Cybercriminalité : les banques ouest-africaines mal protégées

Selon les analystes de l’entreprise marocaine Dataprotect, les banques subsahariennes sont particulièrement vulnérables aux cyberattaques (fraudes à la carte bancaire, hameçonnage, intrusions…), notamment faute d’investissements dans la cybersécurité et de personnel qualifié.

Si le coût de la cybercriminalité est estimé à 3,5 milliards d’euros en Afrique – contre 528 milliards d’euros au niveau mondial -, cela ne veut absolument pas dire que l’Afrique résiste mieux que les autres continents au défi de la cybersécurité. Au contraire, selon les analystes de l’entreprise marocaine Dataprotect, fondée par Ali El Azzouzi, qui se sont penchés sur la situation des 148 banques provenant des huit pays membres de l’Union économique et monétaire ouest-africaine (Uemoa) et de trois pays d’Afrique centrale (le Gabon, la Congo et la RDC). 21 établissements bancaires ont participé, directement ou indirectement, à cette enquête baptisée « La fraude bancaire en Afrique subsaharienne ».

Plus de 85 % de ces institutions financières déclarent avoir déjà été victimes d’une ou plusieurs cyberattaques ayant entraîné des dommages, parfois à répétition. Il s’agit d’abord de fraudes sur les cartes bancaires (dans 30 % des cas) ou de hameçonnage – une méthode qui consiste à pousser la personne à révéler ses informations personnelles et qui représente aussi le tiers des cyberattaques.

Viennent ensuite, dans 24 % des cas, des atteintes au « core banking » : les infections virales et les intrusions dans les systèmes d’information. Les banques sont enfin touchées par des fuites d’informations, des usurpations d’identité, des fraudes par transfert d’argent ou des retrait sur des faux chèques.

Des investissements en hausse, mais insuffisants

« Manifestement, les banques africaines ont affaire à des criminels professionnels », expliquent les équipes de Ali El Azzouzi, qui estiment que seuls 6 % des incidents sont découverts par les employés de cybersécurité des institutions financières sur la zone étudiée. Et lorsqu’ils le sont, ils ne sont pas toujours révélés par les établissements concernés, rendant l’impact financier des cyberattaques difficile à évaluer sur le continent.

Les banques qui ont communiqué sur la question ont en moyenne estimé leurs pertes à 770 000 euros sur les dernières années. Mais les analystes de Dataprotect évoquent un coût moyen de 9 000 euros pour chaque ordinateur infecté par un programme malveillant. « Ce montant peut gonfler rapidement si l’attaque n’est pas contenue », ajoutent-ils.

Pour faire face à la menace, 85 % dans banques interrogées par Dataprotect ont dit investir moins d’un demi-million d’euros par an dans la cybersécurité, tandis 50 % ont déclaré investir entre 100 000 et 500 000 € par an. De son côté, dans son rapport « L’investissement de l’Afrique dans la cybersécurité » Orange Cyberdefense prévoyait en 2018 que le marché africain passerait de 1,5 milliard d’euros en 2017 à plus de 2,2 milliards d’euros en 2020.

Une activité majoritairement sous-traitée

Bien qu’en hausse sur les dernières années, cet investissement demeure très modeste en regard des pertes essuyées. « En matière de cybersécurité, les investissements doivent être proportionnels au risque informationnel encouru par l’entreprise. Or, c’est dans le secteur financier que le risque est maximal », prévient le rapport de Dataprotect.

D’un point de vue opérationnel, 55 % des institutions financières recourent à la sous-traitance pour leurs activités de cybersécurité,  estimant que cela leur permet de rester concentrer sur leur activité principale. Elles font aussi ce choix du fait de la difficulté de recruter du personnel qualifié, une problématique évoquée par plus de 85 % des banques interrogées. « Un spécialiste en cybersécurité répugne souvent à travailler dans une entreprise où il va être isolé professionnellement et sans possibilité de promotion dans son domaine », expliquent les rédacteurs du rapport, selon lesquels seuls 20 % des établissements ayant participé à l’enquête prennent au sérieux le sujet à bras-le-corps.

Sans les immuniser totalement, leur vigilance va leur permettre de prévenir la majeure partie des intrusions. Mais les 80 % restantes « opèrent les yeux fermés dans une zone à haut risque et, une fois frappées, subiront des dommages maximum », préviennent les analystes de Dataprotect.

La société marocaine spécialisée en sécurité de l’information opère aujourd’hui dans plus de 35 pays, avec plus de 500 clients dont 100 banques, en Afrique, en Europe, au Moyen Orient et en Asie Pacifique. Son chiffre d’affaires dépasse les 110 millions de dirhams (10 millions d’euros).

El Mehdi Berrada 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Facebook
Facebook
YouTube
%d blogueurs aiment cette page :