Internet : Participation Africaine Au Développement Technique, Cas de l’IETF !

Dans mon dernier article il était question de la participation des pays Africains en général aux différent forums pour le de l’Internet (ICANN, IETF, IGF, IANAISOC… ). A cet effet, l’avis d’un membre actif de la communauté Camerounaise de l’Internet et Expert du domaine, Victor Ndonnang, a été recueilli. Il nous donne ici ses réponses à nos deux questions.

V: A votre avis, quelles peuvent êtres les causes de ce faible taux de participation des nations Africaines en général et du Cameroun en particulier à ce genre de rencontre technique Internationale ?

Victor N.: Avant de répondre à votre question, permettez-moi de présenter brièvement l’Internet Engineering Task Force (IETF) à vos lecteurs.

L’IETF est la plus large communauté internationale de techniciens volontaires qui s’occupe du développement technique de l’Internet. C’est la où les standards et protocoles Internet sont initiés, développés, améliorés, validés et publiés pour implémentation volontaire (l’utilisation des standards et protocoles produits par l’IETF n’est pas obligatoire). Les volontaires de l’IETF sont organisés autour des groupes de travail thématiques et le plus grand de leur travail (+75%) se fait en ligne à travers des listes de diffusion. L’IETF tient également trois réunions physiques par an pour permettre aux membres des groupes de travail de se rencontrer et aussi présenter leurs travaux aux observateurs. C’est aussi l’occasion de susciter la passion et l’envie de participer chez de nouveaux volontaires.

La participation aux groupes de travail, listes de diffusion et réunions physiques de l’IETF est ouverte à tous sans discrimination. Mais pour comprendre de quoi on parle et participer effectivement, il faut être un technicien chevronné, développeur ou passionné du développement technique de l’Internet. L’IETF est « légalement » représenté par l’Internet Society, organisation internationale qui s’occupe de développement ouvert de l’Internet. Les travaux et réunions de l’IETF sont sponsorisés par les grands équipementiers (Cisco, Huawei, Alcatel-Lucent…), fournisseurs de connectivité (Comcast, Seacom…) et de contenus Internet (Google, Microsoft…).

Pour revenir à votre question, je pense que la faible participation des ingénieurs Africains en général et Camerounais en particuliers est due à plusieurs facteurs :

  • La méconnaissance de l’existence de l’IETF ; Absence des programmes recherche et développement dans le secteur de l’Internet ;

  • La rareté ou presque inexistence des constructeurs d’équipements Internet et gros intermédiaires Internet 100% Africains. L’Afrique et le Cameroun sont beaucoup plus consommateurs des équipements et contenus Internet. Nous ne produisons pas d’équipements Internet et produisons très peu de contenus Internet ;

  • La non-tenue d’une réunion physique de l’IETF (1) en terre Africaine depuis sa création en 1986. Ceci se justifie par le facteur précédent. C’est tout à fait naturel que la réunion de l’IETF se tienne là où il y’a plus de sponsors et de contributeurs des groupes de travail en ligne (USA, Europe, Canada, Australie, Japon, Corée du Sud, Chine, Taiwan…) ;

  • La non-appropriation de la notion de « communauté virtuelle » (Virtual Community) par les étudiants, ingénieurs et techniciens réseaux Africains ; Internet permet la création des communautés virtuelles qui rend plus aisée la collaboration, le partage d’idées et d’informations. L’IETF est une communauté semi-virtuelle ;

  • La non-appropriation de la notion de documentation des idées et des procédures à des fins d’utilisation et d’amélioration par les générations futures. Les ingénieurs Africains n’aiment pas trop écrire…Participer à l’IETF c’est aussi présenter, défendre son idée à distance à travers les mailing lists ; donc écrire beaucoup !

  • La barrière linguistique : Qu’on le veuille ou pas, l’anglais est la langue de l’Internet et la langue de travail de l’IETF. Qui veut participer efficacement (se faire comprendre et comprendre les autres) à l’IETF doit faire des efforts pour améliorer son niveau en langue anglaise ;

  • Et enfin le dernier facteur et pas le moins important : Le manque des moyens financiers pour soutenir la participation des ingénieurs et enthousiastes de l’Internet Africains. Quelques programmes de bourses IETF (2) existent comme celui offert par L’internet Society ; mais très peu d’Africains avec un profil adéquat postulent.

internet-development

V: Auriez-vous des voies de solutions à proposer afin de faire changer les choses au niveau local (Afrique, Cameroun) ?

Victor N. : Pour mieux combattre une maladie, il faut combattre ses causes. Je crois que les solutions aux facteurs de causalité que je viens de citer permettront naturellement une augmentation et une amélioration de la participation Africaine à l’IETFJe pense qu’il faut commencer par la base si l’on veut avoir des résultats durables. Pour cela, je propose les pistes suivantes :

  • Amélioration du niveau d’anglais chez les ingénieurs et enthousiastes de l’Internet Africains ;

  • L’appropriation de la notion de communauté virtuelle par les étudiants et ingénieurs Africains ou Camerounais. Il faut apprendre aux étudiants Africains en général et Camerounais en particulier comment utiliser efficacement les listes de diffusion (mailing lists) pour travailler et collaborer. Certains pensent que c’est facile mais ça s’apprend ;

  • L’intégration de la participation à l’IETF dans la « job description » des ingénieurs, administrateurs réseaux et étudiants chercheurs africains dans les domaines Informatique et Internet. Pour se faire, il vaut mieux expliquer la plus-value pour l’entreprise ou l’université de financer la participation de ses ingénieurs;

  • L’intégration de la notion de budget « recherche développement » dans le plan de développement des entreprises africaines qui travaillent dans un secteur en constante innovation comme l’Internet. Rappelez-vous, j’ai dit plus haut que les réunions et travaux de l’IETF sont sponsorisés par les grandes entreprises Internet comme CISCO, Google…Pourquoi ? Parce que les résultats des travaux des ingénieurs volontaires de l’IETF leur permettent de produire des équipements et solutions toujours plus innovantes et d’être toujours en avant-garde sur le secteur de l’Internet. Par exemple, le protocole IPv6 qui va permettre de connecter le prochain milliard d’internautes et sans doute toute la planète, émane de l’amélioration du protocole IPv4 (conçu initialement pour connecter seulement 4 milliards d’ordinateurs) par les volontaires de l’IETF. Le protocole SIP qui a révolutionné le secteur de la Voix par Internet (VoIP) et des télécommunications en général est aussi le résultat des travaux de l’IETF.

  • Et enfin je pense qu’il faut trouver de l’argent pour financer les participations des africains et Camerounais a l’IETF. Comment ? Je pense qu’en addition aux efforts fournis par les organisations de développement de l’Internet (ISOC,…), les gouvernements des pays en développement en général ont un rôle très important. Ils ne doivent pas seulement investir dans la sante, l’agriculture mais aussi dans les Technologies et de l’Information et de la Communication (TICs) en général et l’Internet en particulier. Souvenez-vous l’Internet qui est un bien public aujourd’hui et catalyseur du développement socio-économique émane d’un programme de recherche (DARPA) financée par le gouvernement Américain. Les gouvernements Africains doivent financer la recherche et particulièrement la recherche dans le secteur de l’Internet. Cela pourrait résoudre les problèmes d’emploi et accélérer le développement économique.

Le développement effectif de l’Internet en Afrique passe par une participation massive des jeunes ingénieurs africains aux structures clé du développement technique de l’Internet comme l’IETF, le W3C… ; afin que l’Afrique ne soit plus seulement un consommateur de l’Internet mais un producteur des équipements et contenus Internet.

Je vous remercie.

V : Tout le plaisir est pour nous, merci encore de votre disponibilité.

Notons ici que les causes et voies de solution énoncées dans cet article ne se restreignent pas juste au cadre de l’IETF mais peuvent s’appliquer aussi pour d’autres Organismes Internationaux.

(*) A propos de Victor Ndonnang

Depuis 2008, Victor Ndonnang est consultant en TIC, spécialiste des questions de Gouvernance de l’Internet et s’intéresse principalement développement technique de l’Internet et à la gestion des ressources Internet essentielles (Adresses Internet (IP) et noms de domaine). Il en maîtrise l’ensemble des enjeux transversaux : technique, juridique, marketing, communication, référencement et administratif du nommage Internet. Il conseille les petites organisations et entreprises dans la stratégie de nommage et de gestion de la présence sur Internet. Il est lauréat du Programme Internet Society Next Generation Leaders (3) et Fellow de l’ICANN. Il est membre fondateur de la branche Camerounaise de l’Internet Society (Internet Society Cameroon Chapter)qui œuvre pour le développement ouvert de l’Internet au Cameroun (IXP, IPv6, Safer Internet…) et encourage la participation des Camerounais aux structures de développement technique et de gouvernance de l’Internet (ISOC1, IGF2, ICANN3, 1Net4…).

 

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 2 : CIIP

Suite à la première partie de ce retour sur le 3rd CTO Cybersecurity Forum, (qui est disponible par ici) dans l’après midi du Jeudi 25 Avril, il y’a eu deux tracks au choix et le nôtre fut de participer au workshop sur la Protection des Infrastructures d’Information Critiques (CIIP – Critical Information Infrastructure Protection) mené par David POLLINGTON de Microsoft Security en partenariat avec le FIRST (Forum for Incident Response and Security Teams).

D’entrée de jeu, le maître de séance à tenu à préciser que certes il représente Microsoft, mais au cours de l’atelier il ne s’agira nullement de vendre un quelconque produit de la firme qui l’emploi, mais plutôt de partager sur l’état de l’art et les bonnes pratiques pour la CIIP et de ce qui est fait chez Microsoft pour y parvenir.

Cet Atelier était divisé en deux parties :

  • Critical Infrastructure Protection : Concept and Continuum : portant sur la définition et les contours du concept d’Infrastructures Critiques (CI Critical Infrastructures)
  • A Framework for Critical Information Infrastructure Risk Management qui nous proposait un ensemble de processus dédiés à l’identification et la gestion des risques dans nos CIIs (Critical Information Infrastructures).

A cet effet, deux manuels nous ont été remis, chacun portant sur un partie du workshop.

Lorsqu’on parle de CIIP, il faudrait déjà pouvoir différencier ce qui est Critique de ce qui ne l’est pas. La notion de criticité étant variable d’un État à un autre, il n’existe pas de modèles figés là dessus. Toutefois, certains domaines figurent dans plusieurs modèles/Catalogues d’Infrastructures Critiques à l’exemple de l’Energie, les Finances, l’Eau, les Transports, l’Alimentation, la sécurité publique, … La figure suivante représente un aperçu des secteurs jugés critiques dans quelques pays.CII_Sectors_By_Countries

De nos jours, avec les systèmes presque tous automatisés et interconnectés, nos Infrastructures critiques ou non dépendent de plus en plus de l’IT. Toutefois, lorsqu’on parle de CIIP, il ne s’agit pas seulement d’une protection contre les fléaux dont l’IT serait le vecteur, notamment les cyberattaques, mais de tout type de facteurs pouvant mettre à mal nos infrastructures quelle qu’en soit l’origine à l’exemple des Attaques Terroristes, les Catastrophes Naturelles, les Guerres, et bien d’autres situations chaotiques du genre.

La protection des Infrastructures Critiques est intimement liée à 4 points stratégiques à mettre en œuvre :

  •  Des Politiques et Plans de Confiance :

Ce besoin d’un climat de Confiance devra remplir les trois critères suivants:
– Construire et renforcer des partenariats de coopération forte entre les parties prenantes,
– Etre adaptable et évolutif, répondant aux changements en cours dans les profils des menaces
– Contenir des jalons et paramètres qui permettrons de suivent le déroulement du programme de Protection des Infrastructures Critiques.

  •  Des Opérations Résilientes

la Résilience dans ce cas est la capacité à pouvoir anticiper ou se protéger contre les risques/attaques significatives et de réduire au minimum la durée et l’impact de l’incident subit. La Résilience des Infrastructures Critiques permet donc non seulement de se protéger des risques éventuels, mais aussi, et surtout de pouvoir les gérer de façon optimale pour un retour à la normale dans les plus brefs délais. Cela ne peut se faire sans les habitués des exercices périodiques afin de tester les capacités de réaction aux incidents, impliquant ainsi les gouvernements, les fournisseurs et les entreprises travaillent ensemble pour permettre d’évaluer de manière appropriée, d’atténuer et de retourner à la normale après des attaques.

  • L’apport d’Investissements et de l’Innovation

Le plan de Protection des Infrastructures Critique doit être constamment à jours des dernières menaces et tendances du domaine de la sécurité. Raison pour laquelle les Personnes, Processus et Technologies doivent être mis en exergue lors de la définition des activités, programmes, formations et travaux de recherche et le développement lié à la CIP. Il est important de faire des investissement sur le long terme dans les recherches en Sécurité afin de pourvoir répondre au besoin sans cesse croissants des Infrastructures Critiques dans un monde interconnecté.

  • Le Partage d’Informations et une Collaboration franche :

Les 3 premiers Critères cité plus haut, sont mis ensemble grâce à une bonne collaboration et un partage d’informations entre les différentes parties prenantes (partenaires). Ces Echanges et Partages font appels à plusieurs acteurs parmi lesquels les organisation gouvernementales et non-gouvernementales, les acteurs privés et aussi les entités étrangères(InterPol, ITU, CTO, FIRST,… )

la figure ci dessous représente la structure éclatée des 4 étapes clés citées plus haut ainsi que leurs sous-ensembles

CIP_Continium

Suite à ces axes stratégiques pour la Protection des Infrastructures Critiques (Critical Infrastructures Protection – CIP) Microsoft a mis sur pied un framework permettant une gestion intégrale des Risque liés à ces actifs. Ce framework se divise en 5 étapes consécutives définies tel que suit :

1- Déterminer l’étendue de la Gestion des Risques

Cette phase permettra de définir la portée appropriée ainsi que la les objectifs et les activités pour la gestion des risques. Elle se subdivisera en 3 sous-étapes :
– Trouver un consensus avec les parties prenantes sur la vision et la mission de l’étude, ceci en déterminant ce qui doit être protégé et pourquoi.
– Enoncer les buts spécifiques de sécurité et de résilience, ainsi que les objectifs et assurances
– Identifier les services essentiels

Relation_Between_CII_And_Cybersecurity

2- Identifier les fonctions des Infrastructures d’Information Critiques

La détermination des fonctions des Infrastructures d’Information Critiques est la seconde étape du plan de gestion des risques des CIIs. Il est question ici pour les parties prenantes d’avoir un dialogue ouvert sur la criticité des actifs et ainsi, conjointement, définir quels éléments d’Infrastructures d’Information, quelles fonctions critiques et quelles ressources clés sont nécessaires pour le maintien des services vitaux du Gouvernement, de l’économie et ainsi que pour assurer la sécurité publique.

3- Analyser la chaîne des valeurs des fonctions critiques ainsi que les interdépendances

Les services, processus et fonctions essentielles n’étant pas des entités cloisonnées, mais plutôt composées de plusieurs sous-ensembles étroitement liés, comprendre cette complexité et ces chaînes de liaisons interdépendantes ne sert pas juste à analyser les menaces, les vulnérabilités et leurs conséquences, mais aussi et surtout, permet d’identifier les parties prenantes et les fournisseurs stratégiques des chaînes de valeurs concernées. A titre indicatif, la figure suivante représente un aperçu de ce à quoi cette étape peut ramener :
CII_Value_Chain

4- Évaluer les risques des fonctions critiques

Cette étape se concentre spécifiquement sur les menaces et vulnérabilités des fonctions critiques. En matière de CII, le Risque est fonction de la menace, de la vulnérabilité et de leur conséquence. Ceci se traduit par l’équation : Risk = ƒ(Menace, Vulnerabilité, Consequence)
Dans cette équation :
– Menace fait allusion à tout facteur naturel ou Humain
– Vulnérabilité signifie ici une faille ou manquement qui peut être exploitée par une menace
– Conséquence encore appelé « Impact » fait référence aux coûts, pertes ou résultats provenant de l’exploitation réussie d’une vulnérabilité par une menace.

5- Hiérarchiser et traiter les risques des fonctions

Prioriser et traiter de façon continuelle et permanente les risques liés aux fonctions critiques de nos infrastructures débouche sur 4 éventualités :
– L’atténuation de l’impact/effet du risque
– La Prévention du risque
– Le Transfert du risque (en cas d’assurance par exemple)
– L’acceptation ou Rétention du risque consistant à valider l’éventualité et l’impact d’un risque sans rien faire pour le contrer.

En note de fin, le formateur rappelle que la Gestion des Risques des CIIs n’est pas un état statique, mais un Processus Continu appuyé par la culture de l’activité de gestion des risques en cours tout au long de chacune des étapes du CIP Continuum. C’est sur cette note que prit fin cet atelier très instructif sur la Protection des Infrastructures d’Information Critiques.

Après cela, il nous vient à l’esprit quelques questions notamment savoir Combien de pays Africains ont déjà mis en œuvre ce type processus de Gestion des Risques sur leurs Infrastructures d’Information Critiques? bien plus, combien d’entre eux ont seulement terminé avec la première étape de ce type de framework? Qu’en est-il du Cameroun, sommes-nous conscients à ce sujet? Beaucoup de travail doit être fait, mais il n’est pas trop tard!

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Sources :

1- Microsoft Trustworthy Computing : Critical Infrastructure Protection : Concepts and ContinuumGlobal Security Strategy and Diplomacy
2- Microsoft Trustworthy Computing : A Framework for Critical Information Infrastructure Risk ManagementGlobal Security Strategy and Diplomacy

3rd Commonwealth Cybersecurity Forum

Du 22 au 26 Avril prochain, la capitale politique du Cameroun, Yaoundé, abritera la Conférence annuelle  sur la Cyber Sécurité dans les états membres du Commonwealth. Cet évènement se tiendra au Palais des Congrès de Yaoundé sis au quartier Tsinga.

Les sessions de cette conférence porteront principalement sur les sujets suivants :

  • Protection des Infrastructures Critiques
  • La Sécurité en ligne pour les plus jeunes, qui par ailleurs fera l’objet d’un atelier en préliminaire.
  • Garantir la Sécurité tout en préservant la vie privée et les libertés individuelles
  • Les implications des vols d’identité en ligne
  • Mise en Œuvre de normes communes grâce  à des partenariats avec diverses parties prenantes.

En prélude à la conférence proprement dite qui débutera le 25 Avril, un atelier sera organisés du 22 au 24 Avril et portera sur la Protection des Enfant en ligne et son Programme Pilote d’implémentation dans 6 pays membres à savoir le Cameroun, la Gambie, le Nigeria, le Ghana, la Sierra Leone et la Mauritanie.

Résumé :

  1. Thème  : « Bringing Safety, Resilience and Security in Cyberspace »
  2. Date : du 22 au 26 Avril 2013
  3. Lieu : Yaoundé, Palais des Congrès
  4. Programme : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-programme/
  5. Modalités pratiques : http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-venue/
  6. Plus d’informations :  http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/commonwealth-cybersecurity-forum-more-information/

Source http://www.cto.int/events/upcoming-events/commonwealth-cybersecurity-forum/

Entreprise Security : La dépérimétrisation Partie I

La tendance générale actuelle nous sied à une externalisation de plus en plus accru des services de l’entreprise. Grace aux facilités que nous offre la technologie notamment avec le déploiement des réseaux et des terminaux de plus en plus innovants, il devient assez pratique pour plusieurs de se connecter au Système d’Informations de l’entreprise non plus avec le conventionnel poste de travail situé dans les locaux de la dite firme, mais plutôt avec  un périphérique mobile (Tablette, Smartphone, …) ou depuis un réseau distant ne remplissant pas forcement les mêmes standards de sécurité que ceux de l’entreprise. Il en est de même lorsque l’entreprise fait appel à des consultants ou à une tierce partie prenante à qui elle ouvre l’accès à son Système d’Information.

Il est donc clair que l’entreprise, d’une façon ou d’une autre, est amenée à ouvrir son Système d’Informations au monde extérieur ; et à ce niveau, les principes de sécurité périmétrique longtemps utilisés trouvent leurs limites. C’est là qu’intervient la dépérimétrisation de la Sécurité du Système d’Information de l’Entreprise. Essentiellement, la dépérimétrisation désigne l’extension de l’entreprise hors de sa « zone de contrôle » dont les limites sont plutôt fixes et définies, donc certaines, vers des terrains où l’entreprise n’a plus totalement la matrise de son patrimoine Informationnel, et donc de ses données. Parmi ses représentations les plus visibles nous avons la migration vers l’Informatique dans le nuage (Cloud Computing) et le phénomène de Bring Your Own Device (BYOD).

Face à ces changement comportementaux et environnementaux au sein de l’entreprise, les mesures de sécurité ayant fait leurs preuves autres fois se trouvent vite dépassées! En effet il ne suffit plus seulement d’ériger des rampars avec les meilleurs Pare-feu et Contrôleurs d’Accès visant à bloquer toute tentative d’entrée dans le réseau depuis « l’extérieur » (pouvant ici être Internet, un device non reconnu, un autres réseaux non-autorisé,… ) car à un moment ou l’autre il faudra ouvrir un accès à tel service du Cloud, à telle Application hébergée en SaaS, à un tel Travailleur en déplacement via un VPN, et ainsi de suite.  Les mesures de Sécurité doivent être adaptées au nouveau contexte d’où la Dépérimétrisation de la Sécurité du Système d’Informations de l’Entreprise.

L’objectif grâce à ceci est de fournir un traitement sécurisé des données de l’entreprise quelque soit le lieu ou le terminal depuis lequel ces données transitent. Cela passe par des mécanismes de cryptage automatique des données traitées, l’usage de protocoles de Sécurité intégrant une forme d’intelligence artificielle embarquée en natif, la possibilité pour les données en cours de traitement de pouvoir authentifier leur détenteur sans pour autant avoir besoin de se connecter sur les serveurs d’authentification situés dans le réseau périmétrique de l’Entreprise.

le groupe de travail ouvert sur la thématique de Sécurité de l’Information nommé Jericho Forum ayant grandement oeuvre pour son intégration à mis sur pieds une série de recommandations, sous forme de commandements, nécessaires à l’implémentation de cette stratégie au sein des Entreprises et ceci fera l’objet d’un futur article.

Valdes T. Nzalli

Souveraineté Numérique : Cas de l’Afrique

Avec le développement des TIC de par le continent, l’un de ses produits phare qu’est l’Internet nous rend de plus en plus interconnectés avec le reste du monde ; Ceci avec toutes les implications tant positives, et malheureusement, négatives que ça apporte.

La tendance actuelle étant à la cyber guerre froide, l’on se demande quelles seraient les capacités des Etats Africains à y faire face ! Cette interrogation soulève une autre, bien plus capitale, celle de savoir ce qu’il en est de notre souveraineté sur le plan numérique ! Utiliser des ordinateurs, des téléphones, des routeurs, et autres équipements et gadgets technologiques c’est bien, mais il faudrait aussi savoir d’où est ce que tout cela provient. Il n’existe pratiquement pas de fabricant de matériel Télécoms (Antennes, Core Network Routers and Switches, …), ni d’ordinateurs par exemple, en Afrique. Ces dernières années plusieurs « fabricants » Africains (VMK, Limitless, X-Net, …) se sont illustrés dans le domaine du mobile (tablettes, smartphones,…), mais dans la pratique combien de ces « fabricants » disposent d’usines de fabrication, depuis les chipsets des processeurs jusqu’à la coque de revêtement de leur équipements ? Pratiquement aucun. La plus part d’entre eux étant plus « assembleurs » de pièces que « fabricants » des dites pièces.
Du coté des logiciels, là encore le constat est presque pareil. Il n’y a qu’à voir le fort taux de pénétration des systèmes d’exploitation propriétaires d’outre atlantique, des antivirus, suites bureautiques et autres outils logiciels usuels, au code fermé, pour comprendre que le bout du tunnel n’est pas encore en vue ! Je rappel ici qu’il ne s’agit pas là d’un procès contre ces différents éditeurs car si ils en sont là, c’est principalement grâce à notre incapacité à produire des solutions similaires pour notre marché. Et je n’ose même pas mentionner ici les risques informationnel et stratégique que représente ce mot (nouveau ?) qui se promène dans toutes les bouches sur la scène IT : le Cloud !

Notons tout de même que ceci n’est pas un problème spécifique à l’Afrique, c’est le cas de beaucoup les nations ayant subi une forte croissance dans le domaine du numérique (USA, France, Angleterre, Italy, Canada, Australie, …). Et concernant ces nations des mesures plus ou moins drastiques (quoique parfois discutables et généralement attribuées au protectionnisme) ont été mises sur pieds. Il s’agit notamment pour les USA de la suppression des équipements d’origine potentiellement douteuse (1) de leurs infrastructures critiques. De l’Australie avec le retrait du constructeur Chinois HUAWEI de ses appels d’offres pour ses infrastructures sensibles (2) et tout récemment la France dans la publication de son rapport sur la Cyber Défense (3) dans lequel il est mentionné une interdiction des équipementiers Chinois dans les cœurs de réseaux Français et par extension Européens pour des raisons de « risque pour la sécurité nationale »

Le souci avec ces voies de solutions est qu’elles sont caduques car ne résolvent pas le problème de fond qui est celui de la Souveraineté Numérique de ces différents Etats. Ne nous y trompons pas, l’ennemi ne vient pas seulement d’Asie, il peut tout aussi être un pays de l’occident à l’instar des USA qui sont le principal fournisseur en matière d’équipements et de logiciels (Google, Microsoft, Apple, Oracle, CISCO, Amazone, …) dans le monde entier. Prétendre donc à une souveraineté Numérique reviendrait à s’affranchir de ces dépendances technologiques. Certaines Nations l’ont vite comprises à l’instar de quelques pays d’Asie (la Chine, Iran, Corée du Nord, …) et de l’Europe de l’Est (notamment la Russie) afin d’éviter tout risque de manipulation de leurs données numériques en mettant sur pieds divers projets relevant de leur stratégie de Cyber Sécurité Nationale. D’autres nations, comme la France avec la mise sur pieds de son premier antivirus tout récemment et le financement des travaux de recherches pour la mise en œuvre d’un Cloud Français (la quasi-totalité des services de Cloud actuels étant gérée par des firmes Américaines), ces deux projets étant à ambitions Européenne, essaient petit à petit de se libérer de cette dépendance numérique.

Par ailleurs, la sécurité de l’Etat ne concerne pas seulement les infrastructures dites critiques, mais toute la population car ce sont eux (les simples utilisateurs) qui sont généralement utilisés comme pions ou vecteurs d’attaque pour mettre à mal les infrastructures critiques nationales.

Pour le cas de la France et de l’Europe en général, ces différents projets visent nettement à protéger leurs clients, entreprises et Etats des lois Américaines comme le Patriot Act, mentionné dans un précédent billet (4) et les menaces d’espionnage organisé généralement qualifiées d’APT (Advanced Persistent Threat) (5) sans oublier la veille économique et le cyber terrorisme.

Face à tout cela, quelle est la position de l’Afrique ?

Actuellement en Afrique, nous avons un taux de pénétration d’Internet d’environ 13,5% (6) et pour le mobile il est d’environ 53,5% (7). Bien qu’étant un handicap, ceci peut tourner à notre avantage en ce sens qu’il n’est pas encore trop tard pour envisager une migration de nos Infrastructures sensibles vers des produits dont nous maîtrisons entièrement la chaine de production. D’ailleurs même que pour des nations beaucoup plus « modernes » l’ampleur du problème suffit à les contraindre de revoir tout depuis le début. De plus, cessons de penser que l’Afrique à mieux ou plus urgent comme problème à résoudre pour s’occuper de celui-ci ; car l’avenir ça ne se prépare pas dans le futur, mais dans le présent. Etant donné que les Pays d’Afrique ont de l’argent pour acheter les équipements militaires ci et là, il est nécessaire d’en mettre de côté pour ce genre de problématique tout autant vitale dans le long terme.

Je pense qu’il est temps de se réveiller, car de même qu’il y’a quelques années les puissances mondiales en étaient à la course à l’armement nucléaire, aujourd’hui il s’agit de la course pour l’armement dans le cyber espace et l’un des piliers pour ce défis est la Souveraineté Numérique de chaque entité. Comme ce fut le cas ailleurs, ce ne sont pas là des projets que les entreprises privées à elles seules peuvent mener ; le rôle des pouvoirs publics ici est capital. De plus, l’union faisant généralement la force, il serait judicieux de plancher sur de tels projets non pas seulement à l’échelle nationale, mais aussi à l’échelle sous régionale et continentale.

Cette souveraineté n’étant pas le fruit du hasard passe par plusieurs prérequis parmi lesquels nous pouvons citer entre autres :

– La formation des ingénieurs qualifiés (et pas que de nom) dans les filières technologiques

– La création d’entreprises technologiques locales (fabrication de circuits, assemblage, chaines de montage, …) spécialisées dans les métiers du numérique.

– La création et la promotion des entreprises locales œuvrant dans le développement logiciel.

– Le renforcement de nos capacités de Recherche et de Développement (R&D)

– Le soutien financier et parfois procédural des états membres auprès des dites entreprises ou consortiums

– Faciliter et promouvoir l’appropriation des solutions Open Source (car elles sont plus faciles à auditer en profondeur et pour un début sont plus accessibles)

– La mise en œuvre des politiques de nationalisation, régionalisation pour la fourniture de certains services jugés à risque.

Avec ces critères réunis, l’Afrique pourra peu à peu s’affranchir de cette dépendance numérique et plus tard être à même de se protéger contre plusieurs risques de fuites d’informations sensibles, de chantage technologique (comme ce fut le cas avec les USA interdisant la vente de solutions de sécurité informatique à l’IRAN) et permettra en plus une bonne relance du secteur des technologies au niveau continental ainsi que la création des milliers d’emplois. Notons qu’il ne s’agit pas là de changements qui s’opèrent instantanément, cela va prendre du temps à se mettre en place. Certes ça ne sera pas tout pour être à l’abri des divers potentiels assaillants, mais ce sera en soit un pas de géant.

Valdes T. Nzalli

(1) : http://online.wsj.com/article/SB10001424052702303444204577462940326968680.html
(2) : http://www.afr.com/p/technology/china_giant_banned_from_nbn_9U9zi1oc3FXBF3BZdRD9mJ
(3) : http://www.senat.fr/notice-rapport/2011/r11-681-notice.html
(4) : https://valdesjo.wordpress.com/2012/04/03/premices-dune-cyberguerre/
(5) : http://en.wikipedia.org/wiki/Advanced_persistent_threat
(6) : http://www.internetworldstats.com/stats1.htm#africa
(7) : http://www.itu.int/ITU-D/ict/statistics/index.html