08/04/2019 14h:45 CET | Actualisé 08/04/2019 14h:45 CET

Thierry Delville: "La cybersécurité est au cœur des enjeux de la transformation des sociétés" (ENTRETIEN)

Piratage, ingérence espionnage... "Il est illusoire de croire que, dans le domaine cyber, le risque zéro est atteignable".

sarayut via Getty Images

Avec le développement rapide des services et objets connectés, les paradigmes informatiques ont subi une transformation importante. De nombreux industriels ont accéléré l’innovation tout en laissant de côté la protection de ces progrès technologiques. Résultats: des brèches considérables se sont ouvertes pour les cybercriminels qui, aujourd’hui encore, ont l’ascendant sur les défenseurs du monde interconnecté dans lequel nous vivons. Ils peuvent atteindre n’importe qui, n’importe où et à n’importe quel moment, renverser cette tendance devient capital et urgent. Thierry Delville, ancien délégué aux industries de sécurité et à la lutte contre les cybermenaces au ministère de l’Intérieur en France et désormais associé Cyber Intelligence chez PwC France et Afrique francophone, nous livre son avis sur les grands défis et les tendances cyber en Afrique pour 2019 ainsi que pour les années à venir.

DR
Thierry Delville, associé Cyber Intelligence chez PwC France et Afrique francophone, ancien délégué aux industries de sécurité et à la lutte contre les cybermenaces au ministère de l’Intérieur en France.

Quelle analyse générale faites-vous du cyberrisque en Afrique en 2019?

Le risque cyber en Afrique est important dans les zones où le digital s’est développé. On évoque souvent l’effet disruptif de l’arrivée d’une technologie qui s’impose rapidement en faisant un saut qui, en Europe ou dans d’autres parties du globe, correspondrait à l’aboutissement d’une évolution sur plusieurs générations de technologies. Ces basculements sont ressentis comme autant d’avancées mais n’intègrent pas, la plupart du temps, le précepte du “security by design”. Le risque est alors grand de voir de nouveaux détournements des usages à des fins criminelles se développer.

D’une manière générale, en Afrique, la connaissance du risque cyber est aujourd’hui dans le radar des responsables publics et privés. Mais on voit bien que le sujet appelle encore un important travail au sein de la société (éducation, formation) et une gouvernance à affirmer au niveau des Etats mais aussi des acteurs économiques. Il est important aussi que l’Afrique se dote au niveau des organisations panafricaines des instances de réflexion et de régulation capables de peser sur les évolutions cyber à venir (législation, certification, coopération technique et juridictionnelle, etc.).

Chaque année, comme partout ailleurs dans le monde, le nombre de cyberattaques se multiplie sur le continent africain. Comment la défense doit-elle s’organiser face à ce phénomène?

En Afrique comme ailleurs, la défense est un sujet complexe tant il est illusoire de croire que, dans le domaine cyber, le risque zéro est atteignable. Il faut savoir anticiper le fait que l’on sera attaqué et faire en sorte de circonscrire l’impact pour éviter de mettre son organisation en grave danger. La “course à la hauteur des barrières de protection” n’est donc pas la réponse adaptée si l’on n’a pas pris en compte la dimension humaine (sensibilisation, formation, entraînement, etc.) ainsi que la dimension organisationnelle (gouvernance, répartition des risques, identification de la criticité et la sensibilité des informations, etc.).

Lorsque l’on parle de cybersécurité, un autre point majeur du changement de paradigme est lié au fait que jusqu’à présent, on attendait à peu près tout de l’Etat dans le champ de la sécurité physique. Avec la cybersécurité, la place de l’Etat évolue: il régule, il intervient plus rarement mais il garde son rôle de contrôle le cas échéant (pour les opérateurs sensibles notamment). En revanche, concernant la réponse sur la protection cyber, l’anticipation ou encore la veille permanente, tout cela est aux mains de structures privées. Pour aller encore plus loin dans cette capacité à se protéger, il est essentiel d’avoir de bons prestataires mais surtout d’échanger avec les bons partenaires. Et sur ce point, la collaboration entre les acteurs publics et privés africains, mais aussi privés entre eux, devient fondamentale.

Justement, où en sommes-nous aujourd’hui en matière de collaboration Etats-Etats, Etats-entreprises et entreprises-entreprises?

Elle est extrêmement variable d’un pays à un autre. Ce type de collaboration n’a pas forcément attendu le cyber pour se développer et il y a des pays africains où le partage d’informations entre le public et le privé est naturel voire fortement encouragé.

En Europe, par exemple, il y a différents modèles d’organisation de la cybersécurité qui ne sont pas pilotés de la même façon en Allemagne, en Angleterre ou en France. Si on se penche sur le cas de la France, le dialogue inter-ministères a été organisé et décrit dans un document intitulé Revue stratégique de cyberdéfense en 2018 et l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) occupe un rôle central dans l’animation du dialogue avec le secteur privé.

Il manque, aujourd’hui, entre 2 et 3 millions d’ingénieurs en cybersécurité dans le monde.

Les experts sont unanimes: l’attaque a aujourd’hui plusieurs longueurs d’avance sur la défense. Comment est-il possible d’inverser cette tendance inquiétante?

Les formats d’attaque sont très variés et derrière ces menaces, on trouve, selon le type d’attaque, des criminels et aussi des organisations étatiques. La délinquance constitue une part importante des faits constatés mais il ne faut pas oublier le piratage, l’ingérence et l’espionnage.

Pour inverser ou réduire ce temps d’avance qu’ont les attaquants sur les défenseurs, il y a plusieurs formes d’actions ou de réponses à apporter: le cadre juridique permet de mieux poursuivre les criminels, il est surprenant que certains pays ne se soient pas encore dotés de législation cyber. La gouvernance et le pilotage par l’Etat sont un autre point à travailler: chaque pays devrait disposer d’un centre d’expertise capable de protéger les infrastructures les plus sensibles pour le pays. Enfin, la formation est essentielle. Il manque, aujourd’hui, entre 2 et 3 millions d’ingénieurs en cybersécurité dans le monde. C’est un marché en pleine croissance et il faut absolument disposer de ressources formées en nombre suffisant pour répondre aux enjeux futurs. La formation du citoyen et l’éducation numérique des écoliers contribueront à réduire l’écart entre la défense légitime et l’attaque.

La cybersécurité: une lutte plus “humaine” que “technologique”?

Oui, certainement. La cybersécurité est au cœur des enjeux de la transformation des sociétés. Elle contribue à poser le nécessaire cadre de la confiance qui permettra aux technologies futures de mieux répondre aux attentes des utilisateurs.

L’humain est nécessairement au centre de cette problématique de transformation, qu’il soit acteur ou utilisateur. C’est essentiel de garder cela à l’esprit à l’heure ou les recherches et les développements d’un futur très proche portent sur de nouvelles avancées autour de la robotisation, l’intégration de l’intelligence artificielle ou encore le développement des ordinateurs quantiques.