Comment renforcer la cybersécurité des banques et assurances africaines face aux menaces croissantes ?
En Afrique, la transformation numérique rapide depuis la crise de COVID expose des infrastructures critiques à la cybercriminalité, ce qui a coûté l’an dernier environ 4,12 milliards de dollars au continent. Les banques et les assurances en particulier sont devenues des cibles de choix. Quelles sont les nouvelles menaces ? Comment les institutions peuvent trouver le juste équilibre entre le renforcement des capacités en interne et l’externalisation de l’expertise ?
Kingsley Kobo
La forte demande de services financiers innovants comme le mobile banking et la nature évolutive des terminaux ont favorisé l’apparition d’applications malveillantes et d’autres vecteurs d’attaque.
Entre janvier 2020 et février 2021, plus de 700 millions de menaces ont été détectées en Afrique par Trend Micro, partenaire d’INTERPOL. Plus de 90 % des entreprises africaines opèrent encore sans protocoles de cybersécurité, ce qui les rend particulièrement vulnérables aux menaces en ligne.
Vers une structure de la gouvernance efficace
Selon les experts, les institutions financières africaines doivent mettre en place une structure de gouvernance de la cybersécurité, mais aussi la maintenir à jour pour identifier les nouvelles menaces et y remédier. « Face à la multiplication des risques, on ne peut plus se passer d’un responsable de la sécurité des systèmes d’information (CISO) » juge Franck Kié, Directeur de Ciberobs, une entreprise de cybersécurité ivoirienne.
Pour Adetola Adegbayi, Directrice exécutive des services techniques/opérations chez Leadway, l’une des plus grandes compagnies d’assurance du Nigeria, ce CISO doit occuper un rôle au niveau exécutif : « L’époque où la mission d’un responsable de la cybersécurité était considérée comme purement technique et limitée à la sphère technologique est révolue. La fonction englobe à présent de nombreuses responsabilités et doit être vue comme un pilier de l’entreprise, au même titre que les cadres supérieurs et les dirigeants. »
Pour garantir la réussite des programmes de gouvernance de la cybersécurité, le conseil d’administration doit selon elle apporter un soutien maximal au service informatique et de sécurité numérique des institutions financières : « Nous observons toujours une fracture entre la gouvernance et la gestion, qui se traduit par des perspectives différentes en termes de leadership. Un effort conjoint des équipes techniques et non techniques est indispensable face aux cybercriminels. »
Sous-traitance ou expertise en interne ?
Pour les entreprises, vaut-il mieux créer un centre d’opérations de sécurité (SOC) en interne ou s’associer à un fournisseur de services de sécurité gérés (MSSP) ? Le débat est récurrent. Un SOC est une entité centralisée créée par une entreprise pour gérer ses problèmes de sécurité, tandis qu’un MSSP est une organisation tierce qui offre une gamme de produits et services de cybersécurité.
La plupart des experts sont partisans du MSSP en raison de son coût inférieur et de son temps d’installation plus rapide. « De nombreuses institutions financières africaines externalisent déjà leurs solutions de sécurité, ce qui me semble préférable car la création d’un centre d’opérations de sécurité efficace en interne est coûteuse et prend du temps. Il y a aussi le défi du recrutement d’experts qualifiés et expérimentés, qui sont à la fois rares et coûteux », explique Antoine Ondoua, Analyste en chef de la société camerounaise de sécurité informatique Zuoix :
« Les MSSP semblent mieux armés pour faire face à l’évolution rapide des menaces, de par leur expérience acquise auprès d’une vaste clientèle répartie dans de nombreuses régions. Faire appel à leurs services permet donc aux banques et aux assurances de se concentrer sur le développement de leur activité. »
Pour Philip Debrah, ingénieur indépendant en informatique et cybersécurité qui collabore avec les plus grandes banques ghanéennes, la question de la confidentialité des données (données personnelles, secrets industriels ou autres données privées) plaide en faveur d’une expertise interne en matière de sécurité pour plus d’autonomie et de contrôle :
« Les grandes entreprises qui ont le budget nécessaire ne devraient jamais négliger la mise en place d’un centre d’opérations de sécurité haut de gamme. Sa proximité facilite la sensibilisation des employés à tous les niveaux. On ne sait jamais d’où viendra la prochaine menace, et les fournisseurs eux-mêmes peuvent subir des cyberattaques. »
Des ransomwares aux attaques contre la chaîne d’approvisionnement
Alors que les institutions financières luttent pour renforcer leurs protocoles de sécurité et protéger les données et les systèmes, les cybercriminels développent sans cesse de nouvelles tactiques sophistiquées pour contourner les solutions de protection des points d’accès.
Les ransomwares sont responsables de la plupart des incidents de cybersécurité et restent l’une des plus grandes menaces. Selon un rapport de Trend Micro, le secteur bancaire mondial a connu au premier semestre 2021 une augmentation de 1,318 % des attaques de ransomware par rapport à l’an dernier. Selon le Centre d’études stratégiques de l’Afrique, plus de 61 % des entreprises africaines ont été touchées par un ransomware en 2020.
Les ransomwares consistent à chiffrer des fichiers essentiels à l’entreprise et à bloquer les utilisateurs. Les pirates demandent ensuite une rançon en échange de la clé de chiffrement qui permettra de débloquer les données. Mais payer la rançon n’est pas une garantie que les systèmes corrompus seront restaurés.
Selon Kaspersky, plus de 1,5 million de ransomwares ont été détectés en Afrique en 2020. Au premier trimestre 2021, l’Égypte, l’Afrique du Sud et la Tunisie ont enregistré les taux de détection les plus élevés du continent. Ecobank Transnational Incorporated, qui possède un SOC interne avec plus de 100 experts, a déjoué 500 tentatives d’attaques entre janvier et mars 2022, selon son Directeur des opérations et de la technologie Tomisin Fashina. Pour contrer ces menaces, les experts appellent à l’application des « principes de prévention et de protection ».
Le nombre croissant de systèmes logiciels et de données stockés dans le Cloud en fait un autre terrain d’attaque privilégié pour les pirates. Les entreprises doivent s’assurer que leur infrastructure Cloud est correctement sécurisée contre les violations, avertissent les analystes de sécurité. Selon Antoine Ondoua, si les attaques par déni de service distribué (DDoS) ont considérablement diminué, elles restent redoutables.
Mais à l’avenir, les attaques contre la chaîne d’approvisionnement seront l’une des plus grandes menaces. Elles consistent pour un pirate à cibler un prestataire de services plutôt que l’entreprise elle-même, en insérant du code malveillant qui sera distribué de façon non intentionnelle, par exemple sous la forme d’une mise à jour logicielle. L’objectif est de compromettre les systèmes de distribution pour infiltrer les réseaux des prestataires et de leurs clients.
Créer un cadre réglementaire efficace
Face à ces nouveaux défis de sécurité, de nombreux observateurs jugent insuffisante l’action des autorités publiques. Lors du 1er Sommet panafricain sur la cybersécurité co-organisé par le gouvernement du Togo et la Commission économique pour l’Afrique des Nations unies (CEA) à Lomé en mars dernier, les États membres ont adopté la « Déclaration de Lomé sur la cybersécurité et la lutte contre la cybercriminalité ». Ils se sont ainsi engagés à signer et ratifier la « Convention de Malabo » de l’Union africaine.
Adoptée initialement en 2014, celle-ci vise à établir un cadre juridique unifié à l’échelle du continent. Décrite comme l’une des conventions les plus élaborées au monde en matière de cybersécurité, elle n’est toutefois pas encore appliquée, car au moins 15 pays sur 55 doivent d’abord la ratifier.
Initialement, 5 pays l’avaient signée et un autre ratifiée ; des chiffres passés respectivement à 14 et 13 en 2002. Mais les signatures de géants comme le Nigeria, l’Afrique du Sud, l’Égypte et le Kenya manquent encore à l’appel.
Certains experts voient là la conséquence de l’évolution des politiques réglementaires dans les différentes juridictions, notamment dans le secteur financier. « De nombreux pays ont renforcé leurs réglementations bancaires ou leurs outils de surveillance en matière de cybersécurité, ce qui, selon moi, rend la Convention de Malabo secondaire. Mais il est essentiel de faire front commun, car les cybermenaces sont le plus souvent transfrontalières », explique Ethan Mudavanhu, Analyste politique chez Access Partnership.
La Politique et stratégie nationales de cybersécurité du Nigeria (NCPS) promulguée en 2021, la Loi sur la cybersécurité 2020 du Ghana, et la Stratégie nationale de cybersécurité du Kenya de 2022 sont quelques exemples de politiques nationales.
Une réglementation spécifique au secteur financier ?
Une autre question fait débat : la réglementation globale en matière de cybersécurité est-elle suffisante ou faut-il instaurer des réglementations spécifiques aux institutions financières ? En raison de la dématérialisation croissante du secteur, de nombreux analystes politiques penchent pour la seconde solution. « Les menaces entraînées par la montée de la cybercriminalité sont nombreuses. Les législations en la matière le sont tout autant. Mais si les informations ne sont pas diffusées avec rigueur au sein des institutions financières et si les clients sont insuffisamment sensibilisés, les cybercriminels parviendront toujours à leurs fins », souligne Mohamed Yassin, Analyste en chef des systèmes à la United Bank of Egypt.