez dans vos mots, c'est quoi le CyberAfrica Forum ?
00:45 Merci déjà pour l'invitation.
00:46 Alors le CyberAfrica Forum, aujourd'hui c'est l'événement
00:49 et la plateforme de référence en Afrique sur la question de
00:53 sécurité numérique, transformation digitale et cybersécurité.
00:57 Afrique francophone ou toute l'Afrique ?
00:59 Toute l'Afrique, l'Afrique, parce qu'aujourd'hui,
01:01 nous avons effectivement des participants d'Afrique francophone.
01:04 Nous avons aussi des participants d'Afrique anglophone, mais pas que.
01:07 C'est le carrefour aussi où les participants et les entreprises
01:11 qui sont intéressées d'Afrique, mais aussi d'Europe, du Moyen-Orient.
01:15 Nous avons même des participants qui viennent d'Asie et d'Océanie cette année,
01:20 d'Amérique du Nord également, viennent pour se rencontrer.
01:23 Alors vous constatez dans vos études, dans vos observations,
01:26 une augmentation des attaques, des cyberattaques contre l'Afrique.
01:30 Expliquez-nous.
01:32 Cette évolution, elle est claire, elle est nette.
01:34 Non seulement elle est là, les attaques sont de plus en plus sophistiquées,
01:38 mais aussi on remarque qu'elles sont de plus en plus rendues publiques.
01:44 C'est-à-dire que les cyberattaquants n'ont plus peur de s'attaquer
01:47 et de communiquer dessus, mais aussi de le faire surtout vers des institutions
01:51 vers lesquelles ils auraient peut-être eu un peu plus peur dans le passé,
01:54 comme des États ou des gouvernements.
01:56 Ce sont les attaquants qui communiquent sur leurs attaques et pas les victimes ?
01:59 Alors, il y a les deux cas.
02:01 Parfois ce sont les victimes.
02:03 Très souvent, ce sont des attaques qui sont découvertes aussi par des hackers éthiques,
02:06 mais aussi parfois ce sont les attaquants qui communiquent
02:08 pour pouvoir avoir leur enson.
02:10 Sur quoi on attaque l'Afrique ?
02:12 Aujourd'hui, l'Afrique est attaquée principalement sur ses gouvernements,
02:16 donc le secteur public, mais aussi sur ses institutions financières,
02:20 les banques et toutes les entreprises de ce secteur-là.
02:25 Et puis il y a aussi tout ce qui est e-commerce,
02:27 qui sont des plateformes où il y a pas mal de flux financiers qui transitent.
02:30 Les individus, les citoyens eux-mêmes, sont cibles ou pas ?
02:33 Naturellement, ils sont cibles et c'était naturellement la première cible dès le départ.
02:38 On a entendu beaucoup parler de cybercriminalité
02:41 avec le phénomène des brouteurs en Côte d'Ivoire notamment.
02:43 Alors c'est quoi les brouteurs, pardon ?
02:45 Alors les brouteurs, ce sont des cybercriminels
02:48 qui ont fait beaucoup parler d'eux au début des années 2000 en Côte d'Ivoire
02:52 et qui utilisaient, on va dire, un type d'arnaque,
02:54 on appelle l'arnaque au sentiment.
02:56 D'accord.
02:58 Alors, justement, le portrait de ces cyberattaquants,
03:02 est-ce que ce sont les mêmes qu'on trouve dans le monde occidental,
03:06 qu'on peut trouver en Amérique du Haut-Nord, en Amérique du Sud, en Asie ?
03:09 Donc il faut savoir qu'il y a plusieurs catégories et typologies de cyberattaquants.
03:14 On retrouve d'abord le cybercriminel, on va dire, un peu,
03:20 enfin je ne dirais pas au bas de l'échelle, mais voilà,
03:22 qui fait ça un peu pour s'en sortir, les brouteurs dont on parlait typiquement.
03:28 Ensuite, on a des niveaux un peu plus élevés,
03:31 où on a des cybercriminels qui, eux, sont organisés en mafia, justement,
03:36 qui n'est que la transposition dans le monde digital de la criminalité
03:41 qui se retrouve maintenant sur le domaine cyber.
03:43 Et puis on a des groupes qui sont, eux, beaucoup plus établis,
03:46 donc qui sont parfois sponsorisés par des États,
03:49 qui peuvent agir soit pour des raisons économiques,
03:51 soit pour des raisons idéologiques,
03:53 et qui sont soit basés sur le continent, mais aussi ailleurs du continent.
03:58 – C'est ça, mon autre question,
04:00 est-ce que ce sont des cyberattaquants qui sont sur le continent,
04:03 ou est-ce qu'il y en a aussi qui viennent en dehors du continent ?
04:06 – Il y a les deux aujourd'hui, monsieur Lévy.
04:07 – Dans les mêmes proportions ?
04:09 – Alors, je pense que c'est un peu compliqué aujourd'hui
04:11 d'arriver à quantifier le phénomène et d'avoir les proportions exactes.
04:15 Ce qui est sûr, c'est que la cybercriminalité sur le continent africain,
04:18 des échanges qu'on peut avoir avec les différents directeurs
04:21 des agences nationales de cybersécurité,
04:23 restent en tout cas pour le moment, principalement, faites depuis le continent.
04:27 – Alors donc, l'économie numérique en Afrique, d'après un certain nombre d'études,
04:33 c'est à peu près 180 milliards de dollars d'ici 2025,
04:37 c'est quand même un peu plus de 5% du PIB de l'Afrique.
04:40 Qu'est-ce qu'il faut protéger en priorité ?
04:43 Ce que vous dites dans vos études,
04:45 c'est essentiellement quand même le secteur financier.
04:47 – Il faut effectivement protéger le secteur financier,
04:50 mais je pense qu'on ne peut plus faire l'économie
04:52 de ne pas protéger un secteur d'activité en particulier.
04:56 Parce que tous les secteurs aujourd'hui de l'économie numérique sont interconnectés.
05:01 Ce qu'il ne faut pas oublier aussi, c'est que si on protège par exemple une banque,
05:05 du secteur financier, il ne faut pas penser qu'à sécuriser cette banque-là.
05:10 Cette banque-là, dans le système dans lequel aujourd'hui
05:14 travaille avec plusieurs parties prenantes, donc des fintechs,
05:18 travaille avec des émetteurs de solutions de paiement
05:21 et toutes ces entreprises qui font partie de l'écosystème.
05:24 Et donc, si on ne sécurise que la banque,
05:26 toutes ces autres parties prenantes sont aussi des portes d'entrée
05:30 pour pouvoir avoir accès à l'objectif final.
05:33 Donc en fait, elles peuvent servir de backdoor ou de cheval de trois.
05:38 Et donc, toutes les composantes sont importantes et doivent être sécurisées.
05:42 Donc le secteur financier, mais aussi… oui.
05:45 – Pourtant, vous avez une des recommandations que vous faites généralement dans la presse,
05:49 c'est de dire que le secteur financier, il n'y a pas forcément dans chaque banque,
05:54 dans chaque société d'assurance, des spécialistes
05:57 des systèmes de sécurité des informations.
06:00 C'est toujours le cas en Afrique ?
06:02 – Oui, c'est le cas.
06:03 – Donc vous appelez à des créations de départements ?
06:06 – Aujourd'hui, c'est déjà le cas.
06:07 Dans la plupart des banques, je pense même que la plupart du temps,
06:10 ce sont des exigences réglementaires.
06:12 Donc les banques sont obligées d'avoir ces spécialistes-là
06:15 pour mettre en place un certain type de réglementation.
06:18 Le secteur financier est une des activités qui est, je ne dirais pas le plus,
06:23 mais qui est quand même assez réglementée,
06:25 où il y a pas mal de réglementations.
06:26 Les banques centrales en mettent pas mal,
06:30 les grands groupes aussi le font généralement.
06:33 Donc c'est quelque chose qui se fait déjà,
06:35 mais il faut justement que tout l'écosystème soit concerné
06:38 par cette, je ne dirais pas, mise à niveau, mais par ces mesures-là.
06:43 – Alors l'écosystème, on en vient, je crois, mais c'est un chiffre qui circule,
06:49 qui est à peu près 4 milliards de dollars par an
06:52 mis dans la cybersécurité en Afrique.
06:55 Largement suffisant ?
06:56 – Alors ce chiffre-là n'est pas l'argent mis,
06:59 mais plutôt les pertes estimées.
07:01 – Ah, les pertes estimées ?
07:02 – Oui, le coût estimé de la cybercriminalité en Afrique.
07:04 Mais qui dans tous les cas, comme vous venez de le dire,
07:06 reste pour moi, je pense, estimé, parce que c'est juste une estimation.
07:10 Je pense qu'il y a beaucoup de cyberattaques,
07:12 beaucoup de cybercrimes qui ne sont pas aujourd'hui relevés,
07:16 qu'on ne peut pas encore vraiment quantifier.
07:19 Soit parce qu'on n'a pas eu la possibilité de le faire,
07:21 soit parce que les personnes qui en sont victimes ne les déclarent pas non plus.
07:25 Et donc je pense que c'est un chiffre qui serait amené à…
07:29 – À minima.
07:30 – À minima, oui.
07:30 – Alors l'écosystème, est-ce qu'il y a un parfait entente,
07:34 un parfait travail entre les États et le monde privé
07:38 pour sécuriser le numérique africain ?
07:41 – Je pense qu'aujourd'hui, on commence à aller vers cela.
07:45 Le Cyber Africa Forum est justement la plateforme
07:47 pour permettre à ces différents acteurs de se rencontrer,
07:51 de pouvoir se parler, de pouvoir mieux se connaître
07:53 et de pouvoir surtout prendre des actions concrètes
07:56 pour aller vers plus de sécurité sur le continent.
07:58 – Manque de moyens ?
08:00 Ce nom est très bûchant ou pas ?
08:01 D'abord, volonté, ok.
08:03 – Forcément.
08:04 – Moyens ?
08:04 – Forcément, forcément, forcément,
08:06 c'est pour ça qu'on promeut principalement le mode de partenariat,
08:10 parce qu'on ne peut rien faire seul,
08:11 et qu'une mutualisation des moyens, une mutualisation des ressources
08:15 et une mutualisation surtout des talents
08:17 permettrait de pouvoir résoudre ce problème.
08:20 – Et ces moyens, ils peuvent être trouvés en Afrique ?
08:22 Ou alors on a besoin là, pour le coup, d'aider les Africains là-dessus ?
08:27 – Alors je pense que ces moyens peuvent être trouvés en Afrique.
08:30 Après, naturellement, comme on est dans un monde dématérialisé
08:35 et une économie globalisée, on aura besoin de tout le monde,
08:39 mais il faut, à mon avis, que la stratégie et la façon de penser et de faire
08:44 soient faites par des Africains,
08:45 et en s'appuyant naturellement sur la coopération internationale
08:49 des partenaires qu'on peut avoir.
08:50 – Alors là, vous touchez un point important,
08:52 c'est que beaucoup des systèmes de protection informatique
08:57 de certains nombres de pays africains sont collés à l'école française de protection.
09:03 Est-ce que vous n'êtes pas sous influence quand même là de l'approche française ?
09:07 – Je ne pense pas, c'est peut-être qu'une façon de voir…
09:10 – La plupart des pays francophones africains sont liés ?
09:13 – Oui, ils le sont, ils le sont effectivement.
09:16 Après, ce qu'il ne faut pas oublier, c'est que,
09:18 même si la plupart des pays africains le sont,
09:21 dans la réalité des faits, beaucoup de pays travaillent déjà
09:24 avec des acteurs d'autres pays qui ne sont pas forcément la France.
09:28 Je ne pense pas qu'il y ait une influence particulière,
09:31 c'est vrai que c'est un modèle qui a été peut-être répliqué
09:35 au vu de nos liens historiques, c'est un modèle aujourd'hui,
09:38 en France en tout cas, qui marche plutôt bien.
09:41 Donc pour moi, si un modèle marche bien, je n'ai pas de problème à le répliquer.
09:45 – Oui, c'est le modèle de l'Agence nationale de sécurité
09:48 et de système d'information, l'ANSI,
09:50 qui est un peu répliqué dans l'Afrique francophone.
09:52 – C'est exactement ça.
09:52 – Ce n'est pas le cas dans l'Afrique anglophone ?
09:54 – L'Afrique anglophone a un modèle à peu près un peu différent,
09:58 ils ont aussi des agences nationales de cybersécurité
10:00 qui s'appellent différemment naturellement,
10:02 mais qui restent sensiblement similaires.
10:05 – Une dernière question concernant la cohérence de l'ensemble de l'Afrique.
10:10 Il y a eu une convention de Malabo en 2014 pour essayer de travailler ensemble
10:13 sur la réglementation de la protection cyber,
10:17 est-ce que ça avance là aussi,
10:18 est-ce qu'il y a une cohérence dans l'ensemble de l'Afrique ?
10:20 – Je pense que la réponse malheureusement est un peu dans la question,
10:23 elle date de 2014 cette convention.
10:25 – Et elle a été peu ratifiée.
10:26 – Voilà, donc elle a été peu ratifiée aussi,
10:29 donc je pense qu'il faudrait aller vers une nouvelle convention
10:33 qui serait déjà mise à jour avec toutes les nouvelles évolutions technologiques
10:38 que nous avons aujourd'hui, mais aussi et surtout
10:41 qui serait axée sur des points principaux,
10:45 qui permettraient aux États d'aller rapidement vers l'adoption
10:48 et la ratification de cette convention-là,
10:50 avant d'aller vers quelque chose de plus engageant dans le futur.
10:53 Parce que si on part à mon avis sur une convention
10:56 qui dès le départ est beaucoup trop engageante,
10:58 embarquer 54 pays avec leurs spécificités, avec des langues différentes,
11:02 avec des systèmes et d'autres différences qui font en réalité notre force,
11:07 il me paraît assez compliqué d'arriver à un consensus.
11:09 – Merci beaucoup Franck Quillet pour vos réponses.
11:12 L'entretien de l'intelligence économique est terminé,
11:14 vous pouvez évidemment retrouver cette émission sur france24.com,
11:17 sur nos réseaux sociaux et sur nos podcasts.
11:20 Au revoir.
11:21 [Musique]
11:27 [Musique]
11:28 – La culture, c'est tous les jours sur France 24.
11:32 Retrouvez l'actualité artistique avec Louise Dupont, Sonia Patricieli
11:35 et toute l'équipe culture de France 24.
11:38 Des interviews avec des personnalités et stars de premier plan,
11:41 mais aussi les conseils série et cinéma de Nina Masson et Thomas Borez.
11:45 Et enfin l'Odyssia avec son fleurilège de nouveautés culturelles africaines.
11:50 – Retrouvez toute l'équipe de "À l'affiche" tous les jours
11:53 pour un concentré d'actualités culturelles.
11:55 [Générique]
Commentaires