Si la propagation du Covid-19 occupe actuellement tous les esprits, à juste titre, une menace moins médiatisée mais tout aussi dangereuse pour la santé des économies africaines se répand – elle aussi – avec une viralité inquiétante. L’expansion de la cybercriminalité sur le continent, avec pour principales cibles les banques et les institutions financières africaines, offre de réels motifs d’inquiétude. Un événement, prévu à Abidjan le 29 avril, espère améliorer la sensibilité et la sécurité de ces établissements face à ces risques. Initiateur de ce forum, Franck Kié, évoque dans cette tribune les enjeux d’une approche dynamique contre la cybercriminalité.
« Les banques et institutions financières, principales victimes de la cybercriminalité en Afrique
La cybercriminalité est en pleine croissance sur le continent, avec une progression de 132% entre 2013 et 2015 selon une étude réalisée par Interpol, parallèlement au développement des services financiers, bancaires ou d’assurance dématérialisés et digitalisés. Parce qu’elle répond à un but lucratif, elle est particulièrement menaçante pour les banques africaines qui – sur les trois dernières années – ont subi de plein fouet l’émergence de cette nouvelle menace. Déjà en 2018, l’établissement NSIA Banque Côte d’Ivoire avait reconnu d’importants dégâts à la suite d’un détournement de fonds par piratage informatique. Elle aurait perdu près de 1,2 milliard FCFA. En mars 2019, c’est la filiale sénégalaise d’Ecobank qui a déclaré s’être fait soutirer frauduleusement 323 millions FCFA, selon un procédé analogue. Idem pour la Banque de Dakar qui a déclaré avoir été visée par une tentative d’intrusion dans son système informatique le même mois. Plus récemment, en février 2020, ce fut au tour de la Banque de l’Habitat du Sénégal dont les Guichets Automatiques Bancaires (GAB) ont été piratés par des Nigérians, empochant au passage des centaines de millions de francs CFA.
Une pluralité d’attaques réalisées par des réseaux organisés, équipés et financés
Ainsi, plus de 85% des institutions bancaires et financières interrogées ont déclaré avoir déjà été victimes d’une ou plusieurs cyber-attaques selon l’étude d’une entreprise de cyber-sécurité marocaine. Ces attaques représentent pour un tiers des fraudes sur les cartes bancaires, un autre tiers des hameçonnages – une méthode visant à soutirer les informations personnelles d’une cible par la tromperie –, et du « core banking » (intrusions dans les systèmes d’information pour rançongiciels ou infections virales) dans 24% des cas. Enfin, les derniers pourcentages regroupent les fuites d’information (leaks), l’usurpation d’identité, les fraudes par transfert d’argent ou les retrait sur faux chèques.
Ces attaques sont réalisées par des organisations criminelles transnationales (OCT) réparties sur plusieurs pays (Nigéria, Côte d’Ivoire, États-Unis, Canada, Europe…) et terriblement efficaces. Ces groupuscules de type mafieux sont organisés de manière complexe, finement structurés et lourdement équipés et financés. Au contraire de leur cible, 85% des banques interrogées ont dit investir moins d’un demi-million d’euros par an dans leur cyber-sécurité quand 50% ont déclaré investir entre 100 et 500 000€ par an. Un montant à mettre en perspective, alors que les banques qui ont été victimes de piratages ont estimé leurs pertes à 770 000 euros, sur les dernières années. Le secteur de la cyber-sécurité – qui, selon une étude réalisée par une firme française doit croître de 0,7 milliards d’euros d’ici 2020 – est encore sous-investi par rapport au risque qu’il fait peser sur l’écosystème bancaire et financier africain.
La nécessité d’inscrire le sujet « cyber » au cœur de l’agenda des acteurs politiques et économiques
Une menace sous-évaluée qui démontre la nécessité de renforcer la pédagogie auprès des décideurs économiques et politiques. Les établissements bancaires et financiers africains ont besoin d’être guidés, accompagnés dans leurs démarchés de cyber-sécurisation, et fournis en talents, en capitaux et en expertise. Autant de ressources qui ne seront débloquées qu’au terme d’un débat public dense et initié conjointement par les autorités politiques et la société civile. Seule condition permettant d’inscrire le sujet de la cyber-sécurité au cœur des agendas nationaux et régionaux, pour une réponse public-privée concertée, harmonieuse et efficace sur l’ensemble du continent.
C’est dans cette optique que l’association CIBerOBS organise le 29 avril prochain son forum international sur la cyber-sécurité en Afrique. Parrainé par le ministre d’État, ministre ivoirien de la Défense Hamed Bakayoko, cet événement abordera de manière transverse les liens entre le cyber et la gouvernance, la sécurité, la finance ou encore la communication lors de tables rondes, de workshops et d’une présentation d’étude. Un tel événement aurait le mérite de relancer le dialogue et de favoriser l’émergence de nouvelles solutions : innovantes, collégiales, concrètes.
Nous espérons qu’il permettra aux sociétés bancaires, aux compagnies d’assurance et aux institutions financières – nationales et régionales – de prendre la juste mesure du risque qui pèse sur elles afin qu’elles sécurisent leurs systèmes, au profit direct de leurs clients et investisseurs.
*Franck Kié est président de l’association CIBerOBS, fondateur de l’événement The Cyber Africa Forum et consultant en cyber-sécurité