Le nombre d’attaques, de vols et de violations de données des banques et institutions financières augmente tous les jours, notamment avec l’instauration du télétravail imposé par la Covid. Ceci, malgré les efforts dédiés à la lutte contre la cybercriminalité, selon l’expert en cybersécurité ivoirien, Stéphane Konan, qui intervenait hier, lors d’un webinaire sur le sujet.
‘’Ce n’est plus les lingots d’or. Ce sont bel et bien les données. C’est la première rupture de paradigme que l’on a. Beaucoup d’efforts sont dédiés à la cybersécurité, à la lutte contre la cybercriminalité. Malgré tout, le nombre d’attaques, de vols et de violations de données augmente tous les jours. Ce qu’on recommande aux personnels du secteur financier, aux banques pour la sécurisation des données, des informations qu’ils ont à traiter au niveau de leurs activités, c’est d’intégrer l’idée que la sécurisation des données commence par leur classification en fonction du dommage que leur vol ou dissimulation publique pourrait infliger à leurs activités’’, conseille Stéphane Konan.
Dans le secteur commercial, l’expert en cybersécurité, qui prenait part, hier, à un webinaire sur les défis de la cybersécurité pour les institutions financières dans le contexte de l’expansion des services financiers numériques, souligne que les données sont classifiées en quatre types. Il y a celles d’usage restreint, qui ne sont réservées qu’à un certain nombre de personnes au sein de l’organisation, données confidentielles, internes et données publiques.
‘’En général, on retrouve ce type de classification dans tous les établissements bancaires. Une fois que les données sont classifiées, il faut qu’on intègre dans ce contexte d’explosion de la cybercriminalité, dans la cybersécurité, les risques légaux et ceux réglementaires, l’impact sur les activités. La Covid a développé le télétravail. Donc, il faut définir un environnement professionnel, dans le cadre professionnel ; il y a des recommandations à respecter. La première bonne pratique et qui est basique, c’est le port de badge et d’uniforme. Il faut que les effectifs soient sensibilisés au respect de la politique de classification des informations’’, poursuit le patron de Compétences SARL.
Être vigilants face au phishing
Pou Stéphane Konan, il est important de chiffrer, comme de crypter toutes les données et toutes les communications, dès lors qu’on traite de données corporate ou des clients.
‘’Il faut être vigilant face au phishing (NDLR : l’hameçonnage ou phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité.), questionner la légitimité des requêtes, faire attention à l’usage des réseaux sociaux et forums qui sont une base de renseignements pour les attaquants. Il faut aussi être vigilants sur les imprimantes, les poubelles, les périphéries qui sont une mine d’or d’informations. Il faut crypter les supports digitaux et les conversations téléphoniques lorsqu’on est en déplacement à l’étranger et veiller activement aux nouvelles menaces’’, renchérit-il.
Pour sa part, le directeur IT ABL a relevé que les erreurs humaines ont énormément contribué à l’augmentation des cas de cybersécurité au niveau des institutions financières.
‘’Il faut mettre en place certaines mesures pour éviter les attaques cybercriminelles. Beaucoup d’employés viennent avec leur propre ordinateur. Donc, il faut vérifier tout matériel qui entre dans notre environnement du travail, qu’il y ait des mesures de sécurité. Il est nécessaire de veiller sur les antivirus, et si quelqu’un doit utiliser un ordinateur personnel, il faut vérifier s’il n’est pas infecté par un virus. Le monde du travail a la responsabilité de veiller à ce qu’il y ait des antivirus pour ce gendre de protection, pour que nous puissions avoir les standards de base pour faire face à ces attaques. Nous devons former notre personnel’’, suggère l’expert libérien Eric Malm.
Le premier défi pour faire face à ces attaques, d’après le directeur de SIS CCA Bank, c’est la réglementation. ‘’Il faut s’aligner à la réglementation. Il faut proposer des services à la clientèle, permettre au client qui se trouve à l’autre bout du monde d’accéder à ses services à partir d’Internet. Il faut axer les actions sur trois niveaux. Le premier, c’est la cybersécurité, se remettre à niveau. Le deuxième axe, c’est mieux former et sensibiliser les usagers sur les questions de cybercriminalité. Il faut leur inculquer la culture de la cybersécurité, en leur montrant les bonnes pratiques. Il urge d’allouer davantage de ressources à la cybersécurité’’, dit Ghislain Nkoudjou.
De manière générale, M. Nkoudjou signale que le premier risque de cybercriminalité, c’est l’usurpation d’identité. Il y a ensuite le vol de données et le chiffrement. Pour contourner ces attaques, il préconise une démarche étalée sur neuf points. Il s’agit, entre autres, de la sécurisation du réseau, de l’éducation et de la sensibilisation des travailleurs, de la prévention des malwares (logiciels malveillants), du contrôle des supports amovibles, de sécuriser la configuration de son système, etc.
Les dépenses de cybersécurité estimées à environ 1,5 milliard de dollars par an
En réalité, indique le directeur du programme ARC, le secteur financier fait face à des crimes organisés pour 50 % des attaques. ‘’Si 70 % des attaques sont externes, il en reste quand même 30 % qui sont au moins d’origine interne avec une complicité interne. En c’est plus de 3 000 institutions financières et fintech. C’est plus de 250 à 300 millions de clients qui sont souvent fragiles et qui ne peuvent pas se permettre de perdre de l’argent à la suite d’une attaque. Et les institutions elles-mêmes, souvent, sont fragiles et risquent de disparaître à la suite d’une attaque. Il y a très peu de ressources en cybersécurité en Afrique. On estime à environ 10 mille les experts en cybersécurité sur le continent. En matière de ressources financières, on évalue les dépenses de cybersécurité aux alentours de 1,5 milliard de dollars par an. Ce qui équivaut aux dépenses en cybersécurité des quatre premières banques américaines’’, relève Jean-Louis Perrier.
Face à cette situation, regrette M. Perrier, les réponses apportées par les autorités locales à travers le continent, ‘’ne sont pas tout à fait effectives’’. ‘’Il n’y a qu’une quinzaine de pays sur les 54 pays africains qui sont dotés d’une agence nationale de cybersécurité. La coordination entre toutes les entités publiques et privées au niveau du continent est quasiment nulle. Il y a l’urgence de développer l’inclusion financière, des réglementations plus strictes’’, fait-il savoir.
Enqueteplus