Le Bénin, la dématérialisation des services publics est en cours depuis 2016. « D’importants e-services ont été mis en place pour accélérer l’accès des citoyens aux services publics dans un délai raisonnable tout en éliminant les risques de faux frais, la corruption et les tracasseries inutiles », selon la ministre du Numérique et de la digitalisation, Aurélie Adam Soulé.

Elle renseigne que pas moins de 210 e-services sont disponibles sur 29 plateformes. Parmi ces 210 e-services, 104 sont sur le portail national des services publics, accessibles aux populations depuis toutes les communes du Bénin.

« Le portail national des services publics est un point d'accès à l’ensemble essentiel pour les citoyens et les entreprises », reconnaît Bellor Ganhounouto, Ingénieur en sécurité des systèmes d’information.

Un portail national des services publics doit garantir la protection des centaines de milliers de données qu'il accumule chaque jour. « La protection des données personnelles des utilisateurs est essentielle pour un portail national des services publics, étant donné la sensibilité des informations traitées », souligne Bellor Ganhounouto. 

Pour cela, l’ingénieur expose la manière dont un tel portail peut gérer la protection des données personnelles et les procédures qui peuvent être mises en place en cas de violation de données.

Il évoque, en premier, la conformité aux réglementations. Il est, selon lui, important de respecter « les réglementations sur la protection des données, telles que le livre 5 du code de numérique en République du Bénin ». Ce livre impose « des obligations strictes concernant la collecte, le traitement et le stockage des données personnelles.

Il faut aussi respecter certains principes à savoir : la politique de Confidentialité, la minimisation des Données, la sécurisation des Données, la gestion des Consentements, les droits des Utilisateurs ». En cas de violation de données, il préconise quatre actions que sont la détection et la notification de la violation, l’évaluer l'impact de la violation, la prise de mesures correctives et la documentation de la violation. 

Trois types de menaces potentielles

Le spécialiste relève l’importance du portail national des services publics dans le déploiement de beaucoup de e-services fait qu’il est « une cible privilégiée pour diverses menaces cybernétiques. » Il est constamment sous la pression de trois types de menaces.

Le portail est exposé à des attaques par déni de service (DDoS). « Ces attaques visent à rendre le service indisponible en submergeant le serveur avec un trafic excessif », informe Ingénieur en sécurité des systèmes d’information.

Le deuxième type de menace est le phishing. Dans ce cas, explique-t-il, « les cybercriminels tentent de tromper les utilisateurs pour qu'ils fournissent des informations personnelles ou des identifiants de connexion via des courriels ou des sites Web frauduleux ».

Enfin, le ransomware représente une menace où des individus mal intentionnés « peuvent chiffrer des données critiques et demander une rançon pour leur déchiffrement ».

Après avoir décliné les types de menaces auxquelles un portail national de services publics peut être confronté, Bellor Ganhounouto énonce quelques mesures de prévention. Il propose la sécurisation des infrastructures qui consiste à utiliser de pare-feu, systèmes de détection et de prévention des intrusions (IDS/IPS) pour surveiller et protéger le réseau. 

Il suggère une bonne gestion des accès. Pour cela, il faut une « mise en œuvre de contrôles d'accès stricts, y compris l'authentification multi-facteurs (MFA), pour limiter l'accès aux systèmes sensibles ».

Une autre mesure de prévention est « l’application régulière de mises à jour de sécurité et de correctifs pour réduire les vulnérabilités logicielles ». L’ingénieur en sécurité des systèmes d’information recommande aussi la « réalisation de sauvegardes fréquentes des données critiques pour permettre une récupération rapide en cas d'incident ».

Il évoque également la « surveillance proactive des systèmes et des réseaux pour détecter les comportements suspects et les incidents de sécurité » et « l’élaboration et mise en œuvre d'un plan de réponse aux incidents pour gérer efficacement les cyberattaques et minimiser leur impact ».

« En mettant en œuvre ces mesures de prévention, le portail national des services publics peut renforcer sa résilience face aux menaces cybernétiques et protéger les données des utilisateurs tout en assurant la continuité des services », précise-t-il.

Pour renforcer encore plus la sécurité des services publics, Bellor Ganhounouto informe que le Bénin a mis en place une Infrastructure à Clé Publique (PKI). Cette infrastructure comprend un ensemble de technologies et procédures permettant la création, gestion et distribution de certificats numériques. Ces certificats sont essentiels pour sécuriser les communications et transactions sur Internet.

Deux agences pour assurer la veille

Face à ces menaces, l’Agence des systèmes d’information et du numérique (ASIN) joue un rôle clé dans la sécurisation du portail national. Selon ses attributions, elle est responsable de la mise en œuvre opérationnelle des programmes visant à développer des services sécurisés. L'ASIN établit également les procédures de sécurité nécessaires pour former le personnel à la protection des données.

En parallèle, l’Autorité de protection des données à caractère personnel (APDP) assure également une veille importante. Selon Hervé Kponon, informaticien au service conformité, « elle veille à ce que l’informatique serve le citoyen sans porter atteinte aux droits humains ou à la vie privée ».

Il informe que l’APDP réalise régulièrement des audits et contrôle le respect de la loi sur la protection des données personnelles. Elle mène aussi des actions de sensibilisation auprès du public afin d'informer sur les risques liés au traitement numérique des données personnelles.

NB: Cet article est rédigé dans le cadre de la Bourse du Programme de journalisme sur les infrastructures publiques numériques (IPNs) de la Fondation des médias pour l’Afrique de l’Ouest (MFWA) en collaboration avec Co-Develop