Sénégal: Youssoupha Diop, spécialiste de la cybersécurité souligne la résilience des dispositifs de défense et appelle les acteurs du secteur privé à s'intéresser et à s'investir davantage dans la cybersécurité

interview

Ces derniers temps, les hackers ont trouvé du goût à s'attaquer au système informatique des institutions et agences au Sénégal. Les attaques dont étaient victimes la Présidence de la République, l'Autorité de régulation des télécommunications et des postes (Artp), et récemment, l'Agence nationale de l'aviation civile et de la météorologie (Anacim) en sont des illustrations pertinentes. Pour des éclairages sur qu'est la cybersécurité, les conséquences d'une cyberattaque, les dispositifs de prévention et de répression entre autres, Le journal de l'économie sénégalaise (Lejecos) donne la parole à Youssoupha Diop, juriste ayant fait une longue carrière dans le monde des assurances et dans le risk management, enseignant les aspects juridiques de la cybersécurité.

Aujourd'hui, on parle souvent de cybercriminalité, de cybersécurité. A quoi fait-on allusion quand on parle de cybercriminalité ?

La plupart des grandes découvertes ont engendré, presque toujours, à côté des progrès économiques qu'elles procurent à l'humanité, des retombées négatives parmi lesquelles figure en bonne place l'avènement de nouvelles formes de criminalité. Si les nouvelles technologies participent de manière positive au développement de la vie économique, elles présentent aussi de nouveaux moyens de commettre des infractions d'affaires, ce qui fait apparaître des dangers non négligeables, vue l'importance qu'elles ont désormais acquise.

L'interconnexion des réseaux a créé un espace dépouillé de toutes frontières facilitant de manière totalement incontrôlable, la commission d'actes portant atteinte à la propriété, à l'intimité, aux droits de la personne, à la moralité. Elle a également créé des enjeux nouveaux pouvant aller jusqu'à la mise en péril d'institutions publiques privées locales, internationales, transnationales......

L'ensemble des infractions pénales commises via les réseaux informatiques et plus spécifiquement via internet constitueront ce que l'on considérera désormais comme des cyber crimes : Cyber désignant tout ce qui a trait à l'utilisation du réseau internet ; et Crime, ensemble des infractions à la loi pénale liées à l'utilisation du réseau internet.

Le cybercrime est une activité criminelle qui cible ou utilise un ordinateur, un réseau informatique ou un appareil mis en réseau. Sous ce rapport, la cybercriminalité pourrait être définie comme l'ensemble des infractions qui supposent pour leur survenance, ou leur commission, l'implication des technologies numériques de l'information et de la communication dans une activité délictueuse, en vue de porter atteinte soit, à des valeurs traditionnelles de la société telles la culture sociétale, la propriété des biens, l'honneur, la foi, l'intimité de la vie privée, l'image personnelle, la réputation, soit, à des valeurs nouvelles nées de ces technologie telles que les logiciels, les sites internet, les systèmes informatiques, les processus décisionnels et/ou opérationnels, les données, ...

A quel moment peut-on dire qu'il y a cyberattaque ?

Il y a cyberattaque dès lors qu'on utilise, des technologies numériques de l'information et de la communication dans une activité délictueuse, en vue de porter atteinte aux biens et / ou aux personnes.

C'est une criminalité qui peut revêtir plusieurs formes. C'est une criminalité passionnelle commise par des jeunes férus de nouvelles technologies qui cherchent à faire des prouesses par passion, pour relever des défis par pur égocentrisme et besoin de reconnaissance. Ils ne se considèrent pas comme des délinquants quand même ils perpètrent des activités délictueuses de violation de l'intégrité de systèmes par exemple.

C'est aussi, une criminalité de contestation mue par des motivations idéologiques ayant pour finalité le sabotage, la dissémination de virus informatiques, la propagande idéologique, religieuse ou politicienne. C'est également, une criminalité d'affaires, à savoir, une forme de délinquance économique visant à atteindre l'argent des autres. C'est, enfin, une criminalité organisée menée par des groupes de hackers qui sont des malfaiteurs profitant de l'anonymat de l'Internet pour soutirer, notamment, de l'argent à leurs victimes.

La cybercriminalité revêt une panoplie d'aspects : c'est une criminalité financière qui se manifeste à travers de la fraude en ligne, le blanchiment d'argent et le vol de données bancaires. Il y a de la cyberfraude, du cyberharcèlement, de la cyberintimidation, du piratage informatique, du vol de la propriété intellectuelle et, surtout, du cyberterrorisme qui frappe aux portes des pays africains après avoir fait des ravages partout dans le monde. On peut continuer à citer la cybercriminalité sexuelle, la pédopornographie et le tourisme sexuel en ligne. La cybercriminalité liée à la drogue, la cyber-extorsion, la diffusion de contenus illicites.

De plus en plus, il y a le cyber-espionnage. Cette catégorie comprend l'utilisation de la technologie pour espionner les activités d'autres personnes ou organisations. Cela peut inclure la collecte de données confidentielles ou la surveillance de communications. Cette énumération est loin d'être exhaustive.

Vous avez cité la cybercriminalité financière. Qu'est-ce qui caractérise ce type de cybercriminalité ?

La cybercriminalité relative aux opérations financières peut revêtir plusieurs aspects. Cela peut concerner le vol d'identité, l'utilisation de documents et de données qui ont été piratées etc.. pour aller faire des transactions illicites ou procéder à des extorsions de fonds sur des comptes qui ne vous appartiennent pas, ou faire des opérations non autorisées en utilisant des voies et moyens illicites et en s'appuyant sur les données d'une part et sur les réseaux d'autre part.

Qu'est-ce que cela peut avoir comme conséquences ?

Les conséquences seront des préjudices qui sont causés à des tiers sur leurs biens, leur intégrité physique ou morale, sur leur image etc. Pour le côté financier, cela peut atteindre effectivement leurs avoirs, leurs actifs et surtout leurs capacités morale et intellectuelle à procéder à des transactions financières. Par exemple, si vous avez une très mauvaise réputation sur la base d'une exposition très forte, il vous sera très difficile d'effectuer certaines opérations avec des institutions financières. On ne pourra pas vous prêter de l'argent parce que tout simplement vous avez une réputation catastrophique créée par des cybercriminels.

Sur le plan juridique, qu'est-ce qui est prévu en termes de répression ?

Le Sénégal a mis en place une stratégie nationale de cybersécurité centrée sur la Confiance Numérique. On peut évoquer en effet, le fait d'avoir élaboré un plan de développement dont l'un des axes majeurs est la transformation du pays en une société numérique faisant appel à toutes les avancées les plus actuelles dans le domaine des technologies de l'information et de la communication.

Pour ce faire le pays s'est assigné un certain nombre de missions. Il s'agit de renforcer le cadre juridique et institutionnel de la cybersécurité au Sénégal ; de protéger les Infrastructures d'information critiques (Iic) et les systèmes d'information de l'Etat du Sénégal ; de promouvoir une culture de la cybersécurité au Sénégal; de renforcer les capacités et les connaissances techniques en cybersécurité dans tous les secteurs ; et enfin de participer aux efforts régionaux et internationaux en matière de cybersécurité.

Il faut savoir que le Sénégal a tout un dispositif juridique pour prévenir et réprimer tous les actes afférents à la cybercriminalité. Le Sénégal a adhéré à des Conventions internationales, sous régionales et régionales et a mis en place tout un corpus légal et réglementaire pour punir, sanctionner les auteurs de tels méfaits et prévenir contre la survenance potentielle de ces méfaits.

Au Sénégal, la cybersécurité est régie par la loi n° 2019-29 du 10 juillet 2019 relative à la cybersécurité. Cette loi a pour objectif de protéger les systèmes d'information, les réseaux et les données personnelles contre les attaques informatiques. On peut citer quelques-uns des aspects juridiques importants de la cybersécurité au Sénégal :

1. Protection des données personnelles : La loi sur la cybersécurité impose aux entreprises et organisations de mettre en place des mesures de sécurité pour protéger les données personnelles des utilisateurs. Elle garantit également aux citoyens le droit d'accès, de rectification et de suppression de leurs données.

2. Responsabilité civile et pénale : La loi prévoit des sanctions pénales et civiles pour les personnes qui commettent des infractions liées à la cybersécurité, telles que le vol de données ou la perturbation de systèmes informatiques.

3. Obligation de notification de violation : Les entreprises et organisations sont tenues de notifier les autorités compétentes en cas de violation de données personnelles.

4. Protection des infrastructures critiques : La loi impose aux opérateurs d'infrastructures critiques, tels que les banques, les hôpitaux et les services publics, de prendre des mesures de sécurité renforcées pour protéger leurs systèmes d'information.

5. Cybercriminalité : La loi sur la cybersécurité du Sénégal prévoit des dispositions spécifiques pour lutter contre la cybercriminalité, notamment le piratage informatique, la fraude en ligne et le vol d'identité.

Quand il y a cyberattaque, qu'est-ce qui peut être fait pour résister ?

S'il y a cyberattaque, il faut essayer d'abord d'en réduire les conséquences dommageables. Et cela, c'est au plan interne. Dans chacune des entités susceptibles d'être visées, généralement, il y a des ressources internes au plan humain. Les grosses entreprises font des recrutements de plus en plus poussés pour lutter contre les risques relatifs à la cybercriminalité en faisant appel à des spécialistes, à des « ethical hackers » comme on les appelle : c'est des gens qui sont formés pour, tous les jours, affronter les risques auxquels l'entreprise peut être exposée. Parce que, tous les jours, certaines entreprises sont attaquées.

Il y a les tentatives et l'entreprise, à son niveau, doit avoir les moyens et les ressources qu'il faut afin de prévenir des attaques, d'anticiper sur les attaques qui peuvent survenir et lorsqu'elles surviennent, les éradiquer le plus rapidement possible.

Malheureusement, ce n'est pas toujours le cas. C'est après coup que les gens se rendent compte qu'ils ont été victimes de cyberattaque. Ce qui peut avoir des conséquences extrêmement graves et le temps qu'il faudra pour y remédier peut-être préjudiciable.

Ces temps-ci, on note la récurrence de cyberattaques au Sénégal. La dernière à date concerne l'Agence nationale de l'aviation civile et de la météorologie (Anacim) ? Quel est votre point de vue sur cette récurrence des cyberattaques ?

Mon point de vue est que ce n'est pas spécifique au Sénégal. Quotidiennement aux Etats unis, en France, en Chine ou ailleurs, il y a des attaques parce que c'est un cyberespace qui est fait de telle sorte qu'il y a des criminels. Comme on vole des voitures, comme on cherche à voler dans des magasins, entre autres, les gens utilisent aussi les réseaux sociaux aujourd'hui pour commettre des crimes et des délits. Donc ce n'est pas une spécificité sénégalaise. C'est partout dans le monde.

La lutte contre la cybercriminalité est un enjeu majeur pour les institutions gouvernementales et les entreprises du monde entier. Pour y faire face, il est important de mettre en place un dispositif institutionnel adéquat, qui comprend notamment :

Des lois et des réglementations : Les gouvernements doivent élaborer des lois et des réglementations qui criminalisent les activités cybercriminelles et établissent des peines sévères pour les auteurs de ces crimes. Les lois doivent également permettre aux autorités d'enquêter sur les activités cybercriminelles et de poursuivre les criminels en justice.

Des organismes de réglementation et d'application de la loi : Les gouvernements doivent établir des organismes de réglementation et d'application de la loi spécialisés dans la lutte contre la cybercriminalité. Ces organismes doivent disposer des ressources nécessaires pour enquêter sur les crimes cybercriminels et poursuivre les criminels en justice.

Des partenariats public-privé : Les gouvernements et les entreprises doivent travailler ensemble pour lutter contre la cybercriminalité. Les entreprises doivent signaler les activités cybercriminelles et collaborer avec les autorités pour enquêter sur ces activités. Les gouvernements doivent également partager des informations avec les entreprises sur les menaces cybercriminelles.

Des programmes de sensibilisation : Les gouvernements et les entreprises doivent sensibiliser le public aux dangers de la cybercriminalité et aux mesures à prendre pour se protéger. Les programmes de sensibilisation doivent être conçus pour informer les gens sur les risques cybercriminels, les moyens de les éviter et les actions à prendre en cas d'incident.

Des outils technologiques : Les gouvernements et les entreprises doivent utiliser des outils technologiques avancés pour détecter et prévenir les activités cybercriminelles. Ces outils comprennent des logiciels de sécurité, des pare-feu, des systèmes de détection d'intrusion et des programmes de surveillance.

En mettant en place ces mesures, les gouvernements et les entreprises peuvent mieux lutter contre la cybercriminalité et protéger leurs données et leurs systèmes informatiques

Est-ce que la récurrence de ces attaques voudrait dire que les dispositifs préventifs sont, en quelque sorte, faibles ?

Je ne peux pas le dire. J'ai entendu, à moment donné, parler d'attaque sur l'Anacim. Franchement à part le titre que j'ai vu, je n'ai pas vu de conséquences dommageables, de grande envergure. Peut être que l'information a été très bien gérée, très bien contrôlée à tel point que sur le domaine public on ne sait pas réellement ce qui s'est passé.

Mais j'ose espérer que des dispositifs ont été mis en place pour remédier effectivement à ce type d'attaque-là. Mais c'est clair que tous les jours il y a des tentatives. Il y a des gens dont la vocation est d'attaquer les systèmes. Ils le font par passion. Je vous ai dit tout à l'heure que c'est une criminalité passionnelle.

Il y a des gens qui le font parce qu'ils veulent montrer qu'ils sont capables de le faire. Ils veulent toujours essayer de passer à travers les mailles du filet ou bien exploiter les faiblesses éventuelles. Mais le Sénégal est bien organisé. Je l'avoue très sincèrement.

En termes de ressources humaines et d'offre de formation concernant la cybersécurité, est-ce qu'on peut dire, aujourd'hui, que le Sénégal est bien outillé ?

Je veux dire qu'il y a une très grosse prise de conscience au Sénégal sur la cybersécurité au sens large. Comme je l'ai dit tantôt, le Sénégal a adhéré à l'ensemble des Conventions relatives à la cybercriminalité, à la cybersécurité. Le Sénégal partage des données pour se protéger et reçoit également de soutien d'autres organisations, d'autres pays adhérent à ces Conventions, que ce soit au niveau africain ou à l'international.

Sur le plan du dispositif national, au niveau du droit positif sénégalais, il y a un cadre juridique très puissant qui est mis en place. Il y a également d'autres outils créés comme l'école de la cybersécurité, la brigade spéciale de recherche sur la cybersécurité. La Division des investigations criminelles (Dic) dont on parle souvent au sein de la police sénégalaise a également des éléments qui travaillent à ce sujet, la division spéciale de la cybersécurité et la cellule nationale de traitement des incidents de sécurité informatique sont autant d'organisations pour lutter contre la cybercriminalité.

Maintenant, au niveau des entreprises et des autres organisations, il y a des formations disponibles. C'est la vocation, par exemple, de l'Ecole centrale polytechnique d'ingénieurs (Ecpi) de Dakar qui a mis en place, pour la première fois, et je crois même avant la France, un Brevet de technicien supérieur (Bts) sur la cybersécurité pour permettre aux personnes qui sont intéressées d'avoir les qualifications requises pour exercer dans le domaine de la cybersécurité auprès des entreprises et des autres organisations.

Donc, j'avoue très honnêtement, pour avoir fait la comparaison par rapport à beaucoup d'autres pays en Afrique notamment, que le Sénégal fait partie des pays les mieux organisés sur sujet-là.

Est-ce qu'il y a un point sur lequel vous voudriez vous prononcer et que je n'ai pas touché ?

Le point sur lequel je voudrais revenir c'est d'inviter les organisations de la Société civile (Osc) -et je parle ainsi des organisations patronales, des organisations d'employeurs et des organisations d'employés- à se pencher davantage sur la préoccupation afférente à la cybersécurité. Parce que je n'ai pas connaissance d'une implication forte de la part du secteur privé sénégalais dans des sujets relatifs à la cybersécurité.

Je les invite à s'intéresser à la cybersécurité, à rejoindre les cursus et les formations qui sont mis en place, à amener leurs personnels à se former car il y a au Sénégal des institutions qui ont cette crédibilité pour assurer ces formations-là.

Ici à l'Ecpi (Ecole centrale polytechnique d'ingénieurs) de Dakar, il y a des étudiants qui viennent de la Guinée, du Bénin et d'autres pays pour venir se former au Sénégal. C'est très encourageant déjà et il faudrait que les organisations de la société civile, exerçant dans le milieu économique en particulier, se préoccupent davantage sur les questions liées à la cybersécurité.

AllAfrica publie environ 500 articles par jour provenant de plus de 100 organes de presse et plus de 500 autres institutions et particuliers, représentant une diversité de positions sur tous les sujets. Nous publions aussi bien les informations et opinions de l'opposition que celles du gouvernement et leurs porte-paroles. Les pourvoyeurs d'informations, identifiés sur chaque article, gardent l'entière responsabilité éditoriale de leur production. En effet AllAfrica n'a pas le droit de modifier ou de corriger leurs contenus.

Les articles et documents identifiant AllAfrica comme source sont produits ou commandés par AllAfrica. Pour tous vos commentaires ou questions, contactez-nous ici.