Baidy SY

Dans un environnement où la révolution numérique a fini de rendre les personnes, les organisations publiques et privées, dépendantes de l’outil informatique, avec la multiplication des technologies d’échanges d’informations confidentielles et le développement des paiements en ligne, l’opportunité est trop belle pour les pirates des temps modernes (hackers), dopés par le sentiment d’anonymat sur le web, de ne pas s’engouffrer dans la brèche qui leurs est « offerte ».

 
Celle de profiter des failles du système notamment celui des établissements financiers qui sont la proie, de plus en plus, de ces personnes sans foi ni loi.
 
En effet, ces cybercriminels usent de méthodes et d’outils de plus en plus sophistiqués pour commettre leurs forfaits. Souvent par des procédés assez simples en apparence, consistant « à braquer » les établissements financiers (avec des systèmes d’information encore fragiles), pour ensuite virer « le butin » dans des comptes fantômes avant d’en disposer à leur guise.
 
L’ampleur de ce phénomène est difficilement évaluable, au rythme où les cyberattaques sont commises, facilitées par la progression du taux de pénétration de l’internet.A cela s’ajoute, le voile de la discrétion dont se couvrent les victimes pour préserver, tant bien que mal, leur image.
 
Tout de même, selon le Nigerian Inter Bank Settlements Systems (NIBSS), les banques nigérianes ont subi une perte de 978 millions de dollars, entre l’an 2000 et le premier trimestre de l’an 2013.
 
Egalement, les affaires BGFIBank, CBAO Attijariwafa Bank, WARI, JONI-JONI, LAPOSTE(Sénégal), qui ont défrayé dernièrement la chronique financière, renseignent à suffisance que la menace est bien réelle.
 
De quoi, alerter pour ne pas dire alarmer, les dirigeants des établissements financiers dont le préjudice (financier) subi, pourrait compromettre le développement de leurs structures.
 
En effet, ces entreprises présentent des défaillances en matière de cybersécurité avec des dispositifs dont certains éléments sont inexistants ou désuets.
 
Bien que le risque zéro n’existe pas, il urge pour ces entreprises financières de prévenir et d’enrayer toute attaque, par une approche stratégique.
 
Ainsi, sur le plan organisationnel, les établissements financiers doivent se doter d’organes de gouvernance et de management de la sécurité des systèmes d’information : politiques, procédures, comités, ressources humaines chargées de la gestion de la cybersécurité, etc.
 
Par ailleurs, ils doivent renforcer leur dispositif opérationnel par la mise en place entre autres:
 
• D’accords de confidentialité ou de non-divulgation servant à notifier aux équipes que les informations manipulées sont confidentielles ou secrètes et soumises à des règles de manipulation.
 
• D’une politique de sensibilisation des collaborateurs aux risques cyber afin que chaque collaborateur en prenne conscience, se conforme aux règles de sécurité et sache qu’il s’expose à des sanctions en cas de non-respect.
 
• D’un dispositif de sécurité physique et environnementale requérant que les moyens de traitement des informations sensibles soient abrités dans des locaux sécurisés, protégés par des périmètres de sécurité définis et un contrôle d’accès physique approprié.
 
• D’un cadre de manipulation des supports d’informations critiques pour un meilleur contrôle et une bonne protection des supports hébergeant des informations sensibles afin d’empêcher leur divulgation, leur modification, ou leur retrait ou encore leur destruction non autorisée.
 
• D’une procédure de réaffectation, cession et mise au rebut à travers une désensibilisation totale et sûre des informations sensibles liées au précédent usage.
 
• D’un dispositif de contrôle d’accès dont les mécanismes ne peuvent être contournés, détournés ou compromis. A cela s’ajoute, l’instauration de profils d’accès afin d’attribuer à chaque utilisateur un profil applicatif, pour une application ciblée, au sein d’un environnement particulier.
 
• D’une protection des flux adaptée au niveau de sensibilité des données, en tenant compte des moyens de communication mis en œuvre, notamment en matière d’intégrité et de confidentialité.
 
• D’un système défense en profondeur dont le principe consiste à protéger les ressources sensibles par des barrières de sécurité multiples. L’architecture réseau doit suivre ce principe de défense.
 
• D’un réseau sécurisé : il convient d’assurer et de contrôler la sécurité des réseaux en adéquation avec la sensibilité des flux, des systèmes et des traitements utilisant le réseau. La sécurité des informations en transit sur un réseau doit être adaptée au niveau de confiance accordé à l’environnement du réseau.
 
Face à la recrudescence des cybercrimes, les établissements financiers sont tenus de ne plus lésiner sur les moyens et investir sur la sécurité de leurs systèmes d’information.

Baidy SY,

Chef du Département IT Risk & Service de Grant Thornton (Afrique de l’Ouest)

Président de la commission Cybersécurité de l’Initiative Africaine des Technologies Avancées; Professeur Associé au CESAG Business School

Auteur du livre : “En route vers l’émergence, le Sénégal face au défi de la cybersécurité”