L’enjeu de la connectivité avant celui de la cybersécurité

Avant d’évoquer pleinement la question de la cybersécurité en Afrique, il convient au préalable de poser une série de constats sur le niveau de connectivité du continent africain. Rappelons tout d’abord que le taux d’accès de la population du continent à Internet a atteint 20% en 2015, contre 77% en Europe. En cause, la faiblesse importante des infrastructures nationales rendant, dans certains pays, une connexion à Internet très onéreuse ; en République centrafricaine ou en Guinée une connexion haut débit peut coûter jusqu’à 500 dollars par mois. Par ailleurs, le développement rapide de l’Internet mobile en Afrique et l’essor des cybercafés dans certains pays ne participent que modestement à désenclaver numériquement la population. Et si certains observateurs saluent les nombreux projets en cours visant à relier l’Afrique aux autres continents par des câbles sous-marins, il est utile de rappeler que les gains de connectivité ne bénéficieront pleinement qu’aux populations dont les États auront préalablement résolu les problèmes d’approvisionnement et de délestage électriques, puis investi dans une infrastructure nationale des Technologies de l’Information et de la Communication (TIC).

Au regard de ces constats, il existe donc de profondes inégalités dans l’accès à Internet sur le continent, rendant ainsi certaines régions et une grande partie de la population totalement absente du cyberespace et de ses enjeux. Cette réalité, mise en parallèle avec les besoins d’une partie de la population africaine, éloigne évidemment bon nombre d’États africains de la problématique de la cybersécurité.

Une cybersécurité encore timide face aux menaces

Pour autant, au-delà de ces insuffisances, il existe bel et bien un développement du numérique en Afrique, caractérisé par bon nombre d’études comme porteur de croissance économique. De nombreux projets fondés sur l’utilisation du numérique vont en effet dans ce sens, facilitant une sortie de la pauvreté et un développement économique local. Pour accompagner ce mouvement, certains pays comme le Sénégal ou le Kenya se sont dotés d’autorités chargées de piloter et promouvoir le développement des TIC au niveau national. Mais en Afrique comme ailleurs, le développement du numérique est synonyme de développement des menaces. À ce titre la Côte d’Ivoire et le Nigeria sont régulièrement cités comme principaux foyers de la cybercriminalité sur le continent, encore principalement portée par les escroqueries de tout type (scam 419). Un rapport de Trend Micro note par ailleurs un développement du défacement (cyberhacktivisme) et de formes plus lucratives de cybercriminalité (botnets, malwares, RATs). Jusqu’à présent, bien que le niveau de sophistication de la cybercriminalité en Afrique soit resté globalement limité, les insuffisances des États dans la lutte contre la cybercriminalité font craindre à terme une multiplication des actes cybercriminels, au détriment du développement de l’économie numérique.

Face à ces cybermenaces, force est de constater que l’action des États africains en matière de cybersécurité est globalement encore timide. À ce jour, seulement 40% des pays africains disposeraient d’un cadre législatif sanctionnant les actes liés à la cybercriminalité. Certains de ces pays disposent par ailleurs d’une autorité dédiée à la cybersécurité, voire d’un CERT dont le rôle est de répondre aux incidents. Mais bon nombre de pays africains peinent à lutter efficacement contre la cybercriminalité, en raison notamment d’un déficit important de ressources. Ce manque touche autant la main d’œuvre qualifiée en cybersécurité, tant dans le secteur public que privé, que les formations dédiées et les ressources matérielles et technologiques adéquates. En outre, le faible nombre de mécanismes de coopération entre pays africains et avec le reste du monde complique considérablement l’identification, l’interpellation et le jugement des cybercriminels par les forces de l’ordre. Enfin, même si ce n’est pas l’apanage des pays africains, il existe un risque dans certains États que la cybersécurité soit dévoyée afin de limiter la liberté d’expression, comme cela a été le cas en Angola.

Quelques États africains sont toutefois remarquables par les efforts qu’ils déploient pour devenir des acteurs de la cybersécurité crédibles sur le continent, comme le Maroc qui multiplie les initiatives ces dernières années : plan d’action de lutte contre la cybercriminalité, présentation de sa stratégie de cybersécurité devant la 4^ème conférence mondiale sur le cyberespace, coopération avec l’Espagne… Le Sénégal n’est pas non plus en reste avec dernièrement la création d’un centre national de cybersécurité, d’un laboratoire dédiée à la lutte contre la cybercriminalité, une coopération renforcée avec les Pays-Bas et la France ou encore l’accueil d’une rencontre régionale sur la cybersécurité. Nous aurions pu également citer le Kenya ou l’Afrique du Sud.

Quelles perspectives pour la cybersécurité en Afrique ?

Pour renforcer la lutte contre la cybercriminalité, l’Union Africaine (UA) a adopté en 2014 – après quatre années de négociation – une convention sur la cybersécurité et la protection des données personnelles fournissant aux États signataires un cadre légal commun régulant les activités des internautes. Bien que l’initiative aille dans un sens propice à la lutte contre la cybercriminalité, là aussi, certaines mesures du texte peuvent être utilisées pour limiter la liberté d’expression des citoyens des pays concernés. Le texte a donc été vivement contesté et, à ce jour, aucun pays de l’UA ne l’a ratifié, faisant de cette initiative un échec. Une poignée de pays africains ont néanmoins adhéré ou sont en voie d’adhésion à la convention de Budapest, élaborée par le Conseil de l’Europe, dont le contenu prête davantage au consensus puisqu’elle a déjà été ratifié par 44 pays, majoritairement européens.

D’autres initiatives émergent pour soutenir les actions des États dans la lutte contre la cybercriminalité, à l’image de l’Organisation Internationale de la Francophonie (OIF) qui aspire à devenir un cadre d’échanges sur les meilleures pratiques entre les 80 États membres concernant la cybersécurité. Des initiatives se structurent également sur le plan régional, comme en attestent les rapprochements sur ces questions des États de la Communauté Économique des États d’Afrique de l’Ouest (CEDEAO) avec le Conseil de l’Europe[25] et des États de l’East African Community (EAC) avec l’ONU. Citons enfin les partenariats bilatéraux que peuvent tisser les pays, comme le programme de coopération entre l’ANSSI et l’Agence De l’Informatique de l’État (ADIE) sénégalaise, dont l’objectif est d’accroitre les capacités du Sénégal en matière de cybersécurité. Des programmes similaires existent avec le Gabon et le Maroc.

Les différentes initiatives régionales évoquées sont salutaires à deux titres. Elles permettent, au sein d’une même région, d’inscrire des États étant à différents niveaux de maturité dans une dynamique d’entraide, qu’il s’agisse de coopération judiciaire ou de partage d’informations et de bonnes pratiques. Par ailleurs, ces initiatives font intervenir des acteurs extra-africains (organisations internationales ou États) qui disposent de l’expertise (formation, entrainement, connaissance des menaces) et/ou de moyens financiers et matériels à même de soutenir les efforts des États africains. Mais ces mécanismes de coopération ne seront efficaces, à termes, que s’ils s’appuient au niveau national sur des outils et instruments crédibles au service d’une réelle volonté politique de renforcer la cybersécurité. Cela passe entre autre par la création et la mise en œuvre effective d’un cadre juridique de lutte contre la cybercriminalité, de forces de police dédiées, d’une stratégie nationale de sécurité des systèmes d’informations, d’une autorité dédiée ou encore d’un CERT.

Cet article Cybersécurité en Afrique : état des lieux et perspectives est apparu en premier sur RiskInsight.

Le cyberespace, talon d’Achille de l’Europe

En l’absence de sécurité suffisante, cette dépendance des États comme des entreprises peut rapidement se transformer en talon d’Achille. Elle peut en effet offrir à des individus, des organisations ou des États la possibilité de voler des secrets industriels ou des données en grande quantité, de détourner des fonds ou, pire, de détruire le potentiel économique ou de survie d’un État.

À titre d’exemple, en 2015 au Royaume-Uni, 90% des grandes entreprises et 74% des petites entreprises ont subi une cyberattaque. Par ailleurs – en guise d’illustration des conséquences financières atteignables – la cyberattaque subie par Talk Talk lui a couté au total plus de 75 millions d’euros. Enfin, la cyberattaque contre la centrale électrique ukrainienne démontre parfaitement le caractère potentiellement destructeur pour les États des cyberattaques contre leurs infrastructures critiques.

Face à un cyberespace qui est autant créateur de richesses que source de menaces, comment l’Union européenne prépare-t-elle sa cyber protection ?

Entre hétérogénéité, volonté d’harmonisation et désir de coopération

Aujourd’hui, l’Europe de la cybersécurité repose essentiellement sur des États européens qui avancent en ordre dispersé lorsqu’il s’agit de se prémunir contre les cybermenaces ; il existe en effet une forte hétérogénéité entre les pays membres dans leur sensibilité et leur niveau de préparation en matière de cybersécurité, et peu d’initiatives associant deux ou plusieurs États sont mises en œuvre.

Sans surprise, la question de la cybersécurité se pose avec plus d’acuité aux principales puissances économiques et militaires européennes, qui ont le plus d’intérêt et le plus de capacités financières et technologiques pour se prémunir contre les menaces venues du cyberespace.

Avec le Royaume-Uni et l’Allemagne, la France fait partie de ces États, créant dès 2008 l’ANSSI , l’autorité étatique dédiée à la cybersécurité, et se dotant dès 2013 d’un cadre juridique imposant aux Opérateurs d’Importance Vitale de protéger leurs systèmes d’importance vitale (article 22 de la loi de programmation militaire). À cela s’ajoute la mise en œuvre de moyens civils et militaires dédiés à la protection contre les cybermenaces.

Outre-Rhin nous pourrions par exemple citer une loi adoptée en 2015 visant à accroître la cybersécurité des OIV allemands, ainsi que la coopération étroite qui lie l’ANSSI et son homologue allemand, le BSI (Bundesamt für Sicherheit in der Informationstechnik), depuis plus de cinq ans.

Outre-Manche le gouvernement britannique a annoncé en 2015, 1,9 milliards de livres sur cinq ans pour renforcer la cybersécurité du pays.
Depuis quelques années, et face aux enjeux économiques que représente la cybersécurité pour la communauté européenne, les autorités de l’Union entendent participer davantage à la protection contre les cybermenaces, notamment en harmonisant la législation.

Depuis 2005, la Convention de Budapest , conçue par le Conseil de l’Europe, fournit par ratification à tout pays une trame et des outils juridiques leur permettant de mieux se prémunir contre la cybercriminalité.

Par ailleurs, la directive Network and Information Systems (NIS), prochainement adoptée, harmonisera automatiquement à l’échelle européenne les obligations des opérateurs de services essentiels (dénomination issue de la directive NIS) pour la protection de leurs systèmes d’information. Dans le même temps le futur règlement européen sur la protection des données personnelles devrait accroître la maîtrise des organisations sur les données qu’elles collectent, traitent et stockent, et donc limiter les conséquences des cyberattaques en terme de fuite.

Enfin, il a été annoncé par la Commission européenne lors du FIC 2016 que la cybersécurité fera, dans un avenir proche, de plus en plus partie des textes européens à portée sectorielle.

La directive NIS définit en outre une gouvernance européenne de la cybersécurité, inédite et résolument tournée vers la coopération entre les instances européennes (Commission européenne, ENISA – Agence Européenne chargée de la sécurité des réseaux et de l’information -, CERT-EU – Computer Emergency Response Team -)  et entre les États membres.

Deux nouveaux organes seront donc créés :

• Un groupe de coopération chargé de soutenir et de faciliter la coopération stratégique entre les États membres, notamment à travers l’échange d’informations et de bonnes pratiques. Ce groupe réunira la Commission européenne, l’ENISA et les représentants des États membres.
• Un réseau de CSIRTs (Computer Security Incident Response Team), regroupant le CERT-EU et le CSIRT de chaque État membre dont l’existence est rendue obligatoire par la directive. Il est chargé de promouvoir la coopération opérationnelle entre les États membres. L’ENISA assurera le secrétariat de ce réseau et la Commission européenne aura un statut d’observateur.

Des défis qui appellent une volonté politique commune

Ces initiatives européennes – complémentaires des initiatives des États les plus avancés en matière de cybersécurité – sont évidemment salutaires, mais ne doivent pas faire oublier les défis, politiques et économiques, que l’Europe devra dépasser afin de disposer d’une cybersécurité efficace et assurant sa cyber résilience.

Au défi que pose la coopération de 28 États membres s’ajoute la question des moyens qui permettront sa mise en œuvre effective, tant au niveau stratégique qu’opérationnel. Nul doute que les États déjà en avance pérenniseront leurs efforts. Mais quid des autres États, les plus nombreux : mobiliseront-ils les moyens suffisants pour se protéger ? La problématique des moyens se pose aussi au niveau de la gouvernance européenne : à titre d’exemple le budget de l’ENISA est de seulement 10,1 millions d’euros. Ce budget est-il réellement à la hauteur des enjeux ?

Par ailleurs, comment envisager une Europe de la cybersécurité sans une véritable industrie européenne de la cybersécurité ? De l’aveu de la Commission européenne, l’offre européenne est encore trop fragmentée et portée par des acteurs qui n’ont pas encore atteint une taille suffisante, portant préjudice à leur compétitivité face aux multinationales, américaines notamment. Mais une industrie suffisamment puissante économiquement, sachant produire des produits et services européens, est aussi un enjeu de souveraineté. À l’heure de la compétition économique mondiale, peut-on bâtir une Europe de la cybersécurité avec du matériel et des services chinois ou américains ?

On ne peut que saluer les efforts que compte produire l’Europe en matière de cybersécurité dans les prochaines années. Stimulé par des cybermenaces toujours plus nombreuses, ce projet pourra-t-il s’appuyer sur une volonté politique et des actions communes et durables ? Ou bien la dynamique européenne lancée s’essoufflera-t-elle faute d’une volonté politique commune suffisante, laissant les États membres en ordre dispersé au sujet de la cybersécurité, à l’image de l’Europe de la sécurité ou de la défense ?

Cet article L’Europe de la cybersécurité : peut-on y croire ? est apparu en premier sur RiskInsight.

Les révélations de Snowden sur la NSA derrière l’invalidation du Safe Habor

En principe, le transfert de données personnelles hors de l’Union européenne est autorisé à condition que le pays destinataire offre un niveau de protection des données au moins égal à celui garanti au sein de l’UE. Pour transférer des données personnelles vers des pays non-adéquats, les entreprises doivent s’engager à respecter des accords particuliers permettant de garantir un niveau de protection suffisant au regard du droit européen.

Adopté en 2000, le Safe Harbor est un accord de ce type, autorisant donc le transfert des données personnelles des citoyens européens vers les États-Unis. Plusieurs milliers d’entreprises américaines étaient jusqu’à présent concernées par cet accord, des géants du numérique aux petites et moyennes entreprises. Mais en octobre 2015, la Cour de justice de l’Union européenne (CJUE) – considérant les révélations faites par Edward Snowden sur les pratiques américaines en matière de surveillance – a invalidé le Safe Harbor . En effet, compte tenu de la primauté de la législation américaine liée à la sécurité nationale sur l’accord Safe Harbor, la CJUE a estimé qu’il existe des risques « d’ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ». La CJUE a également motivé sa décision par le fait qu’il n’existait « aucune possibilité pour le justiciable d’exercer des voies de droit » lui permettant d’accéder à ses données ou d’en obtenir la rectification ou la suppression, ce qui est contraire au droit européen.

En considérant que le Safe Harbor ne garantissait pas une protection adéquate des données personnelles, la CJUE a rendu de fait illégale des centaines de milliers de transferts de données. Pour autant, ces transferts transatlantiques ne pouvaient évidemment pas être arrêtés brutalement en raison des forts enjeux économiques inhérents. Conséquence directe de cette invalidation donc, trois mois de latence ont été accordés aux diplomates américains et européens pour négocier et définir un nouvel accord permettant de satisfaire les exigences de la CJUE. Par ailleurs, poursuivant le raisonnement de la CJUE, les CNIL européennes ont demandé que les solutions proposées par les parties s’appuient sur des « mécanismes clairs et contraignants » et comportent « au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits et des personnes ».

Privacy Shield : un tour de force diplomatique qui ne fait pas l’unanimité

Et c’est finalement le 2 février dernier – deux jours après la fin du délai accordé par les CNIL européennes – qu’un accord politique entre les parties européennes et américaines a été trouvé, remplaçant le Safe Harbor par le Privacy Shield . Ce mécanisme devrait permettre aux citoyens européens d’attaquer en justice les entreprises américaines si celles-ci divulguent leurs données personnelles à un tiers sans leur accord ou si elles refusent de fournir un accès aux données collectées les concernant. Une commission bipartite devrait également être créée pour contrôler l’application de l’accord, et un système d’arbitrage spécial via un médiateur sera mis en place en tant qu’instance de dernier recours. Par ailleurs les États-Unis ont fourni une garantie écrite assurant que l’accès aux données des citoyens européens par les services de renseignement sera limitée et contrôlé.
Mais le Privacy Shield fait déjà grincé des dents, puisqu’il est, pour l’instant, seulement un accord politique et donc non-contraignant juridiquement. Côté européen, une transposition dans le droit communautaire est le préalable pour qu’il puisse produire des effets juridiques.

Au-delà de l’accord de principe et du soulagement immédiat à la hauteur du défi diplomatique que représentait la conclusion d’un tel accord dans des temps aussi courts, il s’agira de constater, dans les mois et années à venir, sa traduction en règles juridiquement contraignantes et effectivement respectées. Dans le cas contraire, ce nouvel accord sera de toute évidence, à son tour, contesté devant la CJUE qui est la seule autorité compétente pour déclarer l’invalidité d’un acte de l’Union.

Sceptiques, les CNIL européennes se prononceront en mars

Une entrée en vigueur de l’accord « EU-US Privacy Shield » est prévue d’ici trois mois et sera pilotée durant les prochaines semaines par la Commission européenne. Par ailleurs cette dernière sera attentive à l’avis des vingt-neuf CNIL européennes, autrement appelées G29. Réuni le 3 février, et dirigé actuellement par la Présidente de la CNIL française Isabelle Falque-Pierrotin, le G29 s’est montré réservé sur le Privacy Act, avec cette formule : « We can’t just accept words. (…) The legal format of the arrangement is still unclear for us ». Les CNIL européennes attendent en effet la réception de l’ensemble des documents composant le Privacy Shield, d’ici la fin du mois de février, pour se prononcer sur le fond de l’accord à la fin du mois de mars .

Ce même jour le G29 était justement réuni pour présenter son interprétation de la jurisprudence européenne, fondée sur la décision de la CJUE, en matière de transfert des données personnelles. Pour les autorités européennes, quatre garanties doivent donc être respectées, et seront donc considérées dans les semaines à venir lors de l’étude du Privacy Act :

1. Le traitement des données doit être fait selon des règles claires, précises et accessibles
2. L’accès aux données doit être nécessaire et proportionnel à la fin poursuivie
3. Un mécanisme indépendant de surveillance doit pouvoir vérifier l’accès aux données
4. Des recours effectifs doivent exister pour les citoyens

En attendant d’en savoir plus sur le Privacy Shield, le G29 est resté pragmatique au sujet des transferts actuels de données personnelles en les autorisant, jusqu’à nouvel ordre . Enfin, Isabelle Falque-Pierrotin, réélue à la tête du G29 le 3 février, a partagé son inquiétude sur les probables répercussions de l’élection présidentielle américaine à venir sur l’accord.

Cet article Transfert des données UE-USA : le Safe Harbor remplacé par le Privacy Shield est apparu en premier sur RiskInsight.