TOGO : Travail, Liberté, Cybersécurité ? 

Travail, Liberté, Cybersécurité ? tel pourrait être un pastiche de l’ouvrage de Nicolas ARPAGIAN pour traiter un des sujets majeurs d’actualité dont le Togo n’est pas en marge^[1]. D’emblée, s’il est vrai que cette formulation fait résonner une partie de la devise nationale du Togo et laisse penser à une invitation à réviser l’un des emblèmes de la République, il n’est pas moins vrai que l’exercice auquel se prête cet article est loin de cette déduction. 

En effet, la question de la sécurité en général au Togo dans ses espaces terrestres, maritimes et aériens est moins alarmante qu’elle peut l’être dans certains États de la sous-région ouest-africaine, même si elle demeure un sujet de préoccupation des togolais qui chérissent la quiétude et la tranquillité^[2]. Cependant, une fois que la question est déplacée dans le cyberespace, il y a matière à réfléchir.

Il n’existe pas à ce jour, une définition consensuelle du cyberespace et au Togo, la loi 2018-026 du 07 décembre 2018 sur la cybersécurité et la lutte contre la cybercriminalité ^[3] n’a pas réglé la difficulté. En France, l’Agence nationale de sécurité des systèmes d’information (ANSSI) le définit comme « l’espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numérisées »^[4]. Il est qualifié de 5^èmeespace après les espaces terrestre, maritime, aérien et extra-atmosphérique et considéré comme un espace de confrontation ^[5]. De ce fait, sa sécurisation préoccupe tant les Etats que les organisations internationales ^[6] car intéressant la sécurité, la souveraineté, l’économie… et les incite à en faire un véritable cheval de bataille.

La cybersécurité, quant à elle, peut se résumer à la sécurité de cet espace. Selon la loi sur la cybersécurité et la lutte contre la cybercriminalité, « elle est assurée par la mise en œuvre d’un ensemble de mesures de prévention, de protection et de dissuasion d’ordre technique, organisationnel, juridique, financier, humain, procédural et autres »^[7]. La question n’est pas de savoir si le Togo en fait une valeur fondamentale de la République, mais s’il met en œuvre les moyens nécessaires dans ces différents domaines pour prévenir ou se défendre des menaces actuelles ou éventuelles dans cet espace.

L’intérêt de la question n’est pas négligeable. Le Togo ambitionne de s’installer dans la sous-région comme un véritable pôle financier et logistique. Une telle ambition ne pourrait être assouvie sans l’intégration du numérique. Conséquemment, « le numérique s’affirme comme véritable levier de la modernisation de l’économie et de la société. A ce titre, il contribue à faire du Togo un hub de services et un centre international d’innovation et de compétence digitale »^[8]. Avec un  taux de pénétration de la téléphonie mobile de 86% soit 6,26 millions d’abonnés à la téléphonie et un taux de pénétration internet qui est en croissance continue^[9], l’on peut considérer que le numérique est rentré dans les mœurs.

Cependant, cette transformation numérique pose à l’État togolais de réels défis, notamment, en matière de souveraineté numérique, de cybercriminalité et protection des données numériques. Face à ces défis qui n’épargnent aucun État d’ailleurs, il importe de voir en amont si le Togo est un élève modèle parmi ses pairs en matière de cybersécurité (I). Le raisonnement permettra d’affirmer en aval que s’il a consenti d’importants efforts récemment, ces derniers restent perfectibles (II)

I. Un élève modèle en cybersécurité ?

Les ambitions du Togo en matière de transformation numérique sont connues. Nous n’en voudrions pour preuve que le projet e-gouvernement à propos duquel la ministre des postes et de l’économie numérique déclare : « dans un monde où s’opèrent des mutations profondes et irréversibles, le Togo ambitionne de bâtir un écosystème numérique au service des populations. Pour preuve, la dynamique dans laquelle il s’est distingué ces dernières années à travers la mise en œuvre de plusieurs projets numériques innovants comme la modernisation de l’administration et la refonte de son écosystème digital… la promotion de l’accessibilité des populations au haut-débit » ^[10]. Incontestablement cette course engagée dans la transformation numérique s’arrime aux menaces de l’espace numérique. Peut-on pour autant dire que le Togo a réglé la question de la sécurité numérique ? 

Chaque année, l’Union Internationale des Télécommunications (UIT) évalue la position en matière de sécurité numérique des États du monde entier à travers un rapport intitulé la GCI (Global Cybersecurity Index). La dernière GCI a porté sur 194 Etats membres de l’organisation (la Palestine incluse). Dans la région subsaharienne, le Togo est classé 33^ème sur 42 États, place qu’elle partage avec le Burundi et se contente du 151^ème rang mondial^[11]. Bien sûr la GCI a ses limites propres à elle, mais indubitablement, le Togo n’a pas voix au chapitre au concert des États matures en cybersécurité. Ce classement peu encourageant s’explique par quelques facteurs d’ordre technique, organisationnel, humain et juridique.

Certes tous ces domaines méritent d’être explorés mais dans le cadre restreint de cette étude, nous nous contenterons d’évoquer le sujet sur le plan technique et juridique. Au plan technique, l’infrastructure numérique semble pour une large mesure construite sur du matériel de l’entreprise chinoise Huawei^[12]. L’État ne dispose d’aucune autonomie en la matière, ce qui accroît les risques.

A l’heure où ces lignes sont écrites, le Togo ne semble pas non plus disposer de CERT opérationnelle^[13] qui pourrait réagir en cas de cyberattaques de grande ampleur sur les infrastructures essentielles ou des opérateurs de services essentiels du pays à l’instar du Port, de l’Aéroport international, des banques ou encore des centrales électriques. 

Sur le plan juridique, le caractère transfrontière du cyberespace est en principe de nature à encourager la coopération internationale. Malgré cela, les grandes conventions internationales en la matière auxquelles le Togo a tout intérêt à adhérer sont loin de convaincre l’appareil étatique. Il en est ainsi pour la convention de Budapest sur la cybercriminalité^[14] ouverte à l’adhésion des Etats non-membres du Conseil de l’Europe et même de la convention de l’union africaine sur la cybersécurité et la protection des données à caractère personnel^[15], qui bien qu’étant une initiative africaine, a dû attendre avril 2019 pour avoir la signature du Togo ; l’instrument de ratification n’étant toujours pas déposé. Cependant, il faut se garder de croire que l’espace numérique togolais est un Far West. 

II. Des efforts perfectibles

L’État togolais n’a pas perdu de vue les défis en matière de sécurité du numérique et cela est notable dans sa politique sectorielle de l’économie numérique : « Avec l’avènement de la société de l’information, l’État se doit de garantir la souveraineté numérique sur son cyberespace en assurant sa protection et celle de ses citoyens par des mesures à la fois légales, réglementaires, organisationnelles et opérationnelles. C’est l’ambition du quatrième axe stratégique, qui répond en particulier aux enjeux concernant la cybersécurité, la cybercriminalité, la cryptologie, la gestion des données à caractère personnel, etc. »^[16]. Des mots, le Togo est passé à l’action notamment sur le plan législatif. C’est dans cet ordre d’idées qu’il faut relever la loi sur la cybersécurité et la lutte contre la cybercriminalité adoptée en 2018^[17]. Il n’est pas superfétatoire de noter qu’elle crée deux institutions majeures : L’Agence Nationale de Cybersécurité (L’ANCy) et le Fonds National de souveraineté numérique.

La première est placée sous tutelle du ministère chargé de la sécurité et du ministère de l’économie numérique mais demeure une personne morale de droit public dotée de personnalité juridique. Ses missions sont énumérées dans l’article 6 de la loi et se résume en 18 points. Essentiellement, elle est chargée de la sécurité des infrastructures essentielles et des systèmes d’information des autorités publiques. Un décret du 13 février 2019 a apporté les précisions nécessaires à l’organisation et au fonctionnement de l’agence^[18]. Le second est un fonds destiné à financer les stratégies nationales de cybersécurité et à appuyer les actions de l’ANCy. Son ordonnateur est le ministre de l’économie numérique ^[19]. 

Seul bémol, la mise en œuvre effective de ces dispositions pertinentes de cet arsenal législatif et règlementaire. La CERT et la SOC dont la création a été confiée à Cyber Defense Africa par le décret n° 2019-098/PR du 11 juillet 2019 portant création, attributions et organisation de la société CYBER DEFENSE AFRICA restent encore à être opérationnelles. Issue d’un partenariat entre le Togo et le groupe polonais Asseco Data Systems, la société CYBER DEFENSE AFRICA semble accuser du retard dans la mise en œuvre de la feuille de route qui est la sienne. Futur « bras armée de l’ANCy », elle devrait ouvrir ses portes en Novembre 2020^[20]. La CERT est une équipe d’intervention informatique d’urgence chargée de protéger le Togo contre les cyberattaques, d’aider l’ANCy à mettre en place des standards nationaux, et favoriser le développement et la connaissance des meilleures pratiques en matière de sécurité numérique^[21] alors que la SOC est un centre d’opérations dont la mission sera la sécurité de l’information au Togo.

Enfin, le domaine de la cybersécurité reste peu connu des petites et moyennes entreprises au Togo ainsi que de leurs employés. Or il se trouve que l’humain est le maillon le plus faible de la chaîne en matière de cybersécurité^[22]. La majorité des cyberattaques aboutissent avec le concours de la cible^[23]. Une attaque réussie sur plusieurs petites et moyennes entreprises pourrait porter un coup dur à l’économie. Il revient bien évidemment au gouvernement de mettre en place une politique nationale pour promouvoir une culture de cybersécurité auprès de la population et des entreprises.« Un attaquant peut viser n’importe où tandis qu’un défenseur doit défendre partout »^[24] disait Rayna STAMBOLIYSKA. Si cet apophtegme est vrai, le Togo doit se démultiplier pour parer au mieux aux vulnérabilités de son espace numérique

---

1. ↩︎
2. Le ministre de la sécurité Yark DAMEHANE affirme dans ce sens que chaque Togolais « éprouve le besoin de mener ses activités dans un environnement de paix, de sécurité et de tranquillité publiques ». Voir Ministère de la sécurité et de la protection civile, Mot du ministre, [https://securite.gouv.tg/node/300] (consulté le 12/07/2020). ↩︎
3. JORT, n° 24 ter du 07 décembre 2018, p. 1 et s. ↩︎
4. ANSSI, Rapport « Défense et sécurité des systèmes d’information. Stratégie de la France » (2011) ↩︎
5. Dans son « livre blanc sur la défense et la sécurité nationale » de 2013, la France affirme que « Le cyberespace est donc désormais un champ de confrontation à part entière » et ajoute qu’ « Afin d’acquérir et de conserver la supériorité opérationnelle sur [ses] adversaires, ces engagements de coercition seront conduits de façon coordonnée dans les cinq milieux (terre, air, mer, espace extra-atmosphérique et cyberespace) ». ↩︎
6. L’ONU à travers le GGE a reconnu que « l’utilisation malveillante des TIC peut compromettre la paix et la sécurité internationale » Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, rapport de 2015, Note du Secrétaire général, A/70/174, 22 Juillet 2015. ↩︎
7. Togo, Loi 2018-026 sur la cybersécurité et la lutte contre la cybercriminalité, précité, Article 2 alinéa 36. ↩︎
8. Déclaration de politique du secteur de l’économie numérique pour la période 2018-2022, consulté en ligne le 20 Juin 2019 [http://numerique.gouv.tg/projet/declaration-de-politique-sectorielle-2018-2022] consulté le 12/07/2020. ↩︎
9. Le taux est passé de 3% en 2012 à 36% en 2017 pour une population de 7,8 millions d’habitants, in Togo, « l’économie numérique en marche », Novembre 2018,  [www.republicoftogo.com] consulté le 12/07/2020. ↩︎
10. Ibid ↩︎
11. UIT, Global cybersecurity index 2018. ↩︎
12. Malgré l’espionnage du siège de l’Union africaine par la Chine révélé par le journal le Monde en 2017 et les soupçons internationaux sur Huawei et ses liens avec la Chine ainsi que la menace qu’il pourrait constituer pour la souveraineté numérique du pays, le Togo lui a confié un important marché sans oublier les outils informatiques du nouveau siège de la représentation nationale livrée par la Chine. Il s’agit certes d’un choix politique et économique mais critique pour la sécurité numérique de l’Etat ; les Etats étant une source majeure de menace dans le cyberespace. Sur les tensions entre Etats du fait des cyberattaques, voir Karine BANNELIER-CHRISTAKIS, Les cyberattaques toujours plus puissantes et plus sophistiquées constituent désormais une source majeure de tensions entre les Etats, (H)Auteurs n°4, 29/01/2018. ↩︎
13. Une CERT (Computer Emergency Response Team) est un centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (Définition de CERT-France). Pour voir les pays membres de l’Association des CERT d’Afrique, consulter [https://www.africacert.org/countries/ ]consulté le 12/07/2020. ↩︎
14. Convention sur la cybercriminalité, 23/11/2001, STE N°185. ↩︎
15. Convention dite de Malabo adoptée le 27 /06/2014 en Guinée équatoriale. ↩︎
16. Déclaration de politique du secteur de l’économie numérique pour la période 2018-2022, [http://numerique.gouv.tg/projet/declaration-de-politique-sectorielle-2018-2022] consulté le 12/07/2020. ↩︎
17. Sur ces questions voir, AYEWOUADAN (A.) « Togo, fixation du cadre de la lutte contre la cybercriminalité », L’essentiel Droits africains des affaires, n°5 P5, 1^er Mai 2019. ↩︎
18. Décret 2019-022/PR portant attributions, organisation et fonctionnement de l’ANCy. ↩︎
19. Article 5 du décret 2019-094/PR fixant les modalités de fonctionnement et de financement du fonds de souveraineté numérique. ↩︎
20. POIREAU (K.), « Cybersécurité : comment Cyber Defense Africa espère devenir le futur centre de pointe togolais », Jeune Afrique, 03/04/2020 [ https://www.jeuneafrique.com/919968/economie/cybersecurite-comment-cyber-defense-africa-espere-devenir-le-futur-centre-de-pointe-togolais/] consulté le 29/07/2020. ↩︎
21. Article 4 du décret n° 2019-098/PR du 11 juillet 2019 portant création, attributions et organisation de la société CYBER DEFENSE AFRICA. ↩︎
22. YUKSEL (A.), « Remettre l’humain au cœur de la cybersécurité », Revue de la gendarmerie nationale, Décembre 2019, n° 266. ↩︎
23. C’est notamment le cas des phishings. ↩︎
24. STAMBOLIYSKA (R.), « La face cachée d’internet », Larousse, p.33. ↩︎