La percée du digital s’est accompagnée de plusieurs facteurs peu désirables. C’est le cas des cyberattaques. En plus d’être virulentes, elles ciblent désormais et de plus en plus le système bancaire. Même si la volonté de riposte est réelle, elle pèse peu face aux outils ultra sophistiqués.
En Angola, une banque a été contrainte de suspendre certains services, pour riposter à une cyberattaque. En Afrique du Sud, après une attaque, les données de 41 000 clients sont aux mains de cybercriminels. Au Mali, une banque subit une fuite de plusieurs données confidentielles aussi bien du secteur privé que de l’Etat…Ces dernières années, les cyberattaques contre les banques se comptent par dizaines voire centaines. Le rapport Security Navigator 2024, le corrobore. Il indique que le nombre record de victimes de cyber-extorsions dans le monde est en hausse de 46 %.
Sur les 129 395 incidents détectés par les équipes d’Orange cyberdéfense, il a été noté une hausse de 30 % d’une année sur l’autre, pour un total de 25 076 incidents de sécurité confirmés. Le Rapport sur la stabilité financière dans le monde publié en avril 2024 indique que le risque de pertes extrêmes provoquées par des cybers incidents est en hausse. Ces pertes pourraient confronter des sociétés à des problèmes de financement, voire compromettre leur solvabilité. « L’ampleur de ces pertes extrêmes a plus que quadruplé depuis 2017 pour atteindre 2,5 milliards de dollars. De surcroît, les pertes indirectes, comme l’atteinte à la réputation ou les dépenses engagées pour renforcer la sécurité, sont devenues beaucoup plus lourdes », souligne le rapport. Ajoutant que le secteur financier est plus exposé que tout autre au cyber risque. « Du fait des gros volumes de données sensibles et d’opérations qu’elles traitent, les sociétés financières sont souvent la cible de criminels cherchant à voler de l’argent ou à perturber l’activité économique. Les sociétés financières sont concernées par près d’un cinquième des attaques et les banques sont les établissements les plus exposés. »
Menace sur la stabilité financière
Prenant l’exemple de la cyberattaque subie par la Banque centrale du Lesotho en décembre 2023, le Rapport indique que cet incident a désorganisé le système national de paiement, empêchant les banques du pays d’effectuer des opérations. D’un point de vue plus global, les auteurs de l’étude soulignent que les incidents survenant dans le secteur financier pourraient mettre en péril la stabilité financière et économique s’ils portent atteinte à la confiance accordée au secteur financier, désorganiser des services essentiels ou occasionner des répercussions sur d’autres institutions.
« Un cyber incident de grande ampleur dans une institution financière pourrait ébranler la confiance et, dans des cas extrêmes, provoquer des cessions d’actifs massives sur les marchés ou des ruées sur les dépôts bancaires. Bien que l’on ne recense à ce jour aucun mouvement de panique majeur à la suite d’un cyber incident, notre analyse montre qu’une cyberattaque a donné lieu pendant un certain temps à des retraits de dépôts, certes modérés, dans des banques américaines de petite taille », recommandent les spécialistes. Selon eux, l’activité économique pourrait également être gravement perturbée par des cybers incidents entraînant une désorganisation de services essentiels comme des réseaux de paiement.
La sous-traitance des activités informatiques plébiscitée
Face à des menaces de plus en plus sophistiquées, plusieurs structures bancaires ont commencé à sous-traiter leurs activités informatiques à des prestataires tiers, une tendance qui devrait s’accentuer avec le rôle émergent de l’intelligence artificielle. Selon Mamad Sall, spécialiste et formateur en cybersécurité, c’est une approche intéressante mais qui n’est pas gage d’efficacité.
« L’an dernier, par exemple, une attaque au rançongiciel sur un fournisseur de services informatiques sur le nuage a entraîné des interruptions de services simultanées dans 60 caisses de crédit mutuel américaines. En cette période où, comme le montre le chapitre, le système financier mondial fait face à des cyber risques considérables et croissants sous l’effet de l’accélération de la transition numérique et de l’exacerbation des tensions géopolitiques, les procédures et dispositifs de gouvernance au sein des sociétés doivent évoluer en conséquence », explique-t-il.
Une meilleure gouvernance pour atténuer le risque cyber
D’ailleurs une enquête récente menée auprès des banques centrales et organes de supervision, le Fonds monétaire international (Fmi) révèle que les dispositifs des pouvoirs publics en matière de cybersécurité restent souvent insuffisants, en particulier dans les pays émergents et les pays en développement. Par exemple, les pays dotés d’une stratégie nationale de cybersécurité ciblée sur le secteur financier ou de réglementations spéciales en matière de cybersécurité ne représentaient qu’environ la moitié de l’échantillon. L’étude préconise d’ailleurs de renforcer la résistance du secteur financier.
« Les autorités doivent mettre les moyens pour disposer d’une stratégie de cybersécurité nationale adéquate, et l’accompagner de capacités de réglementation et de supervision efficaces permettant d’évaluer régulièrement la situation de la cybersécurité et détecter d’éventuels risques systémiques liés à l’interconnexion des acteurs et aux concentrations, notamment ceux engendrés par les prestataires de services tiers, de promouvoir la “cyber maturité” au sein des sociétés du secteur financier, ce qui passe notamment par une expertise en matière de cybersécurité chez les dirigeants, comme le montre l’analyse du chapitre qui laisse apparaître qu’une meilleure gouvernance en matière de cybersécurité pourrait atténuer le cyber risque », indique l’étude.
Pour Mamad, le risque zéro n’existe pas. Mais le secteur financier doit être en mesure d’assurer la continuité des services essentiels pendant les périodes de perturbations. Aussi plaide-t-il pour la mise au point de procédures de riposte et de retour à la normale.
Des agences de surveillance pour renforcer la cyber-résilience
Pour le hacker, Etienne Dasilva, même s’il est difficile d’anticiper, les pays doivent penser à des agences nationales de surveillance des systèmes d’information. Cette approche dit-il, est d’autant plus importante qu’elle permet, en cas de problèmes, d’alerter, de veiller et d’aider les entreprises à se préparer. Parallèlement, il estime que les pays peuvent mettre en place un cadre d’échanges qui permet le partage d’informations sur les menaces. « Mais aujourd’hui, les gens ont peur de partager des informations. Il faut beaucoup de pédagogie. Les entreprises aussi, même si elles sont petites, doivent prendre ces enjeux très au sérieux et grandir avec. Il faut également que les gouvernements africains exigent un certain dispositif sécuritaire certifié aux entreprises. Il faut impérativement encourager la culture de la sécurité numérique, ensuite favoriser la formation du personnel pour élever le niveau de sécurité », dit-il.
