L’Afrique rattrape son retard numérique rapidement mais fait face à un problème de cybersécurité. En effet, par corollaire, la constante hausse de la pénétration de l’internet s’accompagne, mécaniquement, de l’augmentation de la cybercriminalité. Une réalité qui touche particulièrement les banques et les fintechs du continent.
On estime à près de 3000 le nombre d’institutions bancaires vulnérables aux cyber menaces (selon la Banque africaine de développement) et à 250 millions le nombre de clients exposés.De facto, le continent est très mal protégé dans le cyberespace, et plus particulièrement la sphère financière, parmi les plus attaquées. Or la surface d’attaque cybernétique continue de s’agrandir à mesure que la couverture numérique du continent augmente (40% en 2022).
Une urgence rappelée par Paul Harry Aithnard, DG d’Ecobank Côte d’Ivoire : «Nous sommes sur un continent de plus en plus ouvert aux NTIC et, par conséquent, autant exposé que l’Europe ou l’Amérique aux cyberattaques».
L’enjeu est double pour les Etats africains car la polarisation d’une grande partie des attaques sur les banques et fintechs (monnaie mobile, etc.) du continent est synonyme de perte financière sèche. Tous secteurs confondus, la cybercriminalité a coûté au moins 3,5 milliards de dollars à l’Afrique. Il s’agit d’une estimation basse, dans la mesure où une minorité d’attaques cyber sont réellement détectées par les banques. La cybercriminalité a aussi un impact réputationnel important sur les institutions bancaires. Ce qui pourrait ralentir le taux de bancarisation du continent, déjà très bas (47%). Or il s’agit d’un fort enjeu de développement.
La réponse se doit donc d’être holistique et d’impliquer autant les acteurs économiques que les Etats et jusqu’aux consommateurs. Comme le rappelle le Dr. Thierry Wandji, directeur général de Cybastion, entreprise spécialisée dans des solutions de cybersécurité: « Les institutions doivent prendre de solides mesures de cybersécurité pour éviter des pertes importantes et protéger leurs consommateurs. L’Afrique ne doit être ni la victime ni la source des cybermenaces. Par conséquent, investir dans la cybersécurité, former les employés et les clients et développer des programmes de sensibilisation ne doit pas être un luxe mais plutôt une priorité ! »
Vulnérabilité financière
L’exposition remarquable des pays africains à la cybercriminalité a été mise en évidence en 2020 par l’étude de l’entreprise marocaine Dataprotect. Celle-ci soulignait que seules 20% des banques africaines (sur la base d’un panel sélectionné) se préoccupaient sérieusement de leur cybersécurité. Alors même que 85% d’entre elles auraient déjà subi au moins une cyberattaque. Cette impréparation reflète celle de la plupart des entreprises du continent, qui, selon Interpol, seraient près de 90% à ne pas être dotées de protocoles de sécurité.
La densité des attaques et surtout leur caractère sophistiqué prouve que la cybercriminalité est le fait de groupes constitués et très bien formés. Récemment, Afriland First Bank a fait l’objet d’une cyberattaque importante via une opération d’hameçonnage ciblant ses clients. Les pirates ont ainsi pu récupérer identifiants de connexion et numéros de cartes bancaires.
Cet épisode médiatique cache les millions de cyberattaques qui ont touché l’ensemble des continents en 2021. De natures variées – l’hameçonnage et la fraude à la carte bancaire sont les techniques les plus courantes-, elles peuvent aussi cibler les banques elles-mêmes et leurs fonctions opérationnelles (attaque par déni de service, rançongiciels, etc.) ; ou bien viser la confidentialité des données via par exemple des intrusions ou la prise de contrôle de systèmes (attaques RATS). Le télétravail a particulièrement stimulé ce type d’attaque, les postes d’ordinateurs personnels étant encore moins protégés que la moyenne des entreprises.
On observe aussi une forte exposition des applications de paiement mobile à des logiciels malveillants. Le taux de mobile money est particulièrement fort en Afrique (25%), même par rapport au reste du monde (5%). Et Les utilisateurs sont régulièrement victimes de piratage de leur application. Ces attaques sont préoccupantes car le mobile money est souvent un palliatif à la bancarisation dont dépend la vie économique de populations entières.
Cette dernière menace a poussé la Banque africaine de développement à accorder, en 2022, un don de 2 millions USD pour créer le Centre africain de ressources sur la cybersécurité pour l’inclusion financière (ACRC). Il sera chargé d’apporter une réponse à la cybercriminalité et, plus généralement, de la résilience au système numérique africain. Le décaissement des fonds sera fait via la Facilité pour l’inclusion financière numérique en Afrique (ADFI) qui vise à faire entrer 332 millions d’africains supplémentaires dans les circuits financiers continentaux.
Cybersécurité: Stratégie de riposte
« Une des vulnérabilités les plus critiques des organisations et des banques en Afrique est le manque de sensibilisation quant aux risques. Un travail de sensibilisation et de formation apparaît comme un préalable fondamental. La réponse aux cybermenaces passe en effet par la maîtrise des bonnes pratiques au sein des institutions : formation du personnel à l’hygiène numérique, installation de pare-feux, certification des sous-traitants, création de services dédiés travaillant en coordination avec les autres branches…», mentionne Franck Kie, expert en cybersécurité et fondateur du Cyber Africa Forum. « La maîtrise des simples « gestes barrières » contre la cybercriminalité réduit drastiquement le risque d’attaque », a-t-il conclu.
Les banques et organismes de finance ont fait part des difficultés à trouver et intégrer du personnel formé, voire du manque de prestataires aptes à fournir des services en cybersécurité. C’est la raison pour laquelle les Etats doivent constituer des écosystèmes scolaires, techniques et entrepreneuriaux pour créer une dynamique de filière : du stockage des données au développement en passant par la cybersécurité. Dans un premier temps, les partenariats publics privés (PPP) peuvent être une solution pour faire rentrer sur les continent des compétences qu’il n’a pas ou bien en nombre insuffisant. A l’image des services fournis par le groupe français Atos ou l’américain Cybastion,.
Au niveau national, les Etats doivent continuer à élaborer des cadres réglementaires précis. Tout en constituant des instances de veille et de riposte. Par exemple, la Côte d’Ivoire dispose de plusieurs services aptes à répondre à des cyberattaques comme la Plateforme de lutte contre la cybercriminalité (PLCC), la division anti-cybercriminalité de la DITT ou le Centre national de veille et de réponse aux incidents de sécurité informatique.
La coopération internationale, notamment intra-africaine, semble incontournable. Comme le rappelle le « Cyber Risk and Financial Stability », édité par le G7 en 2020, celle-ci permet notamment la convergence des réglementations et le renforcement du partage de l’information. Des impératifs catégoriques pour répondre à une menace ontologiquement diffuse et internationale : «Il est important, dans le cadre de notre transformation digitale engagée depuis quelques années, de renforcer la protection de nos données. Ces dernières décennies, la cybercriminalité a coûté plus d’une vingtaine de milliards de francs CFA à un pays comme la Côte d’Ivoire. Ce chiffre montre l’urgence de proposer des solutions efficaces pour protéger les entreprises», rappelle Paul Harry Aithnard.
Les initiatives africaines fleurissent dans ce sens : comme le Cyber Africa Forum, co-organisé par Ciberobs et Jeune Afrique Media Group, qui se tiendra du 9 au 10 mai à Abidjan ou bien le sommet de Lomé qui s’est terminé le 24 mars dernier. On note qu’il existe déjà des normes au niveau sous-régional, comme les protocoles de la BCEAO ou du Groupement interbancaire monétique (GIM- UEMOA).
Ces initiatives sont un indicateur positif, même si elles doivent être développées et renforcées pour protéger efficacement l’Afrique.