(BFI) – Le spectre des cyberattaques ne cesse de s’élargir au sein de l’industrie bancaire africaine, mettant parfois sur le grill l’image de marque des banques et leur « tranquillité » financière. Un sujet tabou que ces établissements de crédit sont souvent forcés d’évoquer publiquement en raison du modus operandi des cybercriminels. Dans un monde qui se veut toujours plus digital, comment ce secteur de la finance -important pilier des économies- se déploie sur le terrain de la cybersécurité ? Quels regards du côté des experts du cyberespace africain ? Décryptage.
Redoutées. C’est le moins que l’on puisse dire. Les attaques à la sécurité informatique des banques font toujours trembler l’industrie. Et la digitalisation des activités bancaires n’a fait qu’exacerber le phénomène, notamment ces derniers mois. Banco Sol en Angola contrainte de suspendre momentanément certains services, pour riposter à une cyberattaque, Nedbank en Afrique du Sud qui constate en un laps de temps que les données de 41 000 clients sont aux mains de cybercriminels, ou encore Bank of Africa (BOA) au Mali qui, en plein février, subit une fuite d’environ 2,5 téraoctets de données personnelles de clients dont des plus prestigieux de l’Etat et du secteur privé. Dans le seul espace francophone africain, au moins une dizaine de banques -selon nos informations- ont subi de récentes cyberattaques. « Il y a des banques qui ont perdu de l’argent, parfois même beaucoup d’argent. Mais, elles ne vont jamais communiquer dessus, évidemment parce que cela ne servira pas leurs intérêts », indique à La Tribune Afrique une source au sein du secteur qui requiert l’anonymat.
Si « la situation est sous contrôle et il n’y a aucun impact financier », comme nous l’affirme la BOA Mali, l’incident malveillant de février a eu un écho retentissant. « Cette attaque nous a tous interpellés. Chaque banque, à son niveau, a essayé de revoir son système de sécurité informatique pour prendre des mesures de protection », indique à LTA G. Laurent Fondjo, président de l’Association des banques d’Afrique de l’Ouest (ABAO). Le sujet de la cybersécurité bancaire est évoqué « à toutes [les] réunions » de cette organisation créée en 1981 par les banques centrales de la CEDEAO sous l’égide des chefs d’Etats. Et pour cause : « les attaques sont très régulières, notamment dans le domaine de la monétique », indique son président.
La finance, victime de 44% des cyberattaques perpétrées en 2022
Fléau planétaire, le cybercrime coûte environ 528 milliards de dollars à l’économie mondiale et les crises en sont souvent un facteur d’exacerbation. En Europe à titre d’exemple, la guerre en Ukraine rend évidente une montée des cybermenaces notamment dans le secteur bancaire. Ainsi la Banque centrale européenne (BCE) a annoncé début mars des tests de résistance aux cyberattaques pour les 111 banques de la zone euro. Objectif : évaluer le niveau d’imperméabilité de leurs systèmes.
Selon l’enquête X-Force Threat Intelligence Index 2023 d’IBM publiée fin février, le secteur financier -les banques en première ligne- a subi 44% des cyberattaques perpétrées au Moyen-Orient et en Afrique sur l’année 2022, faisant de la finance le secteur le plus visé par les cybercriminels dans la région. Ces derniers emploient des techniques de hacking de plus en plus sophistiquées et priorisent désormais les informations personnelles telles que les noms, les emails, les adresses personnelles des clients de banques … Pourquoi ? Ces données, selon le rapport, sont vendues cher sur le Dark Web ou servent à d’autres opérations d’attaques ou des tentatives de phishing.
100 000 à 500 000 € investis par banque pour contrer le fléau ?
Une enquête du spécialiste marocain de la protection des données et des systèmes Dataprotect -qui a couvert en 2020 les banques de l’UEMOA (huit pays ouest-africains ayant pour monnaie le Franc CFA) et celles du Gabon, du Congo et de la RDC- indique ces établissements sont vulnérables face aux cyberattaques en raison des investissements insuffisants dans leur cybersécurité. 50% des banques sondées à ce moment disaient investir 100 000 à 500 000 euros par an dans la sécurité informatique. Mais pour les experts de Dataprotect, les banques devraient faire plus, afin d’avoir des investissements proportionnels aux risques encourus. Ils évaluent le coût d’une infiltration malveillante à environ 9 000 euros et plus par ordinateur. Le calcul peut être rapidement fait quand on sait que rien que la filiale d’un groupe bancaire peut détenir plusieurs centaines d’ordinateurs.
Le secteur revendique d’ « importants » investissements annuels
Les banquiers cependant ne l’entendent pas forcément de cette oreille, même s’ils restent ultra-discrets sur les données chiffrées de leurs investissements dans la cybersécurité. « Le digital est déjà le présent et c’est encore plus l’avenir du secteur bancaire. Nous n’avons pas d’autres choix que de chercher à anticiper, trouver des solutions pour mieux nous prémunir des cyberattaques. Et c’est ce que nous faisons », explique G. Laurent Fondjo. Le président de l’ABAO et patron d’Afriland First Bank en Guinée estime que les banques de la sous-région misent plus ou moins 50% de leurs investissements annuels dans le numérique, y compris la sécurité.
D’autres patrons estiment que le niveau d’investissement des banques dans la cybersécurité « dépend du positionnement stratégique de chaque établissement » et de la maturité du marché dans lequel évolue ce dernier. Si l’émergence du mobile banking a favorisé la transformation de la pratique bancaire, la Covid-19 a été un catalyseur de l’investissement dans le numérique, suite aux confinements et à la distanciation physique. « Nous avons parfois dû engager plus de la moitié des investissements de la banque dans l’informatique, sécurité y compris », confie à LTA Guy Awona, directeur général d’Orabank Togo. « Plus une banque se digitalise, poursuit-il, plus elle va devoir investir dans sa cybersécurité. C’est un fait : aujourd’hui, il ne sera plus possible de faire de la banque sans digitalisation. Or, la digitalisation impose un haut niveau de contrôle, car autant elle facilite le reporting, permet de gagner en termes de délais, simplifie la vie au client…, autant une faille peut avoir de lourdes répercussions, pour des montants très importants. Il faut donc s’assurer, à chaque étape, d’avoir des systèmes de contrôle suffisamment forts pour bloquer toutes les tentatives d’intrusion. La sécurité a un coût très important dans les banques et nous en payons le prix ».
De manière générale, les grands groupes bancaires détiennent une filiale dédiée à la gestion de la sécurité informatique. Cela implique donc un investissement permanent, mais dont ils ne dévoilent pas les détails. C’est le cas d’Afriland First Bank, d’Orabank, d’Ecobank ou du marocain Attijariwafa Bank. « La sécurité informatique de la majorité de nos filiales est gérée de manière centralisée depuis Casablanca. Il y a toute une équipe qui y travaille de manière permanente, ce qui rend notre système difficilement perméable », nous indique une source au sein du groupe bancaire présidé par Mohamed el-Kettani et implanté dans 14 pays d’Afrique, avec le réseau le plus large du continent, soit 5835 agences. Pour se renforcer, les banques travaillent aussi en partenariat avec plusieurs sociétés spécialisées en cybersécurité.
Banques vs cybercriminels, la loi du plus fort ?
Entre les banques et les cybercriminels, est-ce la loi du plus fort ? De part et d’autre, l’innovation bat son plein. Les premiers dans le bon sens, les seconds, clairement dans le sens inverse. Pour Clément Domingo dit « SaxX », expert en cybersécurité -qui a choisi le « bon » côté du hacking en tant que hacker éthique, pense que la bataille s’annonce rude et le rapport de force semble encore pencher (malheureusement) en faveur des cybercriminels. « Ce n’est plus du tout comme il y a trois quatre ans, où spécifiquement en Afrique, les cyberattaques pouvaient avoir lieu sans que l’information n’aille au-delà d’un petit noyau de personnes », explique-t-il. « Aujourd’hui, poursuit l’expert, cela est quasi-impossible parce qu’il existe des techniques pour savoir qu’une entité s’est faite hackée, mais aussi parce que les cybercriminels disposent de relais pour les données volées ».
Une omerta contreproductive
C’est également pour ces raisons que l’expert estime contreproductif l’omerta que s’imposent les banques lors des cyberattaques. En général d’abord démentis, les piratages ne sont assumés que lorsque les cybercriminels divulguent des données, comme observé notamment avec BOA Mali. « Leur gestion de cette cyberattaque est catastrophique », remarque SaxX. « Lorsqu’une banque dément une cyberattaque dont elle est bel et bien victime, elle envoie un mauvais signal, celui qu’elle ne maitrise pas ce qui se passe sur son système d’information, qu’elle n’est pas à jour dans la sécurisation des données de ses clients et partenaires, d’autant qu’avant d’attaquer, les cybercriminels infiltrent le système d’une banque des mois à l’avance … », explique-t-il avant d’ajouter : « en matière de cybersécurité, la politique de l’autruche ne fonctionne absolument pas ». En d’autres termes, en voulant préserver son image de marque, la banque peut finir par l’écorner.
La « violence » des cybercrimes envers les entreprises pousse les décideurs à faire le ménage dans le cyberespace mondial. Ainsi, la fermeture la semaine dernière de BreachForums, le plus grand supermarché web de revente de données volées au monde -suite à l’arrestation le 15 mars de son administrateur- a résonné. Mais quand on sait que BreachForums est né après la fermeture de RaidForums suite à l’arrestation de son leader également, faut-il s’attendre à l’apparition d’un autre site important de vente illicite de données personnelles ? Jusqu’ici d’ailleurs, les importantes données hackées chez BOA Mali par le groupe Medusa -qui réclamait une rançon revue plusieurs fois à la baisse- n’ont toujours pas été entièrement dévoilées. « Ce qui est curieux, car ce même groupe a dévoilé toutes les données obtenues lors d’autres attaques comme celle de l’aéroport du Kenya », souligne SaxX qui, en raison de cela, s’attend à des rebondissements dans cette affaire.
Formation et sensibilisation en interne, ces axes décisifs
Si investir dans la technologie et dans les partenariats sécurisés -les partenaires pouvant être des portes pour les intrusions malveillantes- maximise la protection des banques contre d’éventuels cybercrimes plus sophistiquées, une partie du combat, comme le reconnaissait tantôt le patron d’Orabank Togo, se joue en interne. « Je dirais même que la grande partie du combat se joue en interne », estime Franck Kié, fondateur et président du Cyber Africa Forum (CAF). Pourquoi ? En raison de la réglementation bancaire qui soumet d’office les établissements financiers à un certain nombre d’exigences en matière de sécurité informatique. « Lorsqu’une entité dispose d’un système techniquement suivi, les erreurs viennent généralement de l’humain. C’est alors qu’un vrai travail de formation et de sensibilisation devient nécessaire, pour limiter au maximum les risques », explique cet expert de la cybersécurité, également fondateur et managing partner de CyberObs. « Les banques ont beau investir beaucoup d’argent dans les dernières solutions de cybersécurité, mais si le logiciel des collaborateurs n’est pas upgradé régulièrement, elles continueront de se faire attaquer », renchérit Clément Domingo.
Chez Attijariwafa Bank, on nous assure qu’au-delà du dispositif technique, le suivi des collaborateurs fait la force de cette banque qui a son quartier général dans la capitale économique du Maroc. « Nous faisons régulièrement de la formation et énormément de sensibilisation auprès de nos collaborateurs », indique notre source. Selon l’ABAO, l’attaque de la BOA Mali a réveillé toutes les banques y compris les plus petites, en matière de cyberveille. Mais les deux experts persistent et signent : « la formation et la sensibilisation en interne vont représenter l’un des plus grands défis de la cybersécurité pour les banques au cours des prochaines années ».
La Tribune Afrique