Face à la multiplication des attaques visant des institutions publiques stratégiques, la cybersécurité s’impose désormais comme un enjeu de continuité de l’État et de souveraineté numérique. Au-delà des réactions immédiates, la situation appelle une lecture structurée, posée et fondée sur l’expérience des politiques publiques numériques.
Dans cet article publié sur son compte Linkedin, Professeur Chérif Diallo, ancien Directeur des TIC au Ministère du Numérique du Sénégal, propose une analyse rigoureuse qui dépasse la simple question des outils. Il rappelle que la cybersécurité est avant tout une démarche organisationnelle permanente, articulée autour de l’anticipation, de la gestion des risques et de la résilience des systèmes critiques.
À travers cette contribution, l’auteur interpelle aussi bien les organisations opérant des infrastructures sensibles que l’État, appelé à renforcer la gouvernance nationale, l’investissement et la valorisation des compétences locales. Un texte de fond qui invite à passer d’une logique réactive à une véritable stratégie durable de cybersécurité.
Après la DGID, la DAF et SENUM SA viennent à leur tour d’être attaquées. Il y a beaucoup de choses à dire en pareille situation. Mais ce qu’il faut retenir c’est que la Cybersécurité est une affaire très sérieuse qu’il faut aborder avec beaucoup de professionnalisme et de moyens. Pour l’heure, il faut se concentrer sur les plans de contingences, les plans de continuité d’activités et les plans de reprise après sinistre. Ces plans sont essentiels pour limiter le temps d’interruption des services, mais aussi et surtout les conséquences d’une éventuelle attaque. Cela dit, il faut que les autorités soient conscientes qu’il faut investir davantage dans la cybersécurité.
C’est quoi la cybersécurité ? La cybersécurité ce n’est pas acheter et implémenter des outils de sécurité (firewalls, VPN, proxies,etc.). Loin de là, c’est une attitude organisationnelle et technique quotidienne qu’il faut adopter avec comme démarche le cycle des 6 étapes suivantes :
1. Réaliser régulièrement un Inventaire exhaustif des actifs.
2. Faire des Audits réguliers des vulnérabilités, aussi bien des éléments pris séparément que de l’ensemble du système d’information.
3. Étudier les menaces qui pourraient résulter de l’exploitation des vulnérabilités identifiées à l’étape précédente.
4. Gérer les risques. Le risque étant la conséquence de la réalisation potentielle d’une menace. Ici, il faut savoir décider pour chaque risque s’il faut le contenir, le transférer ou à défaut l’accepter.
5. Élaborer et mettre en œuvre la politique de sécurité.
6. Enfin, il faut faire un Audit et un monitoring sans complaisance de cette politique de sécurité, afin de l’ajuster en la mettant régulièrement à jour, avant de retourner à l’étape 1.
En adoptant cette démarche, les plans de contingence, de continuité d’activités et de reprise après sinistre seront élaborés à l’issue de l’étape 4, et seront testés et régulièrement mis à jour dans les étapes 5 et 6.
Celà dit, il s’agit ici de l’attitude que devrait adopter les organisations, surtout celles qui opèrent des infrastructures critiques comme SENUM SA, la DAF, la DGID, l’AIBD, la SENELEC, SENEAU, les BANQUES, etc.
Maintenant, au niveau de l’État, il est question d’organiser la gouvernance de la cybersécurité à l’échelle nationale en mettant en place les structures appropriées tout en instaurant la synergie qui sied à ce niveau entre ces différentes structures, en adoptant une stratégie nationale de cybersécurité, en réactualisant le cadre juridique pour l’adapter aux enjeux et tendances actuelles des menaces.
Pour finir, il faut aussi attirer l’attention des autorités sur le fait que le pays regorge de talents et de capacités en matière de cybersécurité. En s’appuyant sur les compétences locales cela permettrait de préserver certains critères de sécurité tout en posant les jalons d’une longue marche vers plus de souveraineté dans ce secteur.
