Les experts recommandent aux institutions financières de mettre en place une structure de gouvernance de la cybersécurité.

Face aux risques qui guettent les institutions financières, le Secrétaire général (SG) de la Commission bancaire d’Afrique centrale (Cobac) a pris l’initiative pour la mise en ordre de bataille des établissements de crédit, de microfinance et de paiement de la zone Cemac. Ainsi, par une lettre circulaire, LC-COB/04 du 21 janvier 2022, avec en objet le «renforcement du dispositif de maîtrise des risques informatiques notamment la sécurité des systèmes d’information et la cybersécurité », il avait «incité fortement» les établissements de crédit, de microfinance et de paiement à faire auditer leur système d’information par des experts indépendants de la sécurité et/ou de l’audit informatiques afin d’en établir un diagnostic approfondi retraçant les points de vulnérabilité.

Par la même correspondance, il recommande également la mise en place d’un dispositif spécifique de lutte contre la fraude, de procéder à une identification et à une évaluation adéquate des risques opérationnels auxquels les établissements sont exposés, notamment en ce qui concerne les cyberattaques. L’objectif recherché étant, d’une part, de les prévenir, et d’autre part de renforcer la capacité des établissements de crédit et de microfinance à assurer la continuité de leurs activités en cas d’incident majeur. Dans cette perspective, la mise en place de mesures de détection des opérations non autorisées, de réponse aux attaques et de rétablissement du fonctionnement des systèmes d’information occupent une place centrale.

Dans cette lettre-circulaire, le SG de la Cobac a énuméré quelques-unes des négligences mises en lumière par des missions conduites par son organisme lors des contrôles sur site qui accentuent la menace. Il s’agit notamment de l’absence de politique de gestion des mots de passe et des droits d’accès ; la non réalisation des tests d’intrusion qui permettraient d’apprécier la vulnérabilité des systèmes d’information face àde potentielles attaques, et l’absence de séparation entre les environnements de systèmes de développement de test et de production. « En 2022, nous avons fait cet audit. Nous savons bien que les institutions financières, notamment les EMF, sont les entreprises les plus visées et nous mettons tout en œuvre pour sécuriser nos informations », laisse entendre un patron d’un établissement de microfinance (EMF) à Douala.Du côté de Mupeci, le constat est le même. « Nous travaillons dans un contexte sensible et nous devons être prudents. La sécurité est un point sur lequel notre entreprise met un point d’honneur », fait savoir un cadre de cette structure.

Un rapport de Dataprotect, entreprise spécialisée dans la cybersécurité, souligne qu’au moins 85 % des institutions financières ont déjà été victimes de cyberattaques. Le baromètre 2022 du secteur financier réalisé par le cabinet de conseil Deloitte démontre pour sa part que la cybercriminalité est la première préoccupation des banquiers.

PERtES Et RECOMMANDAtIONS

Dans un rapport publié par Symantec, les chercheurs ont examiné une récente campagne d’un groupe qu’ils ont nommé Bluebottle, sur lequel plusieurs autres entreprises de cybersécurité ont enquêté ces dernières années. Symantec a constaté que le groupe n’utilise pas de logiciels malveillants personnalisés dans ses attaques et présente plusieurs similitudes avec la campagne découverte par la société de cybersécurité Group-IB, qui a suivi les attaques contre des institutions financières en Côte d’Ivoire, au Mali, au Burkina Faso, au Bénin, au Cameroun, au Gabon, au Niger, au Nigéria, au Paraguay, au Sénégal, en Sierra Leone, en Ouganda, au Togo et autres. D’après Symatec, ce groupe a volé au moins 11 millions de Dollars ( soit plus de 6,7 milliards de Fcfa) et potentiellement jusqu’à 30 millions de Dollars ( plus de 18 milliards de Fcfa ) dans 30 attaques différentes contre des banques, des services financiers et entreprises de télécommunications principalement implantées en Afrique entre 2018 et 2022. Pour lutter contre la cybercriminalité dans les banques ou les EMF, les experts sont unanimes. Il faut « mettre en place une structure de gouvernance de la cybersécurité », mais aussi la maintenir à jour pour identifier les nouvelles menaces et y remédier. «Face à la multiplication des risques, on ne peut plus se passer d’un responsable de la sécurité des systèmes d’information », indique Franck Kié, directeur de Ciberobs, une entreprise de cybersécurité ivoirienne.

Et pour garantir la réussite des programmes de gouvernance de la cybersécurité, le conseil d’administration doit selon les experts, apporter un soutien maximal au service informatique et de sécurité numérique des institutions financières : «Nous observons toujours une fracture entre la gouvernance et la gestion, qui se traduit par des perspectives différentes en termes de leadership. Un effort conjoint des équipes techniques et non techniques est indispensable face aux cybercriminels », note Adetola Adegbayi, experte.

uNE RéGLEMENtAtION SPéCIFIquE

En outre, face à l’ampleur des menaces cyber, les experts recommandent aussi aux Banques et aux EMF d’investir « massivement dans la protection de leurs données sensibles pour préserver la confiance des parties prenantes ». Pour y parvenir, elles doivent créer au sein de leur organisation, des départements exclusivement dédiés à la cybersécurité et structurés en sections spécialisées. Elles doivent aussi « recruter des responsables de la sécurité des systèmes d’Information pour gérer la sécurité informatique et des directeurs des systèmes d’information qui travaillent activement à la prévention, la détection et la résolution des incidents ».

Face à ces nouveaux défis de sécurité, de nombreux observateurs jugent insuffisante l’action des autorités publiques. Une autre question fait débat : la réglementation globale en matière de cybersécurité est-elle suffisante ou faut-il instaurer des réglementations spécifiques aux institutions financières ? En raison de la dématérialisation croissante du secteur, de nombreux analystes politiques penchent pour la seconde solution. «Les menaces entraînées par la montée de la cybercriminalité sont nombreuses. Les législa tions en la matière le sont tout autant. Mais si les informations ne sont pas diffusées avec rigueur au sein des institutions financières et si les clients sont insuffisamment sensibilisés, les cybercriminels parviendront toujours à leurs fins», souligne Mohamed Yassin, Analyste en chef des systèmes à la United Bank of Egypt.

La cybersécurité est un facteur indispensable pour la réussite de toute transformation numérique durable des organisations, car c’est sur elle que repose le capital confiance numérique de toute organisation. La résilience opérationnelle des établissements de crédit, de microfinance et de paiement étant un facteur essentiel de la solidité du système bancaire et financier il importe également en compléter l’architecture de sécurité par la mise en place des dispositions pour la sensibilisation du personnel sur les risques informatiques, de concevoir et mettre en place des dispositifs de sécurité informatique robustes, de promouvoir des plateformes de partage interbancaire de renseignements sur la sécurité informatique, d’intégrer dans le plan de continuité d’activité les scénarios de cyberattaques et de conduire régulièrement des tests d’intrusion.