Dimanche 3 mai, le site officiel du gouvernement ivoirien a publié une interview de Stéphane Kounandi Coulibaly, directeur de l’Innovation, des start-up et du secteur privé au ministère de la Transition numérique. Dans cet entretien, il a mis en avant l’ambition de la Côte d’Ivoire de s’imposer comme un hub régional de l’innovation. Mais derrière cette vision prometteuse, subsistent des interrogations et des défis majeurs notamment ceux liés à la cybersécurité. C’est dans ce cadre que We Are Tech Africa interroge Babel Balsomi (photo), hackeuse éthique, chercheuse en IA et CEO de Hiero Digital, pour faire la lumière sur certains points.
We Are Tech Africa : Les autorités ivoiriennes affichent de fortes ambitions en matière de cybersécurité, avec la création de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et la mise en place d’un centre d’opérations de sécurité (SOC). Sur le terrain, cette ambition est-elle réellement à la hauteur des vulnérabilités observées ?
Babel Balsomi : La création de l’ANSSI constitue une avancée structurelle réelle. Regrouper le Centre national de réponse aux incidents de sécurité informatique (CI-CERT), la Plateforme de lutte contre la cybercriminalité (PLCC) et la Direction de l'informatique et des traces technologiques (DITT) sous une même autorité met fin à une fragmentation qui compromettait la réactivité de l’État face aux incidents. L’ambition politique est bien là, et c’est un point d’appui sérieux.
Cependant, il existe encore un certain décalage entre ces ambitions institutionnelles et la réalité vécue par les acteurs du privé, ainsi que par la population. Lorsque j’interviens sur le terrain, le tableau est sensiblement différent.
WAT : Dans les PME ivoiriennes, quel état des lieux faites-vous aujourd’hui en matière de cybersécurité, notamment sur les infrastructures, les pratiques et le niveau de sensibilisation des dirigeants ?
BB : Concernant les infrastructures, d’abord, une part significative des systèmes sur lesquels repose l’économie numérique ivoirienne (réseaux d’entreprises, serveurs, équipements réseau) est obsolète. Lors de mes audits dans des PME ivoiriennes, notamment dans des cabinets comptables, chez des prestataires logistiques ou dans des cliniques privées, je trouve régulièrement des serveurs opérant sous Windows Server 2008 ou 2012 ; des systèmes que Microsoft ne met plus à jour depuis des années.
Ces machines sont pourtant connectées à Internet et traitent des données clients, parfois financières, sans pare-feu correctement configuré, sans segmentation réseau et sans sauvegarde isolée. Déployer des services numériques supplémentaires sur de telles fondations revient à étendre la surface d’attaque sans renforcer la défense.
Concernant les pratiques et le niveau de sensibilisation, la méconnaissance est souvent totale, mais sincère : ce n’est pas de la négligence volontaire. Il m’arrive régulièrement de rencontrer des dirigeants qui découvrent, au cours de notre premier échange, que la cybersécurité existe comme discipline à part entière. Pourtant, ces entreprises traitent des données clients, effectuent des transactions via mobile money et représentent la majorité du tissu économique ivoirien. Elles sont donc des cibles réelles, sans toujours en avoir conscience.
Un employé qui clique sur un lien frauduleux, un mot de passe partagé entre collègues, un document confidentiel envoyé via une messagerie personnelle : ce sont ces comportements du quotidien qui ouvrent les portes aux attaquants.
WAT : Dans les grandes entreprises, pourquoi la cybersécurité peine-t-elle encore à être considérée comme une priorité stratégique au niveau des directions générales ?
BB : Dans les grandes entreprises, le diagnostic est différent de celui établi concernant les PME. L’enjeu est souvent identifié au niveau opérationnel, qui se heurte presque systématiquement à une même résistance au niveau des instances dirigeantes : la cybersécurité y est encore perçue comme un centre de coût à minimiser, voire à ignorer.
J’ai été confrontée à des situations comme celle où une équipe technique avait identifié des vulnérabilités critiques, produit un plan de remédiation documenté, puis vu ce plan écarté en comité de direction au motif qu’il n’était pas prioritaire. Un incident s’est produit quelques mois plus tard.
Beaucoup d’infrastructures donnent l’impression de survivre par chance. Certaines entreprises ont leurs données exposées, leurs systèmes accessibles depuis l’extérieur sans protection adéquate.
WAT : Au-delà des aspects techniques, quels freins humains et organisationnels ralentissent aujourd’hui le renforcement de la cybersécurité en Côte d’Ivoire ?
BB : Le premier est le protectionnisme interne. Certaines équipes en poste perçoivent toute expertise externe comme une menace pour leur position et font obstacle aux initiatives de renforcement cyber afin de préserver leur périmètre d’influence.
Le deuxième est le manque de compétences actualisées. Les équipes ne se forment pas suffisamment, alors que la cybersécurité est un domaine dans lequel il faut apprendre en permanence. Cela crée un déphasage croissant avec les réalités de la menace.
Le troisième frein est la non-valorisation des compétences des jeunes. Il existe pourtant des profils formés, motivés et techniquement solides, mais ils ne trouvent pas leur place dans les organisations, non parce qu’on leur résiste individuellement, mais parce que les processus de recrutement, les grilles salariales et la culture managériale ne sont pas structurés pour les accueillir et les retenir.
Nous avons développé la Cybermétéo, un bulletin qui présente l’état de vulnérabilité d’une entreprise ainsi que les données qui ont fuité, précisément pour objectiver cet état des lieux et donner aux organisations une lecture claire de leur niveau de résilience. Une entreprise sur trois refuse l’exercice, non par manque de moyens, puisque celui-ci est gratuit et confidentiel, mais parce que la transparence sur les vulnérabilités est perçue comme un risque en soi. C’est cela qui mesure le vrai décalage entre l’ambition institutionnelle et la réalité opérationnelle.
WAT : Vous évoquez souvent l’absence de culture cyber dans les organisations. En quoi les comportements quotidiens des employés peuvent-ils devenir une faille majeure ?
BB : Au-delà des budgets et des infrastructures, c’est aussi un problème de culture interne. La cybersécurité n’est pas encore perçue comme l’affaire de tous.
Un employé qui clique sur un lien frauduleux, un mot de passe partagé entre collègues, un document confidentiel envoyé via une messagerie personnelle : ce sont ces comportements du quotidien qui ouvrent les portes aux attaquants.
J’ai conduit des exercices de simulation de phishing dans des entreprises ivoiriennes : le taux de clics sur des liens malveillants dépasse parfois 70 à 80 % des employés testés. Ce n’est pas une question d’intelligence, mais d’exposition à la bonne information. Cette culture ne s’installe pas par décret. Elle se construit par la formation continue, par l’exemplarité des dirigeants et par des politiques internes cohérentes. Aujourd’hui, elle reste largement absente.
WAT : Les particuliers aussi sont de plus en plus exposés. Pourquoi dites-vous que le citoyen connecté est aujourd’hui le maillon le plus vulnérable de la chaîne numérique ?
BB : Le citoyen connecté utilise chaque jour des services fintech, de plus en plus nombreux, portés par l’essor des usages mobiles, mais il reste exposé sans filet.
Les arnaques sur WhatsApp, les faux concours, les usurpations d’identité sur les réseaux sociaux, les applications frauduleuses qui collectent des données personnelles : ces menaces touchent quotidiennement des milliers de personnes qui n’ont ni les outils ni les réflexes pour les identifier.
Le particulier est aujourd’hui le maillon le plus exposé de la chaîne, et le moins protégé. Alors même que les paiements mobiles se généralisent, que des services publics migrent vers le numérique et que des données de santé ou d’identité sont collectées à grande échelle, l’absence de culture cyber chez les utilisateurs finaux n’est pas un problème secondaire. C’est un risque systémique.
WAT : Avant même de parler d’intelligence artificielle, quels sont aujourd’hui les types de cyberattaques les plus courants et les plus efficaces contre les organisations ivoiriennes ?
BB : Les cyberattaques les plus courantes en Côte d’Ivoire peuvent s’analyser par paliers ; et chaque palier révèle un niveau de préparation insuffisant.
Le premier palier, c’est le phishing. Et il fait des ravages. Les entreprises ivoiriennes (grandes, moyennes ou petites) sont frappées quotidiennement par des campagnes d’hameçonnage dont la sophistication n’est même pas le principal facteur de succès. Ce qui les rend efficaces, c’est l’absence de réflexes de base.
Un faux email du Trésor public demandant une mise à jour de coordonnées bancaires ; un message WhatsApp usurpant l’identité du Directeur général pour demander un virement urgent ; un lien frauduleux imitant le portail de la CNPS [Caisse nationale de prévoyance sociale, Ndlr] ou d’une banque ivoirienne ; ou encore une fausse facture d’un opérateur télécom avec un RIB [relevé d'identité bancaire, Ndlr] modifié : ces scénarios se produisent chaque semaine. Lors de simulations que j’ai conduites, ainsi que je l’ai précédemment indiqué, le taux de clics sur des liens malveillants dépasse régulièrement 70 à 80 % des employés testés. En Europe, un tel chiffre est vu comme extrêmement alarmant. Dans nos pays, il est pratiquement considéré comme étant la norme.
Le deuxième palier, c’est le BEC (Business Email Compromise) ; et les incidents se multiplient. Une entreprise reçoit un email apparemment envoyé par l’un de ses fournisseurs habituels, avec un RIB modifié. Le service comptabilité exécute le virement sur un compte frauduleux. Cette technique, documentée depuis plus de dix ans, ne repose pas sur une technologie complexe. Elle fonctionne parce qu’il n’existe ni procédure de vérification des coordonnées bancaires, ni double validation des virements, ni sensibilisation suffisante des équipes. Ce n’est pas une défaillance technologique, c’est une défaillance culturelle.
À cela s’ajoute la question du chiffrement des données. J’ai audité des cliniques privées dont les dossiers patients sont stockés sur des disques locaux non chiffrés, sans sauvegarde externalisée, sur un réseau Wi-Fi commun aux soignants, aux administratifs et aux visiteurs.
Le troisième palier, ce sont les Ransomwares (attaques par logiciels malveillants chiffrant l'ensemble des fichiers d'un système avec exigence de paiement d’une rançon pour en restituer l'accès). Dans le contexte que nous avons décrit, même les ransomwares les plus simples suffiraient à mettre la très large majorité des établissements à l’arrêt complet. Très souvent, ils ne disposent ni de plan de continuité d’activité, ni de sauvegarde récupérable, ni de contrat de réponse à incident. Or des multinationales, des hôpitaux et des opérateurs d’infrastructures critiques en Europe et aux États-Unis ont déjà été paralysés pendant des semaines par ce type d’attaque. Les organisations ivoiriennes, moins protégées et moins outillées pour y répondre, sont exposées aux mêmes scénarios, avec moins de ressources pour s’en remettre.
Ces attaques ne sont pas encore pleinement maîtrisées dans les pays technologiquement les plus avancés, où elles représentent déjà un défi majeur pour les années à venir. Au regard des réalités que nous avons décrites dans nos pays, le danger est démultiplié.
WAT : La Côte d’Ivoire est-elle prête à faire face à de nouvelles menaces liées à l’intelligence artificielle ?
BB : Non. Et ce qui vient avec l’intelligence artificielle est d’une nature radicalement différente. Il existe plusieurs catégories d’attaques ciblant les grands modèles de langage (LLM) et les agents IA.
La première est la prompt injection. Un agent IA est un système autonome capable d’exécuter des tâches sans intervention humaine, de consulter des bases de données, d’envoyer des emails, d’interagir avec des systèmes tiers et de prendre certaines décisions. L’attaque consiste à glisser des instructions malveillantes dans les données que cet agent traite (un document, un formulaire, un email) afin de le détourner de sa mission et de lui faire exécuter des actions non autorisées à l’insu de ses opérateurs. Dans une administration qui déploierait un agent IA pour traiter des demandes citoyennes, un formulaire piégé pourrait ordonner à cet agent d’exfiltrer silencieusement des bases de données entières. L’agent obéirait, sans qu’aucun signal d’alerte immédiat ne soit nécessairement perçu. Ce qui rend cette attaque redoutable, c’est que les qualités mêmes qui rendent les agents utiles (autonomie, rapidité, capacité d’action) deviennent des vecteurs d’exploitation.
La deuxième catégorie est l’empoisonnement des données d’entraînement, ou data poisoning. Si un modèle d’IA est entraîné sur des données corrompues introduites par un attaquant, ses décisions peuvent être biaisées de façon subtile et durable, sans que personne ne détecte immédiatement la manipulation. Le modèle continue de fonctionner, produit des réponses, prend des décisions, mais ces décisions ont été altérées à la source. Puisque la Côte d’Ivoire ambitionne de développer des modèles adaptés aux réalités locales, ce vecteur est particulièrement pertinent : un modèle empoisonné dès sa conception constitue une menace permanente et invisible.
La troisième catégorie, plus avancée encore, concerne les flux IA mutagènes et le prompt flux. Un attaquant peut aujourd’hui utiliser un grand modèle de langage pour générer automatiquement des centaines de variantes d’un même malware. Chaque variante présente une structure de code légèrement différente, suffisante pour contourner les antivirus qui fonctionnent par reconnaissance de signatures connues. C’est le principe d’un agent pathogène qui mute plus vite que les défenses immunitaires. Le prompt flux va encore plus loin : les instructions malveillantes injectées dans un système varient en temps réel de manière aléatoire. Un filtre de sécurité programmé pour bloquer certains schémas suspects se retrouve alors contourné, parce que chaque tentative d’intrusion se présente sous une forme différente. Aucun outil de filtrage classique ne peut suivre ce rythme.
Le prompt flux peut aussi déstabiliser un modèle au point d’en faire lui-même une surface d’attaque. Le danger est donc encore plus important.
Ce qu’il faut comprendre, c’est que ces attaques ne sont pas encore pleinement maîtrisées dans les pays technologiquement les plus avancés, où elles représentent déjà un défi majeur pour les années à venir. Au regard des réalités que nous avons décrites dans nos pays, le danger est démultiplié.
Des équipes de cybersécurité parmi les mieux dotées au monde peinent encore à construire des défenses efficaces contre la prompt injection et le prompt flux. Les standards de réponse ne sont pas stabilisés, les outils sont encore en développement et les compétences restent rares. Si un prompt flux frappait aujourd’hui une infrastructure ivoirienne (une banque, un opérateur télécom, une administration) les dégâts seraient non seulement immédiats, mais potentiellement irréversibles : pas de sauvegarde, pas d’équipe de réponse à incident, pas d’outillage de détection comportementale, pas de playbook de crise, et souvent une méfiance persistante à l’égard des consultants extérieurs. Le système ne tomberait pas simplement en panne : il serait compromis en profondeur, de façon silencieuse, avant même que l’on comprenne ce qui s’est produit.
Les jeunes talents capables de développer ces compétences existent en Côte d’Ivoire. Je les identifie dans les compétitions de cybersécurité, dans les communautés techniques. Mais ils ne sont pas intégrés dans les organisations, non pas parce qu’on les en empêche activement, mais parce que les structures d’accueil ne sont pas pensées pour valoriser et retenir ces profils. C’est une perte nette pour la résilience nationale.
Le déploiement de l’intelligence artificielle en Afrique est une opportunité historique, et elle doit être saisie maintenant. Pas dans cinq ans. Pas quand tout sera parfait. Maintenant.
WAT : Le pays veut déployer l’IA dans des secteurs critiques comme la santé, l’agriculture et l’éducation. Peut-on avancer à grande échelle sans avoir sécurisé d’abord les fondations numériques ?
BB : Je veux d’abord être clair sur un point : le déploiement de l’intelligence artificielle en Afrique est une opportunité historique, et elle doit être saisie maintenant. Pas dans cinq ans. Pas quand tout sera parfait. Maintenant.
L’Afrique a la possibilité de ne pas reproduire les erreurs commises ailleurs, où l’économie numérique a parfois été construite sans intégrer la sécurité dès la conception. Elle peut faire mieux, et autrement. Mais cette fenêtre d’opportunité ne restera pas ouverte indéfiniment : les acteurs technologiques mondiaux, les investisseurs et les compétiteurs régionaux avancent. La vraie question n’est donc pas de choisir entre l’IA et la sécurité. La question est de savoir comment faire progresser les deux de manière simultanée, sans sacrifier l’une à l’autre.
Or, sur le terrain, ce n’est pas ce que j’observe. Les deux n’avancent pas ensemble, et les conséquences ne sont pas abstraites.
Prenons le cas d’un système d’IA déployé dans un établissement hospitalier public pour la gestion des dossiers patients et l’aide au diagnostic. Ce type de déploiement existe déjà dans d’autres pays. Ce système doit être connecté à un réseau, alimenté par une base de données patients et accessible à différentes catégories de personnel depuis des postes distincts. Lorsque j’interviens dans ces environnements, je trouve des réseaux non segmentés (le même réseau pour les médecins, les administratifs et les visiteurs), des identifiants partagés entre plusieurs utilisateurs, des données non chiffrées en transit comme au repos. Dans ce contexte, l’IA n’accroît pas seulement la valeur du système : elle accroît aussi sa surface d’exposition.
Un attaquant qui compromet ce système peut bloquer l’accès aux dossiers en situation d’urgence, altérer des données médicales ou exfiltrer les informations de milliers de patients. Des attaques de ce type ont déjà paralysé des hôpitaux en France, au Royaume-Uni et aux États-Unis. Il n’y a aucune raison que le continent africain en soit durablement épargné.
Karen Diallo l’a d’ailleurs formulé elle-même au Cyber Africa Forum :
« Il y a encore beaucoup d’entités qui ne voient pas la nécessité d’investir dans leur sécurité digitale jusqu’à ce qu’il soit trop tard ».
Le Label Safe IA, porté avec une intention légitime, soulève néanmoins une question de fond : sur quel référentiel technique repose-t-il ? Un label sans audit indépendant préalable, sans exigences techniques opposables, sans mécanisme de sanction en cas de non-conformité, ne constitue pas une garantie de sécurité. Il constitue surtout une déclaration d’intention.
Ce que je préconise n’est pas un frein au déploiement, bien au contraire. Je plaide pour que la sécurité soit intégrée comme condition d’accélération, et non comme obstacle. Un déploiement d’IA sécurisé dès la conception se déploie mieux, plus vite et avec une adoption plus large, parce qu’il inspire confiance. À l’inverse, un déploiement non sécurisé qui subit un incident majeur peut provoquer un recul de plusieurs années, en emportant avec lui la confiance des utilisateurs, des investisseurs et des partenaires institutionnels.
Ma position est donc simple : aucun déploiement d’intelligence artificielle dans un secteur critique (santé, agriculture, éducation) ne devrait être autorisé sans audit de sécurité préalable rendu obligatoire. Ce n’est pas une posture conservatrice. C’est la condition pour que cette opportunité historique se transforme en avantage durable, et non en vulnérabilité à grande échelle.
La digitalisation sans cybersécurité, c’est une ville que l’on bâtit sans portes ni serrures : plus elle grandit, plus elle devient vulnérable.
WAT : Derrière les grands discours sur la transformation numérique en Afrique, quel message central souhaitez-vous adresser aux décideurs ivoiriens et africains ?
Le message que je veux porter est clair : on ne peut pas construire une transformation digitale durable si la sécurité n’est pas pensée en même temps que cette transformation. La digitalisation sans cybersécurité, c’est une ville que l’on bâtit sans portes ni serrures : plus elle grandit, plus elle devient vulnérable.
Les ambitions affichées par le ministère de la Transition numérique sont réelles : développement du tissu start-up, déploiement de l’IA dans les services publics, positionnement de la Côte d’Ivoire comme hub régional. Ces orientations méritent d’être soutenues et accélérées. Mais lorsqu’on lit ces discours dans leur intégralité, la cybersécurité en est souvent absente. Ce silence n’est pas anodin. Il révèle un angle mort structurel : on numérise les processus, on connecte les administrations, on ouvre les marchés publics aux start-up, sans construire simultanément les mécanismes qui protègent cet écosystème.
Or chaque service digitalisé sans sécurisation préalable devient une nouvelle surface d’attaque. Chaque base de données constituée sans chiffrement prépare une future fuite de données. Chaque administration connectée sans cloisonnement réseau devient une porte d’entrée potentielle vers l’ensemble du système d’information de l’État.
Les conséquences sont déjà visibles. Des start-up ivoiriennes accèdent désormais aux marchés publics : c’est une avancée réelle. Mais ces mêmes structures, souvent dépourvues d’une véritable posture de sécurité, vont se connecter aux systèmes d’information de l’État et traiter des données sensibles. Elles deviennent alors des vecteurs d’accès pour des attaquants qui visent l’administration par rebond. C’est ce qu’on appelle une attaque de la chaîne d’approvisionnement (supply chain attack) : l’attaquant ne cible pas directement sa cible finale, il compromet d’abord le maillon le moins surveillé. J’ai documenté ce type de schéma en Côte d’Ivoire. La digitalisation crée de la valeur, mais elle crée aussi des interdépendances. Et si celles-ci ne sont pas sécurisées, elles deviennent des vulnérabilités systémiques.
Il y a également une réalité humaine que les discours sur la transformation digitale abordent encore trop peu. Les batailles internes de protection de périmètres d’influence au sein des entreprises et des administrations, la non-valorisation des jeunes talents, que certains managers ou supérieurs hiérarchiques marginalisent par peur de voir exposées leurs propres limites, ralentissent non seulement la cybersécurité, mais aussi la transformation digitale dans son ensemble. On ne se modernise pas en préservant à tout prix les pratiques qui freinent le changement.
Ce sont des boulets aux chevilles que le pays ne peut plus se permettre, au moment même où la transformation digitale s’accélère et où les menaces s’intensifient en parallèle.
Ce que je demande aux décideurs est donc précis : faites entrer les acteurs du secteur privé, les PME et les experts de terrain dans la construction de votre stratégie de digitalisation, pas seulement dans celle de la cybersécurité. Ce sont eux qui vivent les failles au quotidien. Ce sont eux qui savent où les systèmes cassent, où les processus numérisés créent des risques imprévus, et où les jeunes talents attendent d’être mobilisés. La transformation digitale se construit avec ceux qui la vivent sur le terrain.
Entretien réalisé par Adoni Conrad Quenum
Edité par M.F. Vahid Codjia
Lire aussi:
