Gallo Fall est un expert en cybersécurité, souveraineté numérique et en gouvernance des risques, fort de plus d'une décennie d'expérience; il rédige actuellement un guide stratégique inédit sur la souveraineté numérique et la stratégie de cybersécurité à l'intention des gouvernements africains.

Il est licencié en Informatique et Sécurité des Réseaux avec une mineure en Informatique Forensique à Dakota State University, un centre d’excellence académique en cybersécurité reconnu à l’échelle nationale et désigné par l’ Agence de Sécurité Nationale (NSA), proposant des programmes complets et pratiques sur la sécurité des réseaux, les cyber-opérations et la défense. Suivi d’un Masters M.S. en Technologies de la Sécurité à l’Université du Minnesota au sein de l’ Institut de Leadership Technologique (TLI) spécialisé en cybersécurité, infrastructures critiques et gestion des risques. Un programme concue pour proteger les 16 secteurs d’infrastructures critiques aux Etats Unis dont les actifs et les systèmes sont considérés comme si vitaux que leur destruction ou leur neutralisation affaiblirait la sécurité nationale, la stabilité économique ou la santé et la sécurité publiques. Ces annees de maitrise lui a permis de comprendre et de concevoir des systèmes résilients, d’identifier et d’atténuer les problèmes dans les infrastructures critiques et d’améliorer la planification de la réponse aux incidents tels que les cyberattaques.

La souveraineté numérique sans souveraineté des infrastructures n'est qu'une illusion. Un gouvernement qui stocke les données de ses citoyens sur des plateformes cloud étrangères, achemine son trafic internet via des points d'échange étrangers, et dépend de matériels et logiciels étrangers pour ses systèmes critiques est vulnérable — peu importe la solidité apparente de ses lois sur le papier.  La dépendance crée la vulnérabilité. Si les communications, les systèmes financiers, les réseaux électriques et les services gouvernementaux d'un État reposent sur des plateformes ou des équipements appartenant à l'étranger, un adversaire — ou une entreprise — peut contraindre, surveiller ou paralyser cet État sans tirer un seul coup de feu. Il s'agit d'une dépendance structurelle, que nous avons historiquement reconnue comme étant de nature à compromettre la souveraineté — nous n'en avions simplement pas encore de version numérique jusqu'à récemment. L'infrastructure n'est pas simplement le substrat technique de l'État numérique. C'est le terrain sur lequel la souveraineté se gagne ou se perd.  La souveraineté numérique n’est plus une simple aspiration ; elle constitue une exigence tangible en matière d’opérations et de contrôle, qui façonne la responsabilité d’un gouvernement. La décision récemment prise par la France de réduire sa dépendance stratégique vis-à-vis des infrastructures numériques non européennes — faisant écho à une évolution plus large à l’échelle de l’Union européenne — marque un tournant décisif. Le Canada aussi s’emploie, pour sa part, à conserver la maîtrise de son propre avenir numérique — y compris de ses données, de ses technologies et de ses services en ligne essentiels — plutôt que de s’en remettre à des entreprises, des systèmes ou des législations étrangers.

La véritable question n’a jamais eté dans la provenance d’un service numérique. Cette démarche n’est mue ni par l’idéologie, ni par un rejet des technologies étrangères ; elle relève d’une approche pragmatique de la gestion des risques. Une fois les considérations politiques écartées, il ne reste qu’un principe fondamental : un gouvernement ne saurait assumer de manière crédible la responsabilité de la continuité et de l’intégrité des services critiques si les conditions régissant leur fonctionnement — sur les plans juridique, technique et opérationnel — échappent à sa portée.

Pour comprendre à quel point une nation est réellement exposée, nous devons examiner trois prismes distincts : la Carte Physique, la Carte Juridique et la Carte de Résilience. Ensemble, ils forment un cadre de diagnostic — les Trois Piliers de l'État Numérique — qui dissipe la rhétorique politique et révèle la réalité structurelle sous-jacente.

1. Pilier Un : Résidence des Données — La Carte Physique

La première question est la plus fondamentale : où se trouvent les serveurs ?

La réponse de l'Afrique, pour l'instant, est largement : ailleurs. L'informatique en nuage sur le continent est dominée par une poignée d'hyperscalers étrangers — Amazon, Microsoft, Google, Alibaba, et entre autres — dont les centres de données africains sont concentrés en Afrique du Sud, en Égypte, au Kenya et au Nigeria. Pour la grande majorité du continent, cela signifie que les données nationales traversent des connexions transatlantiques avant d'atteindre une infrastructure capable de les traiter. La carte physique, dans la plupart des cas, pointe vers l'extérieur.

Il ne s'agit pas d'un simple inconvénient. C'est une vulnérabilité structurelle. Lorsque les machines qui hébergent les données d'une nation se trouvent au-delà de ses frontières, la souveraineté sur ces données devient conditionnelle — soumise à la bonne volonté de corporations étrangères et à la stabilité de câbles sous-marins que les gouvernements africains ne possèdent en grande partie pas.

Ces câbles méritent d'être examinés attentivement. La connectivité internet internationale de l'Afrique passe presque entièrement par un réseau de câbles à fibres optiques sous-marins encerclant le continent. En 2024, environ 30 systèmes de câbles actifs et planifiés desservent l'Afrique — pourtant, les gouvernements et entités africains détiennent des participations significatives dans très peu d'entre eux. Les artères de la connectivité, en d'autres termes, appartiennent à d'autres.

Reprendre du terrain sur la Carte Physique exige une politique délibérée. Les gouvernements doivent participer aux consortiums de propriété de câbles, même avec des participations minoritaires qui confèrent des droits de gouvernance. Les stations d'atterrissage de câbles doivent être considérées comme des infrastructures nationales stratégiques, soumises à des licences et à une surveillance sécuritaire. Les nations côtières doivent imposer plusieurs câbles pour éliminer les points de défaillance uniques, et l'investissement dans la fibre terrestre transcontinentale doit réduire la dangereuse dépendance du continent aux seules routes côtières.

En matière d'infrastructure cloud, la voie la plus viable pour la plupart des gouvernements africains est une architecture souveraine hybride : un cloud opéré par le gouvernement hébergeant toutes les données sensibles sur le territoire national, combiné à des plateformes cloud étrangères régulées pour les services non sensibles — sous réserve de protections contractuelles de la souveraineté des données et d'audits de sécurité réguliers. L'objectif n'est pas de rejeter globalement les capacités étrangères, mais de s'assurer que les charges de travail les plus critiques ne quittent jamais le sol national.

1. Pilier Deux : Juridiction — La Carte Juridique

La localisation physique, cependant, n'est qu'une partie de l'histoire. Le deuxième prisme pose une question plus difficile : quelle loi régit l'accès ?

Un serveur peut se trouver sur le territoire national tout en restant légalement soumis à un tribunal étranger. C'est le piège silencieux de la Carte Juridique — et c'est un piège que le paysage actuel des télécommunications africaines tend avec une régularité inquiétante. Les réseaux mobiles et l'infrastructure à large bande du continent sont principalement desservis par un petit nombre de grands opérateurs internationaux, tandis que les fournisseurs d'équipements chinois Huawei et ZTE approvisionnent une part significative du matériel réseau sous-jacent. Il en résulte une dépendance en couches : des données africaines circulant à travers des réseaux appartenant à des étrangers, fonctionnant sur des équipements construits par des étrangers, potentiellement soumis à une contrainte juridique étrangère. Huawei et  ZTE sont bannies aux États-Unis principalement parce que la Commission Fédérale des Communications (FCC) et les agences de renseignement américaines considèrent l'entreprise comme un risque pour la sécurité nationale. En raison de ses liens avec le gouvernement chinois, on craint que les équipements de Huawei etZTE ne soient utilisés à des fins d'espionnage, de surveillance ou de perturbation des infrastructures critiques.

La juridiction sur les données appartient en définitive non pas à celui qui les héberge, mais à celui qui peut en imposer la divulgation. Lorsque cette autorité réside à l'étranger, la souveraineté devient une fiction polie — que nulle loi nationale de protection des données ne peut pleinement corriger.

Les gouvernements doivent faire face à cette réalité directement. La diversification des fournisseurs d'équipements est essentielle, en particulier pour les composants de réseau sensibles où la dépendance à un seul fournisseur crée à la fois des risques sécuritaires et juridiques. Les cadres Réseau d'Accès Radio Ouvert (Open RAN), qui séparent le matériel du logiciel et favorisent des écosystèmes compétitifs et interopérables, offrent une voie structurelle pour sortir de l'enfermement propriétaire. Les cadres de licences satellitaires doivent également garantir que l'infrastructure de connectivité serve l'intérêt national, et non uniquement les intérêts commerciaux d'opérateurs étrangers.

La carte juridique doit, avec le temps, être redessinée de sorte que les lois régissant l'accès aux données d'une nation soient celles de la nation elle-même.

1. Pilier Trois : Autonomie Numérique — La Carte de Résilience

Même les nations qui progressent sur les deux premiers piliers doivent affronter un dernier défi : que se passe-t-il lorsque la connexion est coupée ?

C'est la question de la Carte de Résilience, et c'est une question à laquelle l'architecture internet de l'Afrique est actuellement mal équipée pour répondre. Le continent compte moins de 50 points d'échange internet — des installations où les réseaux locaux se connectent et échangent du trafic en interne — contre plusieurs centaines en Europe. La conséquence est que le trafic internet entre deux villes africaines parcourt souvent des milliers de kilomètres hors du continent et revient, en transitant par des points d'échange européens avant de compléter ce qui devrait être un trajet local. Coupez les connexions internationales, et de vastes portions du continent s'éteignent — non pas en raison d'une attaque contre l'infrastructure africaine, mais parce qu'il existe si peu d'infrastructure véritablement locale.

Les Points d'Échange Internet représentent peut-être l'investissement à la valeur la plus élevée et au coût le plus faible qu'un gouvernement puisse réaliser en matière de résilience numérique. En maintenant le trafic sur le territoire national, ils réduisent la latence, diminuent les coûts et — élément crucial — garantissent que les communications locales peuvent survivre aux perturbations des liaisons internationales. Les gouvernements devraient imposer ou encourager la création de points d'échange internet dans toutes les capitales et grandes villes, et œuvrer au sein de l'Union Africaine pour construire le réseau panafricain de points d'échange envisagé dans la Stratégie de Transformation Numérique de l'UA.

L'autonomie numérique, en fin de compte, ne porte pas sur l'isolement. Elle porte sur la capacité à endurer. A mon avis la souveraineté numérique n'est pas du protectionnisme. C'est la condition préalable pour garantir que l'Afrique capture son propre dividende numérique plutôt que de subventionner les économies des autres. Une liaison coupée avec le réseau mondial devrait être une contingence gérable — non pas une catastrophe civilisationnelle.

Je suis disponible si vous avez des questions ou souhaitez un suivi, merci de m’envoyer un e-mail à fallgallo@gmail.com.

Respectueusement