L’opportunité à double tranchant de la COVID-19 sur le numérique : facilité des transactions mais boulevard pour les cyberattaques ?

Par Rocky Abdoul MILINGITA, Rebecca Szantyr et Elizabeth Berthe, décembre 2020

Selon les analyses de l’entreprise marocaine Dataprotect de janvier 2020, portant sur 148 banques de l’Union européenne, de l’UEMOA, du Gabon, du Congo et de la RDC, plus de 85 % de leurs institutions financières déclarent avoir déjà été victimes d’une ou plusieurs cyberattaques ayant entraîné des dommages, parfois à répétition. Il s’agit d’abord de fraudes sur les cartes bancaires (dans 30 % des cas) ou d’hameçonnage. Le coût de la cybercriminalité est estimé à 3,5 milliards d’euros en Afrique. Seuls 6 % des incidents sont découverts par les employés de cybersécurité, et 55 % des institutions financières recourent à la sous-traitance pour leurs activités de cybersécurité. Selon JeuneAfrique, entre janvier et août 2020, 28 millions de cyberattaques ont eu lieu en Afrique.

En cette période où la pandémie de la COVID-19 n’épargne presque aucun coin de la Terre, beaucoup de gouvernements ont préconisé des mesures de protection encourageant les transactions en ligne. Les institutions financières n’étaient pas forcément préparées à cette montée de transactions digitales, ni les populations sensibilisées aux différentes menaces liées à l’utilisation du digital. Avec cette augmentation de transactions numériques, un volume croissant de données numériques sensibles augmente de manière exponentielle.  Cette augmentation est susceptible de perdurer et avec elle le potentiel d’impact des violations de données des personnes et des systèmes. Il devient donc impératif de renforcer les capacités et d’investir dans des mesures de protection contre l’accès illicite à ces données.  Le retour au niveau antérieur à la COVID-19 sera lent, mais les investissements dans la modernisation des capacités techniques contribueront à réduire les risques liés à l’ère numérique.

Souvent quand on analyse des acteurs de l’écosystème de la finance digitale, l’attention est particulièrement portée sur les fournisseurs de services financiers digitaux, partenaires, clients-utilisateurs, régulateurs. Cependant, un autre groupe d’acteurs vient se greffer à cet écosystème avec des conséquences néfastes : les arnaqueurs. L’opportunité offerte aux entreprises grâce au digital semble être la même aux cyberattaques.

Le secteur financier, y compris les banques et autres institutions financières, subit environ 300 % de cyberattaques en plus que tout autre secteur.  Selon Dataprotect, qui a enquêté sur 148 banques dans l’UEMOA, le Gabon, la RDC et le Congo, les pertes moyennes des banques ayant signalé des cyberattaques sont estimées à 770 000 euros (environ 852 350 dollars US) pour les dernières années, tandis que le coût moyen de chaque infection informatique due à un logiciel malveillant coûte 9 000 euros (environ 9 963 dollars US) aux entreprises.

Pourquoi les banques sont vulnérables

Trop souvent, les entreprises ne pensent pas à allouer un budget dédié à la sécurité informatique pensant que c’est un coût superficiel. Cette même étude a noté que les banques interrogées investissent chaque année au moins 500 000 euros (environ 553 475 dollars) pour faire face aux menaces de cybersécurité, tandis que 50 % d’entre elles ont indiqué un investissement annuel compris entre 100 000 et 500 000 euros (environ entre 110 695 et 553 475 dollars).  Oui, vous avez bien lu, les budgets sont plus faibles que les pertes.

La demande de professionnels de la cybersécurité a dépassé l’offre de travailleurs qualifiés.  En raison du nombre limité d’experts disponibles, les banques externalisent souvent la cybersécurité, préférant se concentrer sur leur activité principale.

Le renforcement des capacités en matière de cybersécurité peut renforcer la stabilité financière et favoriser l’inclusion financière.  Les employés du secteur financier ont tendance à ne pas être sensibilisés aux cyber-menaces telles que les courriels de phishing, ce qui laisse les entreprises ouvertes aux “pirates”.   Parmi les autres types de fraude qui touchent fréquemment les services financiers numériques, figurent les délits d’initiés ayant l’intention de causer un préjudice (le type de fraude le plus courant), les logiciels malveillants, les logiciels de demande de rançon et de refus de service et les escroqueries en général. Une autre étude portant sur plus de 700 organisations du secteur bancaire en Afrique a indiqué que 75 % des organisations n’utilisaient pas de techniques de test de sécurité, 60 % ne se tenaient pas au courant des tendances et des attaques en matière de cybersécurité, et 75 % des vulnérabilités identifiées au sein des organisations concernaient des correctifs manquants et des mises à jour de logiciels.

Les institutions financières doivent évaluer leur niveau de préparation à la cyberactivité, déterminé en utilisant l’outil d’évaluation de la cybersécurité du FFIEC au moins une fois par an. Après avoir attribué des niveaux de risque à chaque catégorie, l’institution doit examiner et évaluer les domaines autour de la gestion et de la surveillance des risques cybernétiques, du renseignement sur les menaces et de la collaboration, des contrôles de cybersécurité, de la gestion des dépendances externes et de la gestion et de la résilience des incidents cybernétiques.

cybersecurite

Nous savons, grâce à notre travail dans le domaine des services financiers numériques, que les fraudeurs se transmettent mutuellement leurs combines.  Bien que différentes institutions financières se protègent en solo ou développent des mécanismes de protection, une gestion  collaborative face aux risques de cyberattaques est indispensable pour assurer la cybersécurité de tous : le partage d’expérience. Dans la zone UEMOA, les institutions devraient créer un environnement de partage des leçons tirées, des personnes impliquées et des modes opératoires avec leurs collègues opérant dans le secteur des services financiers mais aussi avec les organismes de réglementation parce que la cybersécurité ne s’improvise pas. Le partage de connaissances permettrait d’exploiter les synergies et de développer des produits communs. Pour cela il est important de travailler sur le renforcement des compétences des ressources humaines afin d’être à la hauteur des géants de la cyberattaque.

Besoin de renforcement de lois sur la cybersécurité

Le problème, c’est que la cybersécurité est peu présente en Afrique de l’Ouest voire inexistante. L’absence de lois sur cette problématique est en partie responsable de cette situation. Selon Verengai Mabika, conseiller politique principal pour l’Afrique auprès de l’organisation à but non lucratif Internet Society, « De nombreux pays n’ont toujours pas ratifié la Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles, connue sous le nom de « Convention de Malabo », qui pourrait fournir un cadre pour répondre à ces menaces ». Selon lui, la cybersécurité ne semble pas être une priorité absolue pour la plupart des pays africains.  En effet, le cadre réglementaire semble toujours être un chantier en construction. Parmi les 55 pays africains, seuls 14 ont signé cette convention (dont le Bénin, la Guinée, la Mauritanie, le Sénégal, la Tunisie et le Togo) et 3 seulement l’ont ratifiée (le Sénégal, le Togo et l’île Maurice).

Quelle cybersécurité pendant et après la COVID-19 ?

La numérisation de la finance, tant pour les particuliers que pour les entreprises, peut réduire les coûts et ouvrir de nouvelles possibilités de marchés et de moyens de subsistance – aider les pays à mieux se reconstruire après la COVID-19. 

Il nous paraît inconcevable aujourd’hui d’imaginer une vie sans internet, la situation sanitaire actuelle nous le démontre d’autant plus, mais le revers de la médaille c’est le perfectionnement des hackers qui ciblent de mieux en mieux et de façon de plus en plus subtiles leurs proies. Les entreprises doivent se retourner très vite pour faire face à cette problématique de sécurité.   Pour vous aider à identifier efficacement les risques liés à la transformation digitale et à proposer des stratégies d’atténuation, l’Institut Helix de MSC, en collaboration avec Mastercard Foundation, organise une formation en ligne , « Gestion des risques liés à la transformation digitale » du 17 Mai au 9 Juillet  2021. Inscrivez-vous !