Par Dr Sami Ayari*
L’Union Internationale des Télécommunications (UIT) vient de publier son Global Cybersecurity Index 2024, un indicateur global permettant de mesurer les efforts des pays en matière de cybersécurité. Ce rapport nous annonce malheureusement de mauvaises nouvelles et tire la sonnette d’alarme, un net recul par rapport à 2020 alors que des pays voisins ont fait un saut important.
Nous rappelons que “Le Global Cybersecurity Index » (GCI) est un indice composite développé par l’Union Internationale des Télécommunications (UIT), principal organisme mondial chargé des questions relatives aux technologies de l’information et de la communication. Il constitue une référence fiable pour évaluer le niveau d’engagement des pays en matière de cybersécurité à travers le monde, tout en sensibilisant à l’importance et à l’ampleur des enjeux cybernétiques. L’index repose sur cinq piliers fondamentaux : mesures légales, mesures techniques, mesures organisationnelles, développement des capacités et coopération internationale.
Mieux comprendre et se protéger
L’objectif du GCI est de fournir un indicateur global permettant de mesurer les efforts des pays en matière de cybersécurité, tout en promouvant la coopération internationale et le partage des connaissances. Sa méthodologie repose sur une approche multipartenariale impliquant des experts et organisations diversifiées, améliorant ainsi la qualité des évaluations. En tant qu’outil crucial, le GCI permet de comparer les efforts de cybersécurité des nations et d’identifier les domaines nécessitant des améliorations.
Le GCI joue un rôle central dans le suivi de l’évolution des efforts mondiaux en matière de cybersécurité, favorisant la coopération internationale et encourageant les États à renforcer leurs stratégies et politiques dans ce domaine. En somme, il s’agit d’un outil clé pour mieux comprendre et se protéger contre les menaces cybernétiques à l’échelle globale.
Le rapport de 2024 a retiré le classement des pays et a mis en place des niveaux de maturité. La Tunisie hélas est classée au Niveau 3 de maturité sur cinq niveaux (T1-T5), un niveau que nous qualifions de désastreux, et nous expliquerons pourquoi plus tard,
“Niveau 3 (T3) – Establishing ou Établissement désigne les pays ayant obtenu un score global d›au moins 55/85, reflétant un engagement de base en matière de cybersécurité. Ces pays mettent en œuvre des actions initiées par les pouvoirs publics, couvrant l’évaluation, l’élaboration ou la mise en place de certaines mesures de cybersécurité reconnues. Cet engagement s’applique à un nombre modéré de piliers ou d’indicateurs évalués.”
Nous avons un score entre 55 et 85, avec des pays comme la Sierra Leone, la Mongolie, la Gambie…
En 2020, nous étions 45e mondial avec un score de 86.23, c’est-à-dire au Niveau T2.
Ce score est décliné selon 5 axes : mesures légales 20/20, mesures techniques (19.54/20), mesures organisationnelles (12.21/20), développement des capacités (16.96/20) et coopération internationale (17.52/20), et nous voyons tout de suite nos axes d’amélioration…
Le Maroc était 50e avec 82.41, l’Egypte 23e avec 95.48, la Jordanie 71e avec 70.96, etc.
Quatre ans plus tard, le Maroc, la Jordanie se retrouvent au Niveau T1, l’Egypte également, mais aussi des pays comme la Tanzanie, le Vietnam, le Pakistan, Rwanda, Kenya, Ghana…
“Niveau 1 (T1) – Role-modelling ou Modélisation désigne les pays ayant obtenu un score global d›au moins 95/100, illustrant un engagement solide en matière de cybersécurité. Ces pays mettent en œuvre des actions coordonnées, principalement dirigées par les pouvoirs publics, qui couvrent l’évaluation, l’élaboration et l’application de diverses mesures de cybersécurité reconnues à l’échelle internationale. Cet engagement s’étend généralement sur les cinq piliers clés de la cybersécurité, voire sur l’ensemble des indicateurs évalués.”
La Tunisie se retrouve derrière à deux niveaux, nous n’avons même pas pu préserver nos acquis, c’est-à-dire le niveau T2
“Niveau 2 (T2) – Advancing ou Progression désigne les pays ayant obtenu un score global d›au moins 85/95, démontrant un fort engagement en matière de cybersécurité. Ces pays entreprennent des actions coordonnées, pilotées par le gouvernement, qui couvrent l’évaluation, l’élaboration ou la mise en œuvre de certaines mesures de cybersécurité reconnues au niveau international. Leur engagement se manifeste principalement sur un maximum de quatre des cinq piliers clés ou sur un nombre significatif d’indicateurs.”
La question est : pourquoi ? Pour y répondre, j’ai pris l’initiative de me renseigner auprès de nos experts en cybersécurité en Tunisie ainsi que des différents acteurs de l’écosystème. J’ai commencé par explorer les grandes lignes de notre stratégie nationale en matière de cybersécurité. J’ai pu trouver ce document, disponible sur le site de l’ANCS (anciennement ANSI) : un texte de 8 pages, rédigé en arabe et en français, émanant de la présidence de la République et plus précisément du Conseil de sécurité nationale.
Objectifs multiples
La portée de cette stratégie s’étend à l’ensemble du cyberespace national, englobant les services d’information, les données, les réseaux, les plateformes et les systèmes. Elle implique la participation de toutes les parties prenantes, parmi lesquelles figurent les citoyens, les institutions, les associations, les entreprises publiques et privées, la société civile ainsi que les milieux académiques.
Les objectifs de la stratégie sont multiples.
Premièrement, il s’agit de maîtriser et de gérer le cyberespace national en désignant les entités responsables de la coordination avec les différentes parties prenantes et en appuyant cette collaboration.
Deuxièmement, la stratégie vise à prévenir et à résister aux cyberattaques par le renforcement des capacités nationales, la sensibilisation accrue et la protection des infrastructures numériques critiques.
Troisièmement, elle cherche à consolider la fiabilité numérique en mettant en place des mécanismes et procédures adaptés.
Quatrièmement, l’objectif est de positionner le pays en tant que leader dans le domaine numérique en développant un environnement sécurisé et en atteignant une position de chef de file aux niveaux régional et international. Enfin, la stratégie prévoit de garantir la coopération internationale tout en maintenant un équilibre entre cette coopération et la protection des intérêts supérieurs de l’État.
Cette stratégie propose des orientations globales qui s’appliquent à l’ensemble des secteurs économiques et sociaux. Elle a pour objectif de renforcer la flexibilité et la résilience des services et des infrastructures numériques critiques (INC) à l’échelle nationale, tout en assurant une fiabilité numérique accrue.
L’un de ses axes prioritaires est de consolider le cadre juridique du cyberespace et de mettre en place des mécanismes de coopération sectorielle, locale et internationale pour une meilleure gestion des cyber-risques, tout en favorisant le développement des compétences nationales.
Cette stratégie repose sur plusieurs piliers. Elle incite les parties prenantes à sécuriser le cyberespace national et à établir des protocoles pour la gestion des cyber-incidents et des crises. De plus, elle encourage l’adaptation du cadre réglementaire aux évolutions numériques, notamment en ce qui concerne la liberté d’expression, la protection des données personnelles, la lutte contre la cybercriminalité et la sécurité des transactions en ligne.
La formation et le développement des compétences en cybersécurité sont essentiels pour sensibiliser la population aux risques et renforcer l’expertise nationale. En parallèle, la stratégie promeut l’instauration d’une véritable culture de la cybersécurité, en insistant sur une utilisation prudente des services numériques. Sur le plan technologique, elle préconise l’adoption de normes internationales et le soutien à la recherche universitaire.
L’application de cette stratégie repose sur des priorités juridiques, humaines et opérationnelles, visant à assurer une gouvernance efficace de la cybersécurité, à développer les compétences nationales et à renforcer les capacités de cyberdéfense.
Cette stratégie est prévue pour une durée de six ans et sera ajustée en fonction des évolutions de la situation. Le Comité de communication et d’information du Conseil de sécurité nationale est chargé de superviser et de suivre sa mise en œuvre, tout en proposant au Conseil les ajustements nécessaires.
En effet, le décret-loi du 11 mars 2023, portant sur la cybersécurité, est entré en vigueur le 11 septembre 2023, renforçant les prérogatives de l’Agence nationale de la sécurité informatique (ANSI). À cette occasion, l’agence a changé de nom pour devenir l’Agence nationale de cybersécurité (ANSC).
Du rôle de l’ANSC
Placée sous la tutelle du ministère des Technologies de la communication, l’ANSC remplit trois missions principales : l’élaboration et la mise à jour des politiques de gouvernance de la sécurité pour le cyberespace national tunisien, le développement et la diffusion de programmes de formation en cybersécurité, ainsi que la mise en œuvre et la publication de référentiels et guides de cyberprotection et d’hygiène numérique.
Un an plus tard, qu’est-ce qui a été accompli, déployé et mis en œuvre, en tenant compte du grand nombre d’intervenants impliqués ? Qui est en mesure de nous fournir un suivi et un bilan de la situation ?
Une vision sans moyens reste un rêve, mais avec les ressources adéquates, elle devient une réalité.
Une stratégie de cybersécurité est efficace, si nous disposons des ressources humaines, techniques et financières nécessaires à sa mise en œuvre.
En 2020, pourtant, le rapport a pointé du doigt un gros problème dans les mesures organisationnelles (12.21/20). Mais quelles sont ces mesures ?
Les mesures organisationnelles constituent l’un des cinq piliers principaux utilisés pour évaluer le niveau de cybersécurité des pays dans le cadre du Global Cybersecurity Index (GCI). Elles couvrent plusieurs aspects clés. D’abord, les organisations de réponse aux incidents, telles que les centres d’incidents (CERTs), évaluent la capacité d’un pays à répondre aux cyberattaques. Ensuite, les organisations de sécurité comprennent les agences nationales et les entités chargées de la sécurité des systèmes d’information (ANCS par exemple). Les organisations de formation incluent les institutions responsables de l’éducation et des qualifications des professionnels en cybersécurité.
Par ailleurs, les organisations de normalisation, les organisations de certification, les organisations de sensibilisation dédiées à promouvoir la sécurité informatique à travers des campagnes et enfin, les organisations de partenariat et coopération.
En 2020, ce score est décliné selon 5 axes : mesures légales 20/20, mesures techniques (19.54/20), mesures organisationnelles (12.21/20), développement des capacités (16.96/20) et coopération internationale (17.52/20).
En 2024, mesures légales 19.18/20 (régression), mesures techniques 17.8/20 (régression), mesures organisationnelles 14.23/20 (progression), développement des capacités 14.97/20 (régression) et coopération internationale 15.82/20 (régression).
Nous avons connu une régression sur 4 des 5 axes principaux, ce qui est particulièrement préoccupant!
En ce qui concerne les mesures techniques, à notre avis, le recul est très inquiétant car il touche, la sécurité des données, des identifiants, des e-mails et communications, du cloud, du web, des dispositifs connectés, des logiciels, ainsi que la cryptographie et le chiffrement, les systèmes d’information et les réseaux.
En revanche, nous constatons une légère progression dans les mesures organisationnelles que nous avons déjà détaillées.
Nous aurions pu maintenir notre score parfait de 20/20 dans les mesures légales, ne serait-ce qu’avec la législation en place. Ces mesures englobent, tout d’abord, les lois sur le cybercrime, qui punissent les crimes commis en ligne, doivent être harmonisées avec les standards internationaux et nous nous rappelons dans quelles conditions la Tunisie a adhéré à la convention de Budapest dans la lutte contre la cybercriminalité en février dernier.
Les lois sur la protection des données encadrent la collecte, le stockage et l’utilisation des informations personnelles, tout en garantissant le respect de la vie privée. En parallèle, les lois sur la propriété intellectuelle assurent la protection des droits d’auteur et des brevets dans le cyberespace. Cependant, la Tunisie ne dispose pas encore d’une législation moderne équivalente au RGPD qui soit conforme aux normes internationales.
Le projet de loi organique n° 25/2018, qui représentait une tentative majeure de moderniser la réglementation tunisienne en matière de protection des données personnelles et d’aligner le pays sur les standards internationaux, notamment ceux de l’UE et de l’Afrique du Nord, n’a pas été adopté pour diverses raisons.
La Tunisie malheureusement fonctionne toujours avec la loi organique n° 2004-63 du 27 juillet 2004. Pourtant, nous avons ratifié le Protocole portant amendement à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
Il reste des lois encadrant la sécurité des réseaux publics et des systèmes d’information. Les lois sur la surveillance équilibrent la sécurité nationale et les libertés individuelles en régulant le contrôle des communications, des règles relatives à la cryptographie et enfin des lois sur la transparence.
De nouvelles perspectives
Nous sommes convaincus que nos experts avaient déjà réalisé une analyse SWOT en cybersécurité avant de lancer notre stratégie, mais pour apporter un éclairage supplémentaire à nos lecteurs, voici notre vision. En termes de forces (S), la Tunisie possède une expertise technique solide en cybersécurité, et il est essentiel de faire appel à la diaspora, composée de talents exceptionnels prêts à contribuer, comme j’ai pu le constater lors du lancement de notre association Tunisia CyberShield. Par ailleurs, la mise en place d’un processus de gouvernance de la sécurité, aussi bien dans les secteurs public que privé, est impérative.
Concernant les faiblesses (W), la Tunisie souffre d’une pénurie de personnel qualifié en raison de la fuite des cerveaux observée au cours des dix dernières années. S’ajoutent à cela des systèmes et logiciels obsolètes ainsi qu’un manque de sensibilisation des employés à la cybersécurité.
En ce qui concerne les opportunités (O), l’augmentation des réglementations, telles que le RGPD et la directive NIS, oblige les entreprises à renforcer leur cybersécurité, ouvrant ainsi des perspectives d’amélioration. Par ailleurs, l’évolution technologique, notamment avec l’essor de l’intelligence artificielle, et la hausse des investissements en sécurité offrent de nouvelles perspectives. Cela représente également une occasion unique et exceptionnelle de créer des incubateurs de startups spécialisés dans la cybersécurité.
Enfin, les menaces (T) incluent les cyberattaques sophistiquées, de plus en plus complexes, qui peuvent paralyser non seulement des organisations, mais également l’économie d’un pays dans un contexte géopolitique.
Quelques chiffres avant de conclure : en 2022, le Tunisian Computer Emergency Response Team (tunCERT), relevant de l’Agence nationale de la cybersécurité, a signalé plus de 155 000 incidents cybernétiques, entraînant la suspension de 559 services dans le pays. Rien que pour le premier semestre de 2023, le nombre d’incidents enregistrés a déjà dépassé les 149 000, ce qui témoigne de la hausse significative des attaques cybernétiques.
*Cofondateur et coordinateur général du Tunisia CyberShield, Cofondateur et coordinateur général de la Tunisian AI Society