Existe-t-il aujourd’hui de réelles opportunités de marché de cybersécurité autant en Afrique que dans le reste du monde ?
Bien sûr qu’il existe beaucoup d’opportunités. Et je pourrais dire qu’au Canada ou aux Etats-Unis, il y a des opportunités. Mais, en Afrique, elles sont multipliées par cent voire mille, dans tous les secteurs. Que ce soit le secteur de la santé, ou le secteur industriel, il y a tellement d’opportunités.
La compagnie américaine MGM Grand, qui est une super chaine mondiale, a été victime d’une cyberattaque en 2023, et elle a perdu 100 millions de dollars. Doit-on déduire qu’aucune nation au monde n’est à l’abri de ce fléau ?
Personne n’est à l’abri de cyberattaques. Et quelle que soit la force de la compagnie, même si vous mettez beaucoup d’investissements dans la société – vous pouvez investir des milliards pour la sécurité –, mais si vous n’avez pas pensé à la formation de vos employés, un seul employé peut vous faire tomber.
L’Afrique est souvent présenté comme le maillon faible dans ce domaine. Doit-on comprendre que les investissements dans ce continent sont particulièrement vulnérables aux cyberattaques ?
Oui. L’Afrique est vulnérable aux cyberattaques parce que beaucoup de choses ne sont pas encore en place. A commencer par l’éducation des utilisateurs. Quand je dis éducation, ça ne veut pas dire aller à l’école. Ça veut dire être au courant que les attaques existent, parce qu’il y a des gens qui, jusqu’aujourd’hui, croient que les attaques n’existent pas, que ce sont des « on dit ». Donc on commence d’abord par éduquer les gens en leur disant : « sachez qu’il y a des attaques autour de vous ». Lorsqu’on passe maintenant à un autre stade, est-ce qu’il y a des infrastructures ? Il faut savoir ça. Est-ce que nous avons l’expertise pour nous équiper et pour contrer ces attaques ? L’Afrique est toujours en arrière à ce stade-là, malheureusement. Mais on est en train de travailler pour essayer de diminuer ce fossé. C’est pour ça que nous avons créé Africa CyberSec pour essayer de diminuer ce fossé qui existe entre l’Afrique et les autres continents.
On sait que les cybercriminels, aujoud’hui, rivalisent de plus en plus d’ingéniosité, recourent à des moyens sophistiqués pour opérer. Quels sont les principaux types de cyberattaques contre les entreprises que vous avez répertoriés ?
Ce n’est pas seulement en Afrique que ces gens-là attaquent. C’est dans le monde entier. C’est un fléau. Et quand aujourd’hui on parle de Ransomware (c’est-à-dire que quelqu’un a pris le contrôle de la société et il est en train de demander une rançon que l’entreprise doit lui verser afin qu’il puisse donner à la compagnie la possibilité d’accéder à nouveau à ses données), ces Ransomware, 95% commencent comme des Phishing. Donc vous voyez, ce n’est pas seulement en Afrique. C’est partout. Mais en Afrique en particulier, bien sûr, parce que, malheureusement, on n’a pas beaucoup de gens qui sont éduqués ou informés, on a des gens qui sont ignorants, et qui tombent dans ces pièges sans le savoir.
Existe-t-il d’autres modes opératoires que vous n’avez pas évoqués ?
Oui, c’est le cas par exemple du Whaling. C’est-à-dire qu’on vise l’exécutif d’une entreprise, comme les présidents directeurs généraux (PDG), les directeurs généraux (DG). Et puis ces gens, on peut les connaître facilement sur les médias sociaux. Si par exemple un criminel a connu un PDG de telle compagnie, ce criminel peut attaquer ce PDG si celui-ci n’est pas bien sécurisé. Une fois qu’on l’a attaqué, le criminel va se faire passer pour ce PDG. Imaginez-vous, si vous êtes comptable d’une société et vous recevez un message du PDG vous demandant de verser tel montant à tel endroit. Par défaut, vous allez exécuter. Mais derrière ce n’est pas le PDG, c’est un criminel qui a pu attaquer le PDG. Oui, ces modes d’attaque, c’est grave en Afrique. On n’a pas encore l’expertise des gens qui sont vraiment à la hauteur. Il en existe, mais ce n’est pas assez.
Conseilleriez-vous aux responsables des sociétés africaines d’investir autant dans la cybersécurité qu’ils le font pour tous les autres segments de leur entreprise ?
Ils doivent investir beaucoup de ressources dans ce domaine. Parce qu’il ne suffit pas seulement d’investir par exemple dans la communication. Oui, c’est bien de faire la communication, surtout quand on fait le marketing. Mais il faut aussi investir dans les ressources, la sécurité. Parce que, à la fin de la journée, c’est la sécurité qui compte pour que vous continuiez à offrir vos services.
Quels services offrez-vous à Africa CyberSec ?
Nous offrons trois catégories de services. La première catégorie ce sont des services de consultation. On donne des conseils à des compagnies. Le deuxième service que nous offrons, c’est l’anti phishing. Comme je l’ai dit, 95% de Ransomware commencent par le Phishing. Nous offrons le service anti Phishing pour combattre ce fléau. Et le troisième type de service que nous offrons, c’est l’académie. Nous formons à partir de zéro parce que nous savons qu’il y a un fossé entre notre continent et les autres, on n’a pas d’expertise. Donc on essaie de convaincre ceux qui ne sont pas de la cybersécurité à se convertir, la finalité étant d’augmenter vraiment le nombre d’expertise en Afrique.
Avez-vous l’impression que les investisseurs africains comprennent votre message, et donc la nécessité d’investir autant dans la cybersécurité que dans d’autres segments de leur entreprise ?
Malheureusement jusque-là, notre message n’est pas encore compris. On y travaille et on a l’espoir que bientôt ils vont finir par comprendre. Jusque-là, ils n’ont pas encore vraiment compris l’enjeu ou le bien-fondé. Pourtant le besoin est là.
Quel conseil donneriez-vous finalement à l’Afrique, aux entreprises et aux investisseurs de ce continent ?
Le dernier conseil est qu’il faut qu’on essaie de mettre beaucoup d’investissements dans la cybersécurité. Et ce message ne s’adresse pas seulement en fait aux compagnies, ça s’adresse aussi aux individus. Quand je suggère aussi aux individus d’investir, ça ne veut pas dire qu’ils doivent mettre de l’argent, mais qu’ils doivent s’informer. Parce que lorsque nous sommes ignorants, nous sommes déjà abattus. Donc l’investissement individuel, c’est s’informer, et l’investissement des compagnies, c’est mettre de l’argent, ou bien mettre des ressources. Ça permet d’arrimer les gens qui peuvent, ou bien de se rapprocher des conseillers, des experts pour se faire au moins accompagner. C’est très important aujourd’hui.
Ça veut dire qu’aujourd’hui, quand on crée une société, on doit penser au budget dédié à la sécurisation des données ?
C’est exactement ça, parce qu’aujourd’hui tout se fait en ligne. Beaucoup de choses se font en ligne. Donc quand on dit en ligne, ça veut dire que c’est public. Or, vous n’êtes pas maître de ce public. Donc il est important de sécuriser au moins là où vous avez accès. En votant un budget, pensez toujours à un budget dédié à la cybersécurité.
Propos recueillis par Théodore Tchopa