Aujourd’hui, de nombreux pays africains sont confrontés à des défis dans la protection de leurs infrastructures essentielles. Il s’agit notamment de l’absence de politiques et de lois, de l’absence d’un cadre d’échange d’informations et de coordination pour les infrastructures détenues ou gérées par le gouvernement et le secteur privé, des capacités et de ressources insuffisantes, d’actes de terrorisme et de vandalisme.
Libéria : En 2016, un pirate informatique trop zélé employé par une grande entreprise de télécommunications a saboté le réseau d’un rival, ce qui a privé la moitié du pays de ses transactions bancaires. Coupé de l’accès à Internet, le ministre libérien de l’Information, apparemment chargé de la réponse pays, a demandé de l’aide à la radio française. Malgré les appels à l’aide lancés par le Libéria à l’étranger, les autorités n’ont procédé à des arrestations qu’après que le logiciel utilisé dans l’attaque ait été utilisé pour désactiver Deutsche Telekom.
Nigeria : En août 2012, Boko Haram aurait piraté les bases de données des dossiers personnels des services secrets nigérians, révélant les noms, adresses, informations bancaires et membres de la famille du personnel actuel et ancien de l’agence d’espionnage. La violation a été exécutée au nom de Boko Haram en réponse à la gestion par le Nigeria des interactions avec le groupe. Cette attaque était importante car elle représentait un changement substantiel dans les tactiques du groupe, qui a une position anti-occidentale.South Africa: In June 2020, Life Healthcare, the second largest private hospital operator in South Africa was hit by a cyberattack. This attack, which happened during the COVID-19 pandemic, is believed to have cost the organisation more than a month in downtime, affected its admission systems, business processing systems, and email servers, with some systems being forced offline.
Afrique du Sud : En juin 2020, Life Healthcare, le deuxième plus grand opérateur d’hôpitaux privés en Afrique du Sud, a été frappé par une cyberattaque. Cette attaque, qui s’est produite pendant la pandémie de COVID-19 et qui aurait coûté à l’organisation plus d’un mois d’indisponibilité, a affecté ses systèmes d’admission, ses systèmes de traitement d’entreprise et ses serveurs de messagerie, certains systèmes étant mis hors ligne.
L’entreprise publique Transnet, qui exploite des chemins de fer, des ports et des pipelines en Afrique du Sud, a fait face à une cyberattaque en juillet 2021. L’attaque a amené Transnet à déclarer le cas de force majeure dans plusieurs terminaux à conteneurs clés, notamment le port de Durban, Ngqura, Port Elizabeth et Cape Town. L’impact de l’attaque a été « sans précédent » selon l’Institut d’études de sécurité (ISS) car il s’agissait de « l’intégrité opérationnelle des infrastructures maritimes essentielles du pays qui avait subi une grave perturbation » pour la première fois, entraînant la fermeture d’une route commerciale essentielle et la perturbation des services commerciaux vitaux au milieu d’une pandémie mondiale.
La Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel exige des États qu’ils élaborent une politique nationale et une stratégie de cybersécurité qui définissent les objectifs et les délais de mise en œuvre efficace de la politique. Élaborée en collaboration avec les parties prenantes et fondée sur une approche tous risques, la politique devrait identifier les risques auxquels le pays est confronté et reconnaître l’importance des infrastructures d’information essentielles (IIE). La convention exige des pays qu’ils adoptent les mesures législatives et/ou réglementaires nécessaires pour identifier et protéger les secteurs et les systèmes liés aux technologies de l’information et de la communication qui sont essentiels à la sécurité nationale et au bien-être de l’économie.
La protection des infrastructures essentielles exige l’engagement national énoncé dans la stratégie, la politique et la législation pertinentes.
« Protéger les infrastructures essentielles et les infrastructures d’information essentielles, c’est comme prédire un tremblement de terre. En géologie, nous savons le lieu de survenance et la magnitude d’un tremblement de terre, mais ce que nous ne savons pas, c’est le moment. »
Source vidéo : Webinaire de la Strathmore University Business School – Infrastructures d’information essentielles au Kenya : explorer l’efficacité et l’impact du cadre juridique et institutionnel existant
Exercice : Cyberattaques contre les infrastructures