skip to Main Content

Cybersécurité : les opérateurs télécoms contre-attaquent

Sur le continent, la criminalité numérique n’épargne ni les entreprises ni les particuliers. Les géants de la téléphonie mobile et de l’internet l’ont bien compris, qui ont fait de la protection des données une activité à part entière.

Chers clients valides, votre carte SIM sera temporairement bloquée dans les prochaines vingt-quatre heures en raison de l’utilisation cohérente de données non assignées. » C’est le texto énigmatique qu’ont reçu, dimanche 16 juin, les 60 millions d’abonnés de MTN au Nigeria. Dans ce pays d’Afrique de l’Ouest, plus gros marché de l’opérateur sud-africain, un tiers de la population a été privée de toute communication par mobile pendant une journée entière.

Omasan Ogisi, responsable des affaires publiques de MTN au Nigeria, nie encore à ce jour avoir été victime d’une cyber­attaque. Mais les soupçons sont tels que l’opérateur a tout de même saisi le bureau de la Commission des crimes économiques et financiers du Nigeria (EFCC) pour enquêter sur une infraction présumée de cybercriminalité. En seulement deux heures, l’incident lui aurait coûté 700 millions de nairas, soit environ 1,7 million d’euros.

Subir une cyberattaque est peut-être la pire chose qui puisse arriver à ce jour aux opérateurs de télécommunications, dont les discours marketing vantent justement des transmissions de données en toute sécurité. « Pour les entreprises comme pour les particuliers, les opérateurs sont devenus de véritables acteurs de confiance, comme le furent les banques à une époque », confirme Jean-Michel Huet, associé chez BearingPoint et spécialiste du secteur sur le continent. Au Nigeria, pourtant, selon une étude du cabinet spécialisé Kaspersky, 37 % des utilisateurs de téléphone mobile ont été victimes d’attaques en 2018.

Le plus peuplé des pays africains n’est pas le seul à être touché par ce fléau. En 2017, le cabinet de conseil kényan Serianu, spécialisé dans la cybersécurité, estimait le coût annuel de cette délinquance à 3,5 milliards d’euros pour le continent. Un chiffre qui ne devrait pas baisser de sitôt : « Comme partout, l’Afrique est exposée à la criminalité numérique internationale. Et la menace ne cesse d’augmenter à mesure que les usages se démocratisent, que les compétences en informatique progressent et que les services se numérisent », analyse Emmanuel Cheriet, directeur d’Orange Cyberdefense pour le Maroc.

Un marché qui devrait avoisiner 2,3 milliards d’euros en 2020

L’opérateur français a bien compris l’opportunité qui s’offre à lui. La cybersécurité, définie comme un pilier stratégique du groupe, est déjà une activité qui représente à l’échelle mondiale pas moins de 1 500 personnes et 350 millions d’euros de chiffre d’affaires, logés dans sa division Orange Cyberdefense, indépendante des directions régionales opérationnelles, dont Orange Middle East and Africa.

Avec d’autres, le géant du secteur aux 130 millions d’abonnés sur le continent lorgne un marché africain qui, selon une étude de Marketsandmarkets, avoisinera 2,3 milliards d’euros en 2020. Orange Cyberdefense a ouvert en octobre 2018 un hub à Casablanca qui devrait employer une cinquantaine de personnes d’ici à 2021 et depuis lequel il souhaite piloter l’ensemble de ses opérations pour l’Afrique.

Outre cette implantation marocaine stratégique, la division cybersécurité du groupe français dispose d’un centre de production implanté au Caire, et est présent au Cap et à Pretoria depuis son rachat en février 2019 du britannique SecureData, pour 50 millions d’euros. « Nous visons une croissance de plus de 50 % par an sur les quatre à cinq premières années », explique Emmanuel Cheriet.

Pour y parvenir, son équipe s’adresse en priorité aux grandes entreprises privées et parapubliques de la banque ou de l’industrie ainsi qu’aux administrations des pays où l’opérateur est déjà présent, comme le Sénégal et la Côte d’Ivoire. Son offre va du simple audit de deux ou trois jours facturés quelques milliers d’euros à des prestations de conseil et de mise en œuvre plus sophistiquées, pouvant atteindre le million d’euros. « L’objectif est de se créer une masse critique en faisant du sur-mesure. Par la suite, nous déploierons une palette d’offres industrialisables qui s’adresseront aux PME. Le tout sous forme de package standardisé », vante encore le dirigeant d’Orange.

Les opérateurs occidentaux ont un coup d’avance

Si le français a opté pour le développement d’une expertise interne au groupe, tel n’est pas le choix de ses concurrents. Depuis le mois de mai, Vodacom propose lui aussi des solutions de cybersécurité. Pour ce faire, la branche africaine du géant britannique Vodafone a choisi de s’adosser au spécialiste américain BlackFog. Même stratégie pour l’opérateur marocain Inwi, qui s’est entouré du californien Palo Alto Networks pour ses pare-feu, d’Arbor Networks pour ses solutions de lutte contre les attaques par déni de services (DDoS), de Symantec pour son centre opérationnel de sécurité installé en mai à Casablanca, et enfin d’Ineos pour l’intégration de solutions.

« Les opérateurs occidentaux ont un coup d’avance sur le continent, car leurs clients professionnels exigent des prestations de sécurité depuis des dizaines d’années. Les acteurs africains ou moyen-orientaux, comme MTN ou Etisalat, sont moins bien positionnés sur ce créneau, notamment parce qu’ils sont davantage orientés vers une clientèle grand public », analyse Jean-Michel Huet, de BearingPoint.

POUR DES PIRATES, LES ENTREPRISES AFRICAINES PEUVENT ÊTRE VUES COMME DES PORTES D’ENTRÉE

Néanmoins, les opérateurs de télécoms sont loin d’être les seuls sur le marché : « Ils sont légitimes, ils ont leur place, mais ce ne sont pas les principaux acteurs », poursuit Jean-Michel Huet, rappelant que des géants de l’informatique et du numérique, tels que le français Atos, ou bien l’américain Palo Alto Networks – qui se revendique comme le leader mondial de la cybersécurité –, sont aussi bien implantés sur le marché.

Les consommateurs davantage visés que les entreprises

« Les offres des opérateurs européens sont calquées sur ce qu’ils ont déjà fait dans leurs pays d’origine et ne tiennent pas compte du contexte africain, où le mobile est le premier support utilisé », fait remarquer James G. Claude, directeur général de Global Voice Group, spécialisé dans les solutions informatiques pour les autorités de régulation. De fait, les solutions de cybersécurité vendues par un opérateur de télécoms tel qu’Orange répondent surtout à des demandes de mise en conformité aux normes internationales ou en vue d’un partenariat ou d’une coentreprise entre deux structures, l’une africaine, l’autre internationale, lorsque l’une est mieux protégée que l’autre.

Si bien qu’il répond surtout aux besoins des entreprises occidentales, qui veulent éviter que le continent ne devienne – comme cela peut être le cas de certains pays de l’Europe de l’Est – le maillon faible de leur protection contre les cyberattaques : « Un pirate est opportuniste, les entreprises africaines peuvent être vues comme une porte d’entrée via les systèmes d’information de leurs clients internationaux », avertit d’ailleurs Nicolas Arpagian, directeur stratégique et des affaires publiques d’Orange Cyberdefense.

Pourtant, selon Lacina Koné, directeur général de Smart Africa, une initiative soutenue par l’Union africaine et 24 pays subsahariens visant à l’avènement des nouvelles technologies sur le continent, « les cyberattaques pèsent en réalité bien plus sur les particuliers que sur les entreprises ».

Une vigilance étatique aussi nécessaire

Selon cet Ivoirien, près de 90 % des infractions numériques en Côte d’Ivoire concernent ainsi les utilisateurs des services de banques mobiles. Une proportion semblable à celle évoquée par James G. Claude pour d’autres régions du continent. Reste que pour protéger les consommateurs de services payants sur mobile de diverses fraudes – et en particulier de l’usurpation d’identité –, il faudra nécessairement une vigilance des États africains sur le sujet, et la mise en place de lois ad hoc poussant à investir massivement dans ce sens.

« Le sujet de la cybersécurité n’a pas été traité dans une majorité de pays. Or les groupes internationaux actifs dans le numérique apportent avec eux les normes européennes ou américaines, qui ne correspondent pas aux environnements africains. Il faut éviter la fraude, la loi de la jungle, mais aussi une colonisation digitale », fait valoir Lacina Koné, qui appelle les décideurs publics africains à défendre plus vigoureusement, par la régulation, les intérêts des entreprises et des consommateurs africains en poussant les différents acteurs du numérique – en lien avec les opérateurs de télécoms – à investir davantage sur une cybersécurité mieux adaptée aux besoins locaux.