Le cyberespace et la sécurité de l'état en Afrique centrale: entre incertitudes et opportunités

Section 2 : Les insuffisances techniques et la dépendance économique comme facteurs conjoncturels de vulnérabilité du cyberespace à la sécurité et à la souveraineté des Etats

La remise en cause de la sécurité de l'Etat dans le cyberespace est constituée d'une accumulation de facteurs qui présentent des rapports de causalité. La mise en place des infrastructures doit s'accorder avec un niveau de résilience qui assure le fonctionnement permanent du réseau malgré les soucis techniques occasionnels. L'absence de ces mécanismes est une conséquence des entraves économiques des Etats, qui ne peuvent pas s'offrir l'infrastructure matérielle et logicielle à même de leur garantir un minimum de protection contre les attaques et les intrusions malveillantes. Il s'agit d'analyser les insuffisances techniques comme facteur de vulnérabilité des Etats (Paragraphe 1) et la dépendance économique comme entrave à la souveraineté de l'Etat (Paragraphe 2).

Paragraphe 1 : Le manque d'infrastructures informatiques appropriées et l'inexistence des moyens sécuritaires développés pour contrer les menaces et les attaques

Le déploiement d'internet pour son utilisation relève d'une combinaison de composants matériels : les câbles sous-marins, les serveurs, les routeurs, et même des satellites ; mais aussi de composants virtuels qui sont des logiciels qui rendent possible l'automatisation du traitement des données et organisent le flux des transactions sur la toile. Leur acquisition et leur maintenance nécessitent des moyens financiers conséquents que les Etats africains consacrent plutôt au développement de leur infrastructures de base. Ceci les oblige à recourir soit aux financements extérieurs, soit au matériel étranger pour assurer un minimum de service du cyberespace. Cette situation crée une dépendance aux compétences étrangères qui participe à l'extraversion de la gestion du cyberespace dans les Etats africains. Dès lors la menace provient du manque d'infrastructures informatiques appropriées (A) et de l'inexistence des moyens sécuritaires développés pour endiguer les cyberattaques(B).

A. Le manque d'infrastructures informatiques appropriées

Selon le rapport de 2016 sur l'état du numérique dans les pays de l'Organisation Internationale de la Francophonie, les pays d'Afrique Centrale faisant partie de l'organisation sont classés à partir du 106^e rang occupé par le Rwanda^106(*). Dans ce rapport d'autres pays comme la RCA, ne sont pas classés car jugés largement retardataires dans le processus d'implantation du cyberespace sur leur territoire. C'est dire le manque et l'absence d'infrastructures réseau matérielles qui caractérise ces Etats qui n'ont pas encore intégrés le développement du cyberespace dans leur programme sécuritaire en lui conférant toute sa dimension stratégique au même titre que l'éducation de base ou la santé. L'absence des infrastructures physiques influe sur la sécurisation de l'Etat dans le cyberespace et constitue un facteur de vulnérabilité permanent envers les autres acteurs de la sphère numérique.

Bien plus le Cyber Readiness Index qui évalue l'impact de la cyber insécurité sur l'économie d'un pays offre un aperçu clair de la situation des infrastructures du cyberespace dans les pays africains, et notamment ceux de la zone CEEAC avec le sous-indice portant sur la qualité de l'infrastructure informatique principalement basé sur l'opérationnalité des équipements et leur niveau de résilience aux éventuelles pannes accidentelles ou aux attaques. Sur 139 pays où l'étude a été réalisée, pour ce sous-indice les pays de la zone occupent les derniers rangs^107(*).

Tableau 1 : classement de certains pays de la CEEAC selon le sous-indice de cybersécurité

Source :The global information technology report 2016 ;

Les statistiques sur le déficit de d'implantation des infrastructures du cyberespace en Afrique centrale et leur classement par rapport aux autres pays montrent le gap technologique que les Etats doivent rattraper pour réduire les impacts sécuritaires que cela entraine dans le fonctionnement de l'Etat. Ce d'autant plus que la révolution numérique construit une migration des interactions politiques et économiques classiques dans le cyberespace. Mais en considérant aussi que le schéma d'action d'une attaque dans le cyberespace combine simultanément l'infrastructure informatique comme arme, comme cible et comme théâtre d'opération. L'acquisition du matériel adéquat du cyberespace constitue une première protection, non pas qui rend invulnérable mais qui augmente les capacités de réaction avec la facilitation de l'identification de la menace.

On comprend mieux l'obligation qu'ont ces Etats de faire appel aux prestataires étrangers pour améliorer la qualité des infrastructures informatiques. Mais confier la gestion d'un secteur aussi crucial aux volontés étrangères dans la société moderne, conduits les Etats à s'exposer aux risques développés dans la partie précédente à savoir la surveillance de masse, l'interception des communications et même le profilage de la population par la collecte des données de trafic. Comme le note Bertrand Boyer « la domination technologique, l'imposition des normes soutiennent ou affaiblissent selon que l'on en est le bénéficiaire ou l'assujetti »^108(*). Le manque d'infrastructures pour les pays de la zone CEEAC construit une dépendance stratégique puisque parmi les piliers de la puissance numérique on retrouve « les infrastructures dédiées au réseau »^109(*).

L'acquisition de l'infrastructure informatique de base nécessaire au déploiement du cyberespace est un facteur qui doit être conjugué avec un niveau de sécurisation qui est nécessaire pour la résilience des infrastructures et la permanence du service qui font défaut aux Etats de la CEEAC.

B. Le faible niveau de sécurisation

Le développement fulgurant d'internet a poussé de nombreux Etats à inclure le numérique comme instrument majeur d'échange en tant qu'opportunité commerciale. A cela s'est greffé les possibilités de faire la politique entre Etats, de gouverner et d'offrir des services administratifs aux clients du service public. Dans un contexte où le numérique en Afrique centrale est caractérisé par l'insécurité permanente, le constituer en élément systémique clé dans l'Etat soulevé la question de la capacité à contrer les cyberattaques. Les statistiques provenant de diverses sources indiquent que les Etats de la CEEAC sont très vulnérables en raison du nombre élevé de domaines à faible sécurité, des réseaux et de l'information. Le niveau de sécurité concerne les infrastructures physiques qui sont la couche matérielle du cyberespace, et la couche logicielle qui est nécessaire à la traduction en langage compréhensible des données, et à l'effectivité des transactions dans cyberespace. La faiblesse du niveau de cybersécurité en Afrique constitue une vulnérabilité à la sécurité des Etats. Elle peut s'analyser au niveau de la protection logicielle, de la sécurisation matérielle des infrastructures physiques.

La protection logicielle s'articule autour de la sécurisation des systèmes informatiques à savoir les canaux de transmission et les plates-formes d'utilisation. L'indice global de cybersécurité de l'UIT classe les pays par paliers selon leur politique de cybersécurité. Les débutants sont les moins sécurisés, les pays intermédiaires et les pays avancés. Des onze pays de la zone CEEAC seuls le Cameroun et le Rwanda sont dans le groupe des pays intermédiaires, le reste se trouve dans le 3^e pallier des pays débutants. Bien plus seul le Rwanda fait partie des trois pays africains aux GCI les plus élevés. Bien plus Le pourcentage de vulnérabilité des logiciels est de 82% pour le Cameroun^110(*).

Les pays de la zone CEEAC sont loin des standards internationaux en termes de sécurité des infrastructures informatiques. Sur la base du sous-indice de la sécurité des serveurs internet où les Etats-Unis culminent avec plus de 1500 points, les Etats de la zone CEEAC n'excèdent pas 10 points dans ce sous-indice : le Gabon 10,7, le Rwanda 3,9, le Cameroun 1,7. On note même des pays à moins d'un point comme le Burundi et le Tchad avec respectivement 0,6 et 0,1^111(*).Ces chiffres démontrent combien le cyberespace en est encore à un stade embryonnaire dans la zone CEEAC et constitue un élément de vulnérabilité critique pour la sécurité de l'Etat. Déjà considéré comme un espace poreux dans les pays développés malgré leurs technologies de sécurisation poussées, le niveau d'insécurité qui caractérise le réseau africain, accentue l'idée selon laquelle il constitue un problème de sécurité majeure pour l'Etat, auquel vient se greffer le manque de personnel qualifié pour la gestion technique des questions du cyberespace.

A ce défaut de sécurité des équipements et réseaux s'ajoute d'une part le manque de personnels qualifiés pour la gestion et la maintenance de ces équipements, pour contrer les attaques répétées et de plus en plus complexes que subissent ces Etats, mais aussi l'absence d'une stratégie basée sur l'exploitation scientifique des recherches sur le cyberespace comme nouveau champ de pensée théorique. D'autre part la sécurisation matérielle des infrastructures constitue un facteur de vulnérabilité de l'Etat. Les incessantes opérations de maintenance de la fibre optique par les opérateurs réseaux créent la paralysie de tout le système de communication, rendant impossible sur de longues périodes les communications téléphoniques et l'opérationnalité d'internet. Ces failles questionnent la résilience des réseaux dans les pays de la zone CEEAC telle que définie par Olivier Kempf^112(*).

Brièvement la dépendance technique des Etats entreprises étrangères du au retard du développement technologique pose un problème de sécurité majeure à l'Etat et questionne leurs capacités à construire un espace numérique qu'ils contrôlent et si possible se prémunir des attaques cybernétiques par leurs moyens propres.

* ¹⁰⁶ Rapport sur l'état de la francophonie numérique, OIF-IDEST, 2016, p 26.

* ¹⁰⁷The global information technology report, dirigé par SILJA Baller, Soumitra DUTTA et Bruno LANVIN, INSEAD, Johnson Cornell University, 2016, p 34.

* ¹⁰⁸ Bertrand BOYER, Cyberstratégie : l'art de la guerre numérique, Paris, Nuvis, 2013, p 6.

* ¹⁰⁹The global information technology report, Op.cit., p 159, en addition avec les capacités créatrices et d'innovation, la capacité normative, la base industrielle et technologique et le nombre d'utilisateurs.

* ¹¹⁰Ibid., p 75.

* ¹¹¹ibid., p 38.

* ¹¹² Olivier KEMPF, « Principes stratégiques du cyber » in Le cyberespace nouveau domaine de la pensée stratégique, dirigé par Stéphane DOSSE, Olivier KEMPF, Christian MALIS, Paris, Economica, 2013, 180 p, pp 71-80.