Vous êtes secrétaire général du Centre Africain de la Cybersécurité, une association de cybersécurité implantée au Maroc et dont les adhérents sont répartis dans plusieurs pays. Quelle était la démarche à l’origine de sa création ?
J’ai été RSSI d’un ministère au Maroc et j’ai été amené à rencontrer d’autres RSSI dans le cadre d’événements, de forums. Nous partagions le même vécu, les mêmes soucis et chacun travaillait de son côté. Or quand une organisation est victime d’une attaque, le professionnel a besoin d’échanger mais ne trouve pas à qui parler. Tout est sensible, confidentiel, ce n’est pas simple de parler des vulnérabilités.
C’est pourquoi nous avons voulu ouvrir un cadre de partage d’expérience, dans un contexte de société civile et créer des activités de sensibilisation. Et nous avons voulu le faire dans un cadre africain. Donc en 2018, nous avons créé le Centre Africain de la Cybersécurité et cela a été le point de départ de notre travail.
J’en suis le secrétaire général, et le président est RSSI du ministère de l’Education Nationale du Maroc. Il assure la sécurité de l’information de plusieurs millions d’apprenants.
Comment êtes-vous passé d’un cadre plutôt national au cadre international qui est le vôtre aujourd’hui ?
Cela a commencé au Maroc et nous avons commencé à communiquer avec plusieurs pays comme le Mali, le Sénégal, la Tunisie.
Nous avons rencontré d’autres associations de RSSI, des clubs DSI, si bien qu’en 2019 nous avons créé l’Alliance africaine pour la cybersécurité qui regroupe des professionnels de 12 pays maintenant.
C’est un succès foudroyant ! Comment vous êtes-vous développés aussi vite ?
Quand quelqu’un a des soucis tout seul, il souffre seul. Mais être ensemble libère la parole et le besoin était là. Donc cela a fonctionné très rapidement. Nous avons commencé avec l’Afrique francophone mais là il y a d’autres pays anglophones qui vont nous rejoindre, le Nigeria et l’Ouganda notamment.
On a commencé par des activités de sensibilisation et puis on a commencé à travailler avec des partenaires en Afrique, on a signé un partenariat avec le Cyber Africa Forum à Abidjan et j’ai fait un appel à la création d’une réglementation sur la protection des données en Afrique. Il y a des organisations africaines qui travaillent avec l’Europe et l’Europe a le RGPD. Mais en Afrique il n’y a pas de cadre pour l’instant. Nous travaillons là-dessus avec nos partenaires et au sein de notre comité scientifique.
Quels sont pour vous les enjeux spécifiques de cybersécurité aujourd’hui en Afrique ?
La fuite des cerveaux africains vers l’étranger. C’est un enjeu très grave. On a des compétences, beaucoup de compétences. Mais le problème c’est qu’en terme d’emploi, le salaire minimum est très bas en Afrique. En termes de conditions de travail, ce n’est pas aussi satisfaisant qu’au Canada par exemple, en termes, de motivation, de progression de carrière, non plus. Qui dit augmentation de la technologie dit augmentation des risques. Donc les RSSI sont très demandés et il y a de nombreuses possibilités d’émigrer. Tout cela pousse les RSSI à chercher à améliorer leur vie et leur carrière ailleurs.
Dans mes conférences, dans mes rencontres, je multiplie les appels à l’amélioration des conditions de travail des RSSI pour qu’ils restent. Et là l’Afrique bénéficiera de ses experts, de l’Afrique pour l’Afrique.
Il y a des signes encourageants, les pays africains so1nt conscients qu’ils doivent compter sur leurs ressources, naturelles, humaines, pour se développer. Il y a aussi une mobilisation pour trouver un cadre de travail commun par la réglementation en considérant la convention de Malabou comme point de départ.
Cette convention, signée par 55 pays en juin 2014, fixe des objectifs communs. Mais elle n’était ratifiée que par 22 pays en 2023. Cela progresse, pour harmoniser les législations (libertés fondamentales, environnement juridique, protection des données…), mais le chemin est encore long pour que ces objectifs soient partagés par tous.
En Europe le contexte géopolitique, avec l’Ukraine par exemple, impacte la cybersécurité. Qu’en est-il en Afrique ?
Les coups d’états bouleversent la pratique cyber, la ralentissent. Si vous travaillez avec des partenaires, que vous essayez d’établir des conventions et qu’un coup d’Etat se produit, tout change vous devez attendre que tout se stabilise à nouveau pour pouvoir travailler. Le manque de stabilité fait partie des enjeux qui retardent l’avancement de nos objectifs de cybersécurité.
La maturité en termes de cybersécurité est très diverse en fonction des pays. Le Maroc est très avancé, il a fixé une loi pour la protection des données personnelles dès 2009 et a créé une commission pour veiller à son application. La Côte d’Ivoire est avancée, l’Ouganda aussi… mais il y a quelques pays pour lesquels il reste beaucoup de chemin. Mais ils ne restent pas les bras croisés, ils créent des lois, des agences nationales de sécurité, ça bouge. C’est très encourageant.
SI on revient à vous, au CAC, quels sont vos projets, qu’est-ce qu’on peut vous souhaiter ?
Nous avons fixé 3 axes d’action. Nous allons d’abord nous concentrer sur la recherche. Tout le monde parle des actions, des politiques, du management, mais on oublie la partie recherche et développement qui est très importante, dans tous les domaines. Il faut accompagner ces évolutions avec des innovations. Et pas seulement dans la technologie mais également des innovations low tech. Il faut faire évoluer les concepts de la cybersécurité, les démarches.
Deuxième axe, on va se travailler sur la sensibilisation. Elle va jouer un rôle très important dans le changement des paradigmes. Pour cela nous allons lancer une caravane de sensibilisation qui va être créée pour 2024. C’est une station de sensibilisation qui va commencer au Maroc et elle va s’installer dans des villes pour faire des actions d’information et sensibilisation auprès du grand public. On a une forte utilisation des smartphones au Maroc et on a beaucoup de cybercriminels qui utilisent des logiciels malveillants pour collecter les données et les vendre. Et le grand public ne le sait pas. Donc c’est très important pour nous d’informer là-dessus. On approche du 8 mars, la cyberviolence est un enjeu très important aussi. Beaucoup de femmes sont victimes de violence sur Internet.
Nous avons enfin un axe d’action à l’international. Nous sommes partenaires de plusieurs organisation internationales. L’Alliance que j’évoquais tout à l’heure, le Campus Cyber méditerranéen qui va être lancé bientôt. Cette année nous allons organiser le premier sommet Méditerranéen et Africain de la cybersécurité, MedAfrica, qui aura lieu en novembre 2024 à Tanger. Nous avons choisi cette ville parce qu’elle représente une porte, c’est le point le plus proche qui relie l’Europe à l’Afrique. Il y aura des workshops, des conférences, et un espace d’exposition. On va inviter les RSSI et DSI de nos partenaires de 12 pays. Ce sera un espace de networking, d’échange, plus de 150 RSSI seront invités.
Merci pour cet échange passionnant et tout le meilleur pour vos projets à venir !
Plus d’informations sur les activités du Centre Africain de la cybersécurité : https://www.cac.org.ma/