CyberAfricaForum, Clap de fin !

Seul on va vite, ensemble on va plus loin.


Il y a un mois (07 Juin 2021) se tenait la 1ère édition du CyberAfricaForum à Abidjan, Côte d’Ivoire 🇨🇮. Le #CyberAfricaForum est une plateforme d’échanges et de contacts à vocation régionale. Il donne rendez-vous aux acteurs de la cybersécurité africains et internationaux.

Le CAF se voulait être à l’image du FIC, Forum International de la Cybersécurité. L’ambition était haute mais à l’arrivée le pari tenu.

Franck Kié et ses équipes de ciberobs, ont abattu un travail de fou pour y arriver et proposer un évènement de qualité comme je n’en avais jamais vu auparavant.

Enseignements tirés

Jamais je n’avais été aussi impliqué dans l’organisation d’un évènement en Afrique.

Début avril, j’ai commencé à discuter avec Franck Kié, sur l’organisation d’une compétition de cybersécurité, CTF. Il a su m’accorder sa confiance sans réellement savoir de quoi il s’agissait… Mais c’était loin d’être gagné ! Il fallait tout monter, dispenser un service de qualité et surtout attirer les jeunes. Les deux mois de préparation ont été très intenses… pour proposer le HackingChallenge.

HACKINGCHALLENGE

Finalement, une immense joie ! Impressionné par cette première édition de très très grande qualité. Ma plus grande joie, a été de voir l’engouement de ces jeunes et de me dire qu’il fallait cet évènement dans l’Evènement !

En plus, de l’organisation technique de la compétition de cybersécurité, j’ai participé à une table ronde très animée sur les visages de la cybersécurité.

Le clou fût certainement, la démonstration en live lors de la cérémonie de clôture devant la société civile, des officiels et différents décideurs cybersécurité en Afrique.

Ce fût de même l’occasion de rencontrer de nombreuses personnes très intéressantes pour parler cyber mais surtout collaborer dès demain.

Voici quelques points que je retiens :

  • Il y a tout à faire en Afrique et c’est un très beau défi à relever ensemble

  • De nombreux acteurs sont déjà mobilisés et travail dans l’ombre : Franck KIE, Didier SIMBA, Nathalie KIENGA, et bien d’autres encore …

  • Monter des évènements techniques de cybersécurité (Capture The Flag) sont très appréciés et nécessaires

  • La souveraineté numérique de l’Afrique a été évoqué souvent mais les contours sont très flous pour de nombreux acteurs

  • Les CyberTaskForces seront nécessaires pour aller au bout de ce beau défi cyber en Afrique

  • De nombreux officiels étaient présents, signe de l’importance qu’ils portent à ce sujet stratégique

  • La cybercriminalité est en hausse et avec elle les cyberattaques seront la suite logiques. Il y aura besoin de personnes formées, d’équipes capables de faire de la réponse à incidents. #DFIR, #IR

  • Je vais plus que jamais dédié 50% de mon temps à l’Afrique sur la cybersécurité. Il est temps de passer à l’étape supérieure, de prendre mon bâton du pèlerin et d’aller prêcher la bonne parole, éduquer et changer les mentalités.



Fort de toute cette expérience à Abidjan lors du CyberAfricaForum, le champ des perspectives est plus que jamais bien ouvert.

Ce présentiment qu’il y avait tout à faire en Afrique s’est confirmé.

La société civile sera la première touchée par toutes les cyber mutations de cette décennie. Si rien n’est fait pour l’alerter, elle ne sera que spectatrice des dégâts qui s’opéreront.

Le numérique gagne du terrain jour après jour en Afrique. La digitalisation et un internet plus accessible facilitent la surconsommation de produits numériques, d’achats par internet et une ouverture au monde.

Mais l’état des lieux concernant la sécurité de ces infrastructures est à déplorer. De nombreuses banques subissent hebdomadairement des cyberattaques et surtout des détournements de fonds suite à des failles dans les systèmes d’information. Aucune de ces banques, d’après mes sources, ne porte plainte ou en parle. La loi de l’omerta est légion en Afrique concernant la cybersécurité. Il est mauvais genre de s’étaler. Et puis dire que l’on a été attaqué serait un aveu de faiblesse et d’incompétences de ces structures et par elles, celles de leurs équipes de sécurité lorsqu’elles en ont.

Il en est tout autre ! La cybersécurité n’est pas question de superhéros. Tout le monde se fait attaquer et tout le monde à un moment donné subi une intrusion.

Les mentalités sont à changer auprès de ces structures et expliquer qu’il faut se faire accompagner, sensibiliser et préparer le personnel tant se faire que peu pour pallier aux risques de cyberattaques qui seront demain la norme en Afrique.

La sensibilisation et l’impact ne seraient pas effectif, s’il n’y avait pas d’actions menées directement envers ces entités spécifiques. C’est par elles que viendra le salut ! Les lois, les dispositions et d’autres actions auront besoin de partir de l’étatique ou d’entités fédératrices pour insuffler un vent nouveau.

Par exemple, voter des lois pour unifier le cyberespace de la sous-région voire de l’Afrique pour éviter qu’un cyberattaquant se trouvant dans un pays de l’Afrique de l’Ouest X ne pille sans crainte une banque se trouvant dans un autre pays d’Afrique de l’Ouest Y.

Il y a aussi l’urgence de mettre en place de vrais centres de formations pour la jeunesse africaine qui est pleine de ressource concernant le numérique et la cybersécurité. Hélas, ces pépites sont très peu visibles du manque d’initiatives, de moyens et de ressources.

On a pu toucher du doigt concrètement ce point avec Sanson Chaignon et Youssef DESTEFANI en organisant le CTF en Abidjan. On a pu rencontrer plus de 300 personnes qui sont venus nous voir lors d’une soirée hacking et partage. Nous avons été très émus de voir l’engouement, l’accueil et les étoiles que l’on a pu mettre dans les yeux de tous ces jeunes. Mais quid de l’accompagnement… de l’après…

Différentes initiatives pour fédérer les ingénieurs et experts de la Diaspora d’une manière plus efficace pourraient être envisagées. Beaucoup de jeunes (comme moi) veulent apporter un peu de notre expertise mais le chemin est parfois tortueux… les personnes à contacter difficilement identifiables. La fuite des cerveaux est un vrai sujet sociétal en Afrique. Le domaine de la cybersécurité est désormais stratégique en Afrique. En mon sens, il y a différentes actions à mener pour rectifier le tir.



TAKEAWAYS

Autres points tirés, il faudra préparer toutes ces structures stratégiques, qui ont l’appellation d’Opérateur d’Importance Vitale (OIV) en France / Europe, contre les cyberattaques. Pour ce faire :

  • des Security Operations Center (SOC) / CERT (Computer Emergency Response Team) / CSIRT (Computer Security Incident Response Team) seront primordiaux à déployer et mettre en place. Derrière ces acronymes barbares se cachent des équipes d’experts en sécurité informatique organisées pour réagir en cas d’incident informatique ;

  • des sessions de gestion de crise seront IMPERATIVES pour préparer à 80% les équipes pour faire face aux nombreuses cyberattaques qui s’abattront d’ici 2022 en Afrique ;

  • des session de phishing at scale à destination de banques locales, de groupes stratégiques devront être récurrentes pour voir le niveau d’adhésion des collaborateurs ;

  • la réponse à incidents sera un des fers de lance de la stratégie cyber en Afrique. Disposer d’un pool ressource de personnes capable d’être déployées en 72h sur site en Afrique pour aider les entreprises qui seront cryptolockées et aux abois ;

  • ARRETER l’utilisation des mails avec GMAIL lorsque l’on est dans le gouvernement ! Beaucoup de ministres, conseillers ou personnes à des postes sensibles, ont sur leur carte de visite un contact avec une adresse gmail. La question de la souveraineté numérique est liée à ce genre de mauvaises pratiques ;

  • SENSIBILISER, ENCORE et TOUJOURS, il faudra. Peu importe les meilleurs systèmes et équipements de sécurité à la pointe, si votre ressource la plus précieuse, n’est pas informée et sensibilisée, votre Politique de Sécurité des Systèmes d’Information est totalement bancale ;

  • La JEUNESSE est l’avenir de l’AFRIIQUE. La cybersécurité sera incontournable dans la décennie. Pour faire face à tous les enjeux qu’elle posera, il faudra des compétences et des ingénieurs capables d’adresser toutes ces problématiques. Or c’est dès maintenant que cela se joue.

Mécènes, gouvernements, entités doivent investir dans la formation supérieure pour délivrer un enseignement de qualité et former nos ingénieurs cyber de demain pour l’Afrique ;

  • Enfin, la société civile, ne doit pas rester en marge de cette cyber transformation en Afrique. Des campagnes de publicité, des actions ciblées doivent primer pour enclencher cette prise de conscience cyber-responsable.


ABIDJAN EST LE PLUS DOUX AU MONDE

C’est aussi l’occasion pour moi de témoigner de l’accueil chaleureux et en grandes pompes des Ivoiriens. On a vraiment passés deux semaines extraordinaires dans ce beau pays d’Afrique de l’Ouest. La nourriture y est extra : allocos, poulet braisé, poisson braisé, sauce arachide, sauce graine, pili pili, foutou banane, poisson mademoiselle, …

Petit conseil, ayez toujours 1000FCFA ou 2000FCFA sur vous le soir quand vous prenez un taxi. On s’est fait arrêter plusieurs fois par la police et 2 fois sur 7, et même ayant nos papiers sur nous, on a dû leur donner de l’argent.

Je suis parti avec mon reflex D7500 et un objetif fixe un 50mn. Je vous partage enfin quelques photos de ce séjour global.

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE

HACKINGCHALLENGE



MERCI

Un énorme merci aussi à mes deux acolytes chaignc et Youssef DESTEFANI, avec qui cette aventure a vraiment pris tout son sens. Je n’oublie pas Adama # ASSIONGBON qui était aussi en remote et nous a aidé.

Merci à vous d’avoir lu mon RETEX sur cette folle expérience. Je reste disponible pour construire la cybersécurité en Afrique. Aussi, n’hésitez pas à me contacter pour différents projets ou des interventions à mener directement sur place. On se déploie en 72h sur toute l’Afrique.



Cybèrement vôtre, SaxX