Youssef Mazouz, SG du Centre Africain de la Cybersécurité : « Nous avons des experts africains dont nous sommes fiers »

(Agence Ecofin) - A l’heure où la protection des données sensibles, et le renforcement de la cybersécurité est perçu comme un défi commun aux pays africains, la mutualisation des efforts publics et privés sur le continent est de plus en plus préconisée pour assainir le cyberespace. Présent au Cyber Africa Forum du 24 au 25 avril 2023, à Abidjan Youssef Mazouz, Secrétaire Général du Centre Africain de la Cybersécurité, a accepté de livrer à l’Agence Ecofin et à WeAreTech, la vision de son organisme, sur les réponses aux défis communs de la cybersécurité en Afrique. 

Agence Ecofin : Bonjour Dr Mazouz, vous êtes le Secrétaire Général du Centre Africain de la Cybersécurité. Selon vous quel est actuellement le besoin en professionnels de cybersécurité en Afrique ?

Youssef Mazouz : Bonjour, je suis le Docteur Youssef Mazouz, comme vous l’avez mentionné. J’œuvre beaucoup dans le domaine de la cybersécurité à travers une ONG qui regroupe des professionnels de la cybersécurité, des responsables sécurité et système d’information. L’Afrique connaît une transformation digitale ces dernières années et il y a une obligation d’accompagner cette transformation digitale par la maîtrise des risques et la cybersécurité. Les menaces sont là et les organisations africaines commencent à prendre au sérieux le volet de protection de leurs données et la protection de leurs infrastructures informatiques donc la cybersécurité devient un domaine qui est très indispensable pour suivre cette évolution et cette mutation dans le domaine du numérique.

Le CAF qui nous réunit justement autour de cette thématique, met l’accent sur ce sujet qui est très important. Malheureusement la plupart des top managers des organisations africaines n’ont pas encore pris conscience de l’importance de la cybersécurité. Pour eux c’est un centre de coûts, donc des événements comme celui-là sont indispensables pour montrer que la cybersécurité est un domaine qu’il faut prendre au sérieux car si on ne prend pas en considération la protection des données, on peut avoir d’énormes pertes. Nous avons des exemples d’entreprises qui ont perdu des millions tandis que d’autres ont eu un arrêt de leurs activités pendant un certain temps suite à une cyberattaque ou une attaque cybernétique par des hackers.

AE : Aujourd’hui, est-ce que vous estimez que le continent dispose du capital humain nécessaire pour protéger ses institutions contre les attaques cybernétiques ?

YM : Vous avez évoqué un élément clé, qui est l’humain. C’est vrai que la technologie est là. Il y a beaucoup de solutions de protection des données, de protection des infrastructures et des solutions de cybersécurité, mais s’il n’y a pas les compétences pour faire travailler ou accompagner ces solutions, il n’y aura pas une protection optimale. Il faut donc accompagner l’Afrique par la mise en place des formations continues, la mise en place des compétences, l’ouverture des centres ou des universités de recherches dans le domaine de la cybersécurité. D’ailleurs nous avons une convention avec une université au Maroc pour faire des recherches dans la cybersécurité, et pour former des compétences capables de suivre cette évolution dans le domaine de la protection des données et la protection des infrastructures.

AE : Selon vous, quels sont les principaux défis auxquels sont confrontés les pays africains en matière de formation ?

YM : Le premier défi, c’est comment protéger nos compétences. Il y a des compétences en Afrique, mais le problème c’est l’exode, ils partent parce qu’il y a une forte demande ailleurs sur les compétences dans le domaine du numérique. Nous voyons des ingénieurs qui émigrent vers le Canada ou l’Europe pour y travailler. Donc il faut réserver un terrain en Afrique, capable d’absorber nos propres compétences. Il faut leur préparer des conditions favorables pour travailler et avec des motivations pour qu’ils restent sur leur continent et pour qu’ils restent dans leur pays. Je sais que la plupart de ces compétences veulent rester dans leurs pays, mais ils trouvent que les conditions en Afrique ne sont pas optimales pour y exercer et c’est pour cela qu’ils partent. Il faut donc les retenir.

AE : Pour cela, faudrait-il améliorer les investissements publics dans le secteur ?

YM : Bien sûr. Les gouvernements doivent injecter plus d’argent dans la recherche et la formation. Il faut qu’ils prennent conscience que les systèmes d’informations sont un centre de création de valeur et non un centre de coût comme ils le pensent. Ils peuvent créer de la valeur à travers une transformation digitale sure et efficace.

AE : Quelles recommandations formuleriez-vous pour améliorer l’offre de professionnels qualifiés sur le continent ?

YM : Je pense que la première chose c’est d’avoir une synergie entre les pays en mutualisant les compétences et échangeant les expertises. Il y a des experts partout sur le continent africain il faut donc en profiter. C’est d’ailleurs pour cette raison que nous avons créé le centre africain de la cybersécurité, qui regroupe des professionnels de la cybersécurité. Le premier but de la création de ce centre c’est de développer une synergie entre les professionnels de la cybersécurité en Afrique. Avec ce centre africain, nous avons eu l’année dernière une initiative de création d’une alliance africaine pour la cybersécurité qui réunit des professionnels de 12 pays pour l’instant. Le responsable de la sécurité des systèmes d’information (RSSI) ou l’ingénieur cybersécurité ne peut pas vivre isolé, car il y a des menaces qui arrivent chaque jour. S’il ne les partage pas avec ses confrères, il n’y aura pas une meilleure protection. C’est pour ça qu’il faut créer cette synergie et créer un réseau d’échange pour développer l’expertise et pour développer un partage d’informations sur les menaces.   

AE : Comment le Centre Africain de la Cybersécurité travaille-t-il avec les gouvernements et les entreprises pour renforcer la sécurité des systèmes d'information en Afrique ?

YM : Le centre est une ONG et à ce titre il a une grande marge de manœuvre en tant qu’organisation de la société civile, car il ne relève pas des Etats. C’est pour ça que nous avons tenu à ce modèle de société civile pour avoir un champ de travail plus large. Nous travaillons en collaboration avec les Etats, les gouvernements à travers l’organisation de séminaires, de journées de sensibilisations, etc. Aussi avec le secteur privé à travers des échanges et des formations avec leurs RSSI et également des journées thématiques par le biais des professionnels de la cybersécurité pour avoir ce partage et cet échange d’expertise.

AE : Quelles sont les mesures que les gouvernements africains devraient prendre pour renforcer la réglementation en matière de cybersécurité et protéger les citoyens contre les cybermenaces ?

YM : La première des choses, c’est de travailler sous l’égide de l’Union africaine (UA). Nous savons que l’UA a établi en 2014 une convention de la Cybersécurité à Malabo, mais si on recherche le nombre de pays qui ont ratifié cette convention en 2022, il n’y avait que 13 pays sur 55. Cela montre que les pays n’ont pas encore atteint la maturité nécessaire pour créer cette dynamique de cybersécurité sur le continent.

En Europe, ils ont le RGPD (Règlement général sur la protection des données, ndlr), qui est une loi imposée non seulement pour les pays européens mais également sur les pays africains et d’autres continents. Donc si vous voulez travailler avec l’Europe, il vous faut respecter les mesures citées dans le RGPD. Pourquoi ne pourrions-nous pas créer un cadre règlementaire sous l’égide de l’UA qui serait un équivalent du RGPD pour garder et pour assurer la souveraineté numérique du continent africain, c’est-à dire protéger les données africaines, de l’Afrique et pour l’Afrique. Comme cela, lorsque nous travaillerons avec des prestataires de l’Europe, ils devront se conformer à cette législation.

AE : Y-a-t-il eu des développements récents en matière de cybersécurité en Afrique ?

YM : En Afrique, il y a véritablement un développement de la transformation digitale. Mais l’accompagnement de cette transformation par des mesures de cybersécurité est malheureusement un peu lent. Cela est dû d’une part à la difficulté d’instaurer une culture de la cybersécurité, car comme je l’ai mentionné, les décideurs n’ont pas encore eu une véritable prise de conscience de la cybersécurité. Du coup, pour accélérer ce processus de cybersécurité, il faut tout d’abord travailler sur la sensibilisation, sur l’implication des médias, parler de la cybersécurité comme d’un domaine très important. Il faut également commencer à investir de l’argent dans le secteur, à travers la création de datacentres pour l’Afrique et pourquoi pas échanger avec les pays africains pour créer un centre de données pour l’Afrique afin de protéger les données sensibles africaines sans avoir besoins d’aller les héberger chez un prestataire étranger sur lequel nous n’avons aucun contrôle. Donc il faut investir sur les infrastructures africaines pour l’Afrique.

Il faut aussi accompagner ce processus par une formation de qualité et assurer les conditions pour le personnel qui va travailler sur la cybersécurité.

Enfin, il faut instaurer les lois et les règlementations nécessaires pour accompagner ces évolutions.   

AE : Comment le Centre Africain de la Cybersécurité s'adapte-t-il aux évolutions qui surviennent dans le secteur de la cybersécurité en Afrique ?

YM : Bien sûr, nous avons des experts africains dont nous sommes fiers. Nous ne comptons pas sur des experts étrangers. Et ces experts travaillent sur l’accompagnement, sur la mise en place des guides de sensibilisation pour les entreprises et pour les adhérents du centre, nous travaillons sur des bulletins de vulnérabilité en échangeant avec les RSSI membres du centre en Afrique. Cela veut dire que si une menace ou un risque est détecté par un de nos membres ou collaborateur, nous l’intégrons dans un bulletin mensuel de vulnérabilité qu’on diffuse. Donc il y a plusieurs pratiques que nous mettons en œuvre dans le centre pour essayer de créer un mouvement ou une synergie dans le domaine de la cybersécurité. 

Interview réalisée par Moutiou Adjibi Nourou et Muriel Edjo