Fraude et risque cyber : faire face aux risques cyber dans les services financiers en Afrique

18/05/2021 Les capacités cyber augmentent, tout comme les risques associés. En mars 2021, Mazars a sponsorisé l’Africa Financial Industry Summit et a animé un débat sur la gestion des fraudes et cyber-risques existants et à venir qui menacent de plus en plus le secteur des services financiers en Afrique. Lisez le débat ci-dessous avec Jean-Louis Menann-Kouamé, directeur général d'Orange Bank Africa, Mohamed Saad, directeur général adjoint de la Bourse de Casablanca et Président de l’AUSIM et David Luponis, associé, Mazars.

    

David Luponis, Mazars : Un certain nombre d'organisations, dont The World Economic Forum, soulignent que le cyber-risque est l'un des plus grands risques de sécurité du 21ème siècle. Cette prise de conscience est-elle effectivement prise en compte par les décideurs ?

Jean-Louis Menann-Kouamé, Orange Bank Africa : Dans la gouvernance d'entreprise, il existe des organes - conseil d'administration, comités spécialisés - pour accompagner l'exécutif dans la conduite des affaires. Dans le Board d'Orange Bank Africa, nous avons un conseil d’administration qui délègue des tâches spécifiques à un comité spécialisé comme le comité des risques. C'est  dans cette instance que les risques sont discutés et que le comité se prononce sur : la cartographie des risques, les éléments de mitigation des risques, les éléments de criticité du cyber-risque, le concept de plans de continuité des activités, les plans de secours informatiques, entre autres. Le comité d'audit statue également sur des missions d'audit qui peuvent pointer des faiblesses en termes de sécurité de l'information.

Pour répondre à votre question, oui, les organisations de services financiers prennent au sérieux la fraude et le risque cyber, et la gouvernance doit être bien établie pour permettre aux équipes opérationnelles de faire face à cette menace.

Mohamed Saad, Bourse de Casablanca : C'est peut-être le cas d'Orange Bank, qui est une structure mature, mais en 2018, nous avons réalisé une enquête qui a révélé que 95 à 96% de l'économie au Maroc, constituée de PME n’ont pas encore considéré que ce risque fait partie des sujets à traiter par leurs Conseils d’Administrations . Dans les grandes entreprises financières ou de télécommunications, ces comités d'audit et de risque vont se pencher sur la cartographie des risques, le budget sécurité, la revue des incidents, etc. Mais c'est plus compliqué pour les PME et elles ont beaucoup à perdre.

DL : En Afrique il y a une très forte empreinte du sujet mobile banking, est-ce que cela apporte un risque supplémentaire ?

JLMK : Les clients demandent toujours plus de services digitaux. Face à la digitalisation des services bancaires, les hackers sont de plus en plus ingénieux. Avec le développement de l'e-banking et du mobile money, les attaques sont de plus en plus nombreuses.

On constate un manque d’investissement dans la cybersécurité et dans le personnel qualifié au niveau mondial. Cette situation est encore plus prononcée en Afrique. L'investissement des entreprises passe par des outils, des bonnes pratiques, le respect des normes internationales et un personnel bien formé. C'est dans cette voie qu'il faut s'engager pour lutter contre les fraudeurs.

MS : Avec l'avènement du client centricity, il y a un accroissement du mobile et des nouvelles technologies comme le big data et le machine learning. Les structures bancaires les plus avancées seront, par exemple, capables d'identifier qu'un consommateur effectue un paiement depuis son téléphone portable alors qu'au même moment son compte est utilisé pour une autre transaction dans un autre pays. L'utilisation du machine learning est donc utile et l’intelligence artificielle peut nous apporter des pistes de vérification. Il y a aussi le "bug bounty programme" : les entreprises qui en ont les moyens paient au prix fort des chercheurs pour qu'ils trouvent des vulnérabilités et des brèches. Il existe une véritable industrie du dark web, et pas seulement des étudiants qui s'adonnent au piratage pour le plaisir.

DL : Nous avons abordé le sujet de l’éducation - comment jugez-vous la formation dans ce domaine en Afrique ? Y a-t-il des bonnes leçons à apprendre d'ailleurs ?

JLMK : L'éducation est une question clé. En Côte d'Ivoire, par exemple, il n'y a que deux écoles qui se concentrent sur les risques cyber. L'informatique attire de plus en plus de jeunes, mais ils se tournent plutôt vers le développement web, la maintenance des réseaux. C'est aussi un sujet qui attire très peu de femmes. La méconnaissance de la problématique fait que la formation n'est pas à la hauteur. Et, bien sûr, il y a le coût de la formation. Compte tenu de la diversité des métiers du secteur, il est absolument indispensable de développer des cours et des séminaires spécialisés, et d'aller dans les écoles pour sensibiliser les jeunes.

MS : Au sein d'une entreprise, la nouvelle recrue, le stagiaire, le prestataire de services ont tous besoin d'être formés et sensibilisés. Les enfants doivent également être formés dès le plus jeune âge, à l'image de l'apprentissage du code de la route. Nous devons faire la même chose pour les autoroutes de l'information. Les enfants sont des natifs du numérique et il est essentiel de les sensibiliser dès leur plus jeune âge. En Afrique aujourd'hui, nous manquons cruellement de ressources et d'experts en cybersécurité.

DL : Il y a aussi la question de la réglementation. Une coordination continentale est-elle envisageable pour assurer une couverture et une collaboration interdisciplinaires plus larges?

JLMK : Absolument. Les opérateurs privés et publics (police, justice) et les régulateurs doivent travailler ensemble. Et, en regardant vers le haut, une collaboration internationale est tout à fait nécessaire. En Côte d'Ivoire, il y a eu de nombreuses lois ces dernières années, ainsi que l'adoption de directives régionales par la CEDEAO. Ces directives régionales doivent être intégrées dans le droit local. Les pays de la région essaient de mettre la barre à un niveau élevé afin d'apporter une réponse efficace à la cybercriminalité. 

MS : Aujourd'hui, chaque pays a son corpus réglementaire, mais la cybercriminalité est une activité mondiale. C'est pourquoi les gouvernements doivent s'organiser pour chasser en meute. Parfois, les attaques ne prennent que quelques millisecondes. Des responsive task force sont nécessaires pour partager les informations et les communiquer rapidement. Une approche régionale, voire continentale, commune est essentielle.

DL : La pandémie de Covid-19 a-t-elle changé quelque chose ? A-t-elle accéléré la cybercriminalité ?

MS : La pandémie de Covid-19 a entraîné l'essor du travail à distance. En conséquence, le personnel se retrouve à utiliser plusieurs ordinateurs portables professionnels et personnels sur un réseau grand public avec un routeur domestique qui échappe totalement à la politique de sécurité de l'entreprise. Les VPN peuvent également être corrompus. Le nombre de risques augmente donc. Les pirates informatiques ont profité de la négligence de certains utilisateurs. Il y a de nombreux enseignements à tirer de cette période.

DL : Pour l'avenir, quelles sont les bonnes pratiques à mettre en œuvre pour répondre aux cyber-risques ?

JLMK : Pour le secteur privé, la question de la gouvernance - comité des risques, comité d'audit, procédures - est essentielle. Nous avons également besoin que les Directions des Systèmes d’Information soient incluses dans tous les projets de développement business. La question nécessite également des budgets conséquents : investir dans le big data et l'IA n'est plus optionnel. [Mazars a interrogé des chefs d'entreprise mondiaux sur les investissements nécessaires aux technologies du lieu de travail. Lisez notre rapport Tech Train ici].

L'aspect informatique doit être intégré à tous les projets en amont et non pas en aval. Le personnel et les clients doivent être sensibilisés. Il faut aussi une stratégie de lutte contre la cybercriminalité dans la sphère publique. Et avoir un cadre législatif et réglementaire suffisamment coercitif, pour que les hackers soient confrontés à une loi dure, une police qui puisse enquêter et à une justice qui condamne lourdement et dissuade.

MS : La réponse à la cybercriminalité doit être portée par le management de l’entreprise. La cybersécurité, comme la qualité et toute question de bonne gouvernance, doit venir du sommet et être intégrée aux projets dès le début. C'est ainsi que l'on évite les risques : éduquer, éduquer, éduquer. Et éduquer également la population illettrée. La formation est le maître-mot pour une génération et une population. L’AUSIM a publié des rapports et des livres blancs en source ouverte pour sensibiliser aux meilleures pratiques et contrer les risques cyber.

DL : Le marché de la cyber-assurance se développe dans le monde occidental. Pensez-vous qu'il se développera également en Afrique ?

JLMK : Malheureusement, ce n'est pas le cas actuellement. Les assureurs locaux devraient déjà être en mesure de fournir ce type d'assurance. Mais lorsque ces polices d’assurance existent, l'investissement en vaut la peine. Les attaques étant de plus en plus nombreuses - croissance à trois chiffres dans certains domaines - l'investissement dans la cyber-assurance est indispensable. 

MS : Cela existe déjà. Aux extrêmes, il existe des produits d'assurance qui peuvent même couvrir une rançon. Emotet, ransomware as a service, est l'un des plus grands risques. Le dark web est un véritable marché. Les gens achètent des services pour mener des attaques et ils ciblent les entreprises et les dirigeants.

DL : L'audience pose des questions sur l'ampleur des investissements. En Europe, la recommandation est de sanctuariser un budget de cybersécurité de 10% du budget. Qu'en pensez-vous ?

JLMK : Je ne peux pas vous dire si cette échelle de budget est la bonne, mais vous devez investir de manière appropriée en lien avec votre industrie. Le groupe Orange a investi des moyens importants sur ce sujet. Le budget nécessaire sera important mais doit être adapté à la nature de l'entreprise.

MS : Nous sommes effectivement sur cet ordre de grandeur, mais tout dépend de l'entreprise, des technologies utilisées. Aujourd'hui, dans le secteur financier, par exemple, s'il y a un poste budgétaire qui n'est pas revu à la baisse, c'est bien celui-là. Les risques sont trop importants et le prix à payer serait trop élevé. Les autorités de marché, les banques centrales, les régulateurs de télécoms, surveillent et contrôlent et mettent en place des corpus réglementaires pour qu’on puisse s’y conformer.

DL : Autre question de l’audience adaptée à la situation actuelle : le cyber-risque est-il contagieux? Une attaque peut-elle avoir des répercussions sur un partenaire ou un fournisseur?

MS : Nous parlons de cheval de Troie, de ransomware et de malware, et maintenant nous parlons de " droppers ", c'est-à-dire de virus qui s'installent d'eux-mêmes. Les attaques par rebond existent donc. La cybercriminalité ne connaît pas de frontières. La contagion existe depuis le début dans l'informatique et les services informatiques et chaque département devraient être séparés les uns des autres pour contenir une attaque.

Modérateur et panélistes :

  • David Luponis, Associé, Mazars (modérateur)
  • Jean-Louis Menann-Kouamé, Directeur général, Orange Bank Africa
  • Mohamed Saad, Directeur Général Adjoint, Bourse de Casablanca et Président de l’AUSIM

Pour en savoir plus sur l'Africa Financial Industry Summit, cliquez ici.

Pour lire notre rapport sur les niveaux de mise en œuvre et d'investissement dans les technologies au niveau mondial - notamment l'IA, la blockchain, l'ERP, l'IoT et le RPA - voir ici.