En Afrique et au Moyen-Orient, 44 % des cyberattaques visent le secteur bancaire, faisant du monde de la finance une cible surexposée à la malveillance en ligne. Dans ce contexte hautement sensible, une poignée d’acteurs africains de premier rang investissent massivement pour muscler leur sécurité en ligne -et celle de leurs clients-. Entre autres lignes de mire : la certification PCI-DSS, le Graal de la sécurité bancaire, dont BGFI Bank RDC est le dernier récipiendaire en date.
L’Afrique très exposé aux cybermenaces dans le secteur bancaire
Février 2023. Bank of Africa, l’un des principaux acteurs maliens du secteur, constate la fuite de 2,5 téraoctets de données personnelles de ses clients. Un schéma trop récurrent en Afrique, aussi vécu récemment par la Banco Sol en Angola et Nedbank en Afrique du Sud. Les données fuitées se retrouvent souvent sur le Dark Web, où elles constituent une précieuse mine d’informations pour les pirates informatiques. D’un point de vue global, les pertes nettes pour les entreprises africaines liées à la cybercriminalité sont estimées à 3,5 milliards de dollars par an. Un fléau pour les économies émergentes.
Selon Dataprotect, un spécialiste marocain de la protection des données et des systèmes d’information présent auprès des banques de l’UEMOA, du Gabon, du Congo et de la RDC, à l’origine d’une étude sur la sécurité des banques africaines, la moitié des acteurs bancaires investiraient annuellement entre 100 000 et 500 000 euros pour assurer la protection de leurs réseaux. Des sommes non-négligeables, mais encore insuffisantes, estime-t-on chez Dataprotect. Mais, parmi les pays africains, le Maroc reste le plus touché avec plus de 18 000 détections de logiciels malveillants contre ses institutions bancaires, selon les données du dernier rapport Interpol sur les cybermenaces en Afrique en 2022. En bref, la cybersécurité est, dans les banques africaines, non seulement trop négligée, mais encore trop souvent sous-traitée à des prestataires extérieurs, 55 % des banques africaines faisant appel à des sous-traitants pour assurer le sécurité de leurs systèmes d’information. S’ajoutent aussi des difficultés systémiques de recrutement de personnels spécialisés en Afrique, qui compliquent encore la tâche des acteurs financiers. Selon Dataprotect, seuls 20 % des banques mènent une politique satisfaisante dans ce domaine, 8 banques sur 10 n’étant ainsi pas assez outillées face à ces menaces.
L’Afrique n’est cependant pas un cas à part. Selon Interpol, « le taux de cyberinfractions et d’infractions commises à l’aide d’Internet s’inscrit en hausse à l’échelle mondiale ». Une tendance qui s’explique notamment par la digitalisation des usages, notamment bancaires dans le monde entier. « Plus une banque se digitalise, plus elle va devoir investir dans sa cybersécurité. C’est un fait : aujourd’hui, il ne sera plus possible de faire de la banque sans digitalisation », estime ainsi Guy Awona, directeur général d’Orabank Togo, pour La Tribune Afrique.
BGFI Bank RDC, PayDunya, Sunu Bank Togo : les banques et FinTech africaines en quête de certification
Dans ce contexte, les acteurs africains ne restent pas les bras croisés. Pour rassurer une clientèle de plus en plus exigeante et éviter de très couteuses fuites de données, ils fourbissent leurs armes et tentent de s’aligner sur les plus hauts standards internationaux. Dans le domaine de la protection des données bancaires, la norme PCI DSS fait figure de référence internationale. « Une certification bien particulière parce qu’elle porte sur la sécurité et la confidentialité des données bancaires que nous exploitons au quotidien »,estime Francesco De Musso, administrateur de BGFI Bank RDC, dernier récipiendaire en date du précieux sésame.
Avec 12 exigences techniques pour six objectifs de contrôle, allant du maintien d’un programme de gestion des vulnérabilités à des tests réguliers du réseau, elle est considérée comme l’une des plus rigides au monde. Et surtout, l’une des plus délicates à obtenir. Elle permet aussi d’ouvrir de nombreuses portes et de larges perspectives de collaboration avec les grands émetteurs de cartes bancaires, comme Visa ou Mastercard, qui l’exigent dans la quasi-totalité des cas. Avant BGFI Bank RDC, c’est Sunu Bank Togo qui peut se targuer d’entrer dans le club encore très limité des détenteurs de la certification. Au niveau régional et continental, les acteurs du monde bancaire africain pressent leurs homologues à fournir les efforts nécessaires pour se doter de la PCI DSS. « Au regard des projets en cours, nous sommes convaincus aujourd’hui que toutes les banques doivent être certifiées, car elles ont une responsabilité collective quant à la sécurisation des transactions », estimait ainsi, en 2018, Blaise Ahouantchede, alors directeur général du Groupement interbancaire monétaire de l’Union économique et monétaire ouest-africaine.
Formation interne, durcissement du cadre législatif : d’autres pistes évoquées
Les pirates informatiques profitent aussi plus largement d’un manque global d’information des salariés des banques, mais aussi des employés des banques. « Cette menace est exacerbée par le manque de campagnes de sensibilisation et d’information adressées au grand public », estime ainsi le rapport d’Interpol, tandis que Franck Kyé, fondateur et président du Cyber Africa Forum, estime que « la grande partie du combat se joue en interne ». Une réalité ainsi largement prise en compte par les institutions bancaires, qui multiplient les programmes de formation et de sensibilisation interne, comme chez Attijariwafa Bank, l’un des principaux acteurs bancaires marocains, où l’on promet « régulièrement de la formation et énormément de sensibilisation auprès de nos collaborateurs ».
De son côté, Interpol déplore globalement une législation insuffisamment ferme envers les cybercriminels. « Même s’ils se font prendre, ils ne sont pas poursuivis ni extradés vers des pays disposant d’une législation plus stricte », déplore l’agence, qui affirme aussi que les États « doivent se doter d’une unité d’enquête spécialisée dans la cybercriminalité ». En bref, renforcer toute la chaîne et mobiliser aussi les forces de police et la justice pour faire face à de fléau.
Point de satisfaction cependant, les dépenses cyber explosent en Afrique, signe d’une prise de consciente croissante du danger par les acteurs publics et privés. Un rapport du groupe Orange Cyberdéfense souligne ainsi que le marché, limité à 1,5 milliard d’euros en 2017, est passé à plus de 2,2 milliards d’euros en 2020. « L’Afrique est de plus en plus consciente de la nécessité de protéger ses infrastructures critiques, ses entreprises et ses citoyens contre les cybermenaces », se réjouit ainsi Daouda Sow, directeur général de Techso Group, l’un des rares acteurs 100 % africains spécialisés dans la sécurité informatique, pour Leseco.ma.