Cybercriminalité/SEEG : «C’est l’occasion de combler les vides juridiques qui serviront de jurisprudence pour le futur», estime David Mbouroukounda

Alors que l’affaire du piratage des compteurs Edan continue d’alimenter les débats, que beaucoup s’interrogent sur les contours de la cybercriminalité et de la cyberdéfense dans le pays, nous avons consulté Manstrict consulting, le cabinet français qui a, à plusieurs reprises débattu avec les experts locaux du privé et du public dans le cadre  des Assises du numérique. Dans cet entretien, David Mbouroukounda, son président, nous rappelle le contexte et les enjeux auxquels fait face le  Gabon, apporte des réponses issues des  échanges entre le cabinet et les experts locaux et espère surtout que le cas de la SEEG serve de jurisprudence pour le futur. 

Après le scandale de la SEEG, David Mbouroukounda appelle à «combler les vides juridiques qui serviront de jurisprudence pour le futur». © D.R.

David Mbouroukounda. © D.R.

GabonReview : Comment avons-nous atteint ce niveau de risque qui touche la souveraineté de  l’état ? 

David Mbouroukounda : Numérique ou physique, la criminalité a la même forme. Ainsi la réponse à un crime se  base sur la criminalistique et ses techniques de réponses à incidents. Aujourd’hui pour  répondre à la cybercriminalité nous utilisons la cybersécurité. Le but de la cybersécurité est de réduire la vulnérabilité et l’impact. Nous avons ce niveau de risque parce que nous sommes incapables de réduire la vulnérabilité et l’impact des  risques inhérents à notre souveraineté numérique. À ne surtout pas confondre avec la cyberdéfense dont le but est d’augmenter le risque d’échec de la menace.

De façon simple… 

La cybersécurité met en place des fonctions de protection et de résilience face à des menaces humaines, dont certaines sont pérennes et organisées. Pour comprendre le niveau d’un risque, il faut aller voir les marqueurs forts de sa composition qui sont la menace, la vulnérabilité et l’impact. La connaissance de la menace permet d’anticiper et de pondérer les risques.

Vous dites donc que cela est du ressort de la cyberdéfense ? Avons-nous ce type de mécanisme au Gabon ?

Absolument. Cependant il est freiné par le manque de collaboration, la rétention d’information, l’obstruction et le boycotte d’activités. Cela nous rattrape toujours, car l’analyse de la menace est une activité transverse dont le rôle est de connecter ceux qui ont besoin de savoir avec ceux qui savent. Et c’est à ce moment précis que l’information ne circule pas au Gabon et dans plusieurs pays africains. Après, même si les techniques d’analyse de la menace se basent sur le renseignement qui est une méthodologie de recherche centrée sur une question. La finalité est la même, il faut répondre à une question en apportant des moyens d’actions et de prise de décision.

Voyez-vous des causes plus profondes circonscrites au périmètre de la SEEG ? 

Restant sur la SEEG, l’une des causes profondes est qu’il y a un vide juridique. Nous avions fait en octobre des recommandations urgentes au gouvernement sur le fait de légiférer sur la souveraineté du cyberespace gabonais qui inclut les données, les infrastructures, les organisations, les processus et les moyens humains mis à disposition. Nous avons demandé de catégoriser les entités qui concourent au maintien de la souveraineté en deux blocs les Opérateurs d’Importance vitale (OIV) et les Opérateurs de Services essentiels (OSE). La SEEG étant un OIV elle doit suivre les règles de sécurité imposées par le gouvernement et elle doit informer sans délai le gouvernement des incidents affectant le fonctionnement ou la sécurité de son système d’information. Mais surtout et enfin la SEEG doit soumettre son système d’information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité sur demande du gouvernement. A  cela on rajoute que plus de 75 % des failles numériques d’une organisation viennent de l’intérieur. En octobre 2023, nous avons évoqué, débattu et fait des recommandations au ministre de l’Économie numérique en présence des directeurs généraux des entités sous tutelle, ANINF, SPIN, ARCEP, AGEOS, DGPEN rien n’a été pris en compte aucun retour rien du  tout.

Vous évoquez une cause politique. Est-elle liée au cadre réglementaire et à la loi ?

Absolument. À cela vous ajoutez les moyens de l’état pour concevoir et appliquer ces  contrôles qui n’existent pas. Aujourd’hui je le redis malgré toutes les entités spécialisées  le Gabon n’a pas encore atteint les stades de transparence et de collaboration indispensables au développement numérique d’un pays. Il faut faire plus d’efforts.

Quelles sont vos recommandations dans le cadre de cette affaire ?

Comme vous l’avez mentionné dans l’un de vos articles, l’enquête s’annonce explosive. Pour cela il faut traiter ce dossier sur plusieurs volets numériques. Sur les constats multicouches avec l’organisation et ses processus ; les applications ; les échanges d’informations ; les flux de données ; les infrastructures ; les entités externes de soutien et leurs contrats. Ensuite sur la conduite des investigations numériques à mener selon les règles de l’art dans la manipulation de la preuve et la mise sous scellé. C’est l’occasion de combler les vides juridiques qui serviront de jurisprudence pour le futur.