« La cybersécurité, une priorité en Afrique. » Vraiment ? C’est en tout cas l’une des conclusions du baromètre du Club d’experts de la sécurité de l’information en Afrique (Cesia), publié le 24 février 2023.
Pour sa troisième édition, cette étude d’opinion annuelle fait un état des lieux cyber très encourageant : à peine plus d’une organisation sur deux en Afrique (56%) a déclaré avoir subi au moins une cyberattaque en 2022, contre 64% en 2021.
Si le Cesia en conclut que « les cyberattaquants maintiennent leur cadence », le rapport note aussi, optimiste, que « cette légère baisse démontre la prise de conscience des enjeux liés à la cybersécurité par les organisations africaines, mais surtout les efforts consentis qui portent leur fruit ».
Après les cyberattaques subies ces derniers mois par l’Autorité de régulation des télécommunications et des postes (ARTP) sénégalaise, la Sonatel, les Forces armées ivoiriennes, la filiale malienne de Bank of Africa et, la semaine dernière, la startup Flutterwave, on est en droit de se demander si ce rapport reflète bien la réalité…
You may have recently heard some claims on Flutterwave's security. We want to assure you that Flutterwave has not been hacked, and no customer funds were lost.
— Flutterwave (@theflutterwave) March 5, 2023
Thank you for choosing us 🦋
Read more here 🙏🏾: https://t.co/a27ZIy0w1k pic.twitter.com/o3KfChucJ9
Mais il y a mieux : d’après le rapport du Cesia, les organisations africaines prennent la mesure des enjeux cyber. Pour preuve, un plan de gestion de la cybersécurité est de plus en plus mis en place (dans 69% des entreprises en 2022 contre 63% en 2021).
Attention, toutefois : dans l’esprit du Cesia, la « gestion de la cybersécurité » renvoie à des mesures relativement basiques, qui devraient probablement être des acquis : sauvegardes sécurisées des systèmes d’information, solutions de sécurité (antivirus, pare-feux…) ou encore sécurisation des accès distants et des authentifications.
En revanche, nuance le rapport, « comme chaque année, très peu d’entreprises [africaines] disposent d’un programme de cyber-résilience (17% en 2022 contre 15% en 2021), [et la plupart] n’ont toujours pas recours aux solutions innovantes issues des startups, pointant en majorité (46%) le manque de maturité et la pérennité des offres et le manque de budget ».
Sur ce dernier point, le rapport note l’un des rares effets bénéfiques de la pandémie : « pour environ 40% des entreprises, le budget de la cybersécurité a augmenté à la suite de cette crise sanitaire. »
Trop confiants face au risque cyber
Le bas blesse, cette année plus que jamais, dans la gestion humaine de la cybersécurité par les organisations africaines. Moins d’entreprises disposent d’un plan annuel de sensibilisation (47%) que l’année précédente (61%). Pour autant, 71% d’entre elles considèrent tout de même que les salariés sont bien sensibilisés aux risques cyber.
Ce dernier chiffre reflète peut-être le fossé qui sépare la perception de la cybersécurité par les personnes interrogées et la réalité de la cyber-maturité de leurs entreprises.
Les dénégations de l’ARTP sénégalaise et, plus récemment, de Flutterwave, dans un but de rassuré leurs administrés ou clients, après que des chercheurs professionnels en sécurité ont confirmé les cyberattaques dont ces organisations ont été victimes, montrent tout du moins qu’il existe une incompréhension de ce qu’est une cyberattaque – et par extension d’une bonne communication de crise cyber – de la part de certains individus.
Et pour cause, le rapport du Cesia semble montrer, en creux, que toutes les entreprises interrogées ne possède pas de responsable de la sécurité des systèmes d’information (RSSI), poste-clé dans la gestion opérationnelle de la cybersécurité.
A noter qu’une autre étude, le 2023 African Cyberthreat Report de l’éditeur de cybersécurité KnowBe4, réalisée fin février dans huit pays africains, principalement anglophones, montre que seulement 30% des entreprises interrogées sont inquiètes du risque cyber – un résultat qui tend à également à pointer vers une méconnaissance du sujet, tant le risque cyber devrait être dans les esprits des décideurs.
C’est pourquoi le Cesia recommande de généraliser la désignation d’un RSSI à tous les secteurs d’activités. « Par ailleurs, si 31% des RSSI sont encore rattachés à la Direction des systèmes d’information (DSI), ils demeurent très opérationnels. Face à la sophistication des cyberattaques et aux conséquences de plus en plus importantes pour les entreprises, le référent sécurité devrait se focaliser sur l’organisation et l’animation de la sécurité au sein de son entreprise, » argue le Cesia.
Enfin, le baromètre recommande également « la mise en place d’un plan de cyberrésilience validé et testé régulièrement, [qui] intègre un plan de gestion de crise, de communication et de continuité d’activité. »
Pour cette troisième édition du baromètre de la sécurité en Afrique, le Cesia a interrogé, via un formulaire en ligne, 350 personnes dans 21 pays, dont 80% de décideurs et 20% de consultants en sécurité, du 1er décembre 2022 au 15 janvier 2023.