Économie

Cyberattaques : Ecobank, Axian… Comment le secteur privé se protège

Rançongiciel, phishing, spam… Sur le continent, à l’heure où les tentatives d’arnaque virtuelle se multiplient, banques, opérateurs de télécoms et institutions publiques organisent la riposte. Une bataille quotidienne et coûteuse.

Réservé aux abonnés
Mis à jour le 25 mars 2022 à 19:34

Les banquiers ne sont pas les seuls à faire preuve de vigilance : les opérateurs télécoms sont aussi sur leur garde. © Getty Images/Westend61.

Chaque jour, les cybercriminels se rappellent à l’Afrique. La Banque centrale de Tunisie (BCT) a annoncé le 24 mars avoir subi la veille une « attaque cybernétique » ayant entraîné « quelques perturbations sur certaines de ses activités », dont son site internet, mais qui a été « maîtrisée grâce aux efforts coordonnés entre les services de la BCT et ceux de l’Agence nationale de la sécurité informatique (Ansi). Illustration, on ne peut plus récente, des cyberattaques – les plus récurrentes sont le rançongiciel, le phishing (hameçonnage) ou encore l’envoi massif d’emails indésirables (spam) – dont sont victimes les entreprises et institutions publiques sur le continent.

Cette menace, qui a fait l’objet d’un sommet lancé le 23 mars à Lomé par le Togo et la Commission économique des Nations unies pour l’Afrique (CEA), nécessite une réponse musclée de la part des acteurs privés, en amont, pour se prémunir contre les attaques et, en cas de tentative, pour réduire les chances de succès et les dommages.

À Lire Cyberattaques : escroqueries, chantages sexuels, chevaux de Troie… L’Afrique plus que jamais ciblée

Chez ETI, 500 tentatives en trois mois

« Cela fait une dizaine d’années que nous avons pris des dispositions pour anticiper le sujet et protéger à la fois les clients et les actifs du groupe », explique à Jeune Afrique Tomisin Fashina, le directeur pour les opérations et la technologie d’Ecobank Transnational Incorporated (ETI). Selon lui, le groupe bancaire panafricain « a déjoué en bientôt trois mois, de janvier à mars 2022, quelque 500 tentatives d’attaques « . ETI, dont le siège se trouve à Lomé, est présent dans 44 pays, tous reliés par un système de sécurité unique. « Si une agence, au Burundi ou au Ghana par exemple, est compromise, toute notre stratégie qui en pâtit. »

Tout est fait pour maintenir un environnement de travail capable de décourager les acteurs malveillants

Le dispositif de surveillance du groupe est assuré par un centre d’opération composé d’une centaine de personnes, dont la moitié travaille au siège, l’autre moitié étant répartie dans les agences des filiales. Outre la surveillance 24 heures sur 24, la cellule effectue trimestriellement des tests avec des simulations d’attaques pour détecter et corriger les failles.

À Lire Cybersécurité : « Il est temps d’agir pour éviter le chaos numérique en Afrique d’ici deux ans »

En parallèle, l’accent a été mis sur la formation, l’ensemble du personnel, tout niveau de hiérarchie confondue, devant suivre des sessions obligatoires. En agence, le groupe mène aussi des actions de sensibilisation de ses clients. « Tout est fait pour maintenir un environnement de travail capable de décourager les acteurs malveillants », commente Tomisin Fashina, nommé à son poste il y a un an et entré chez Ecobank en 2016, après être passé par Barclays et Steward Bank.

Près d’un million de dollars par attaque

Les banquiers ne sont pas les seuls à faire preuve de vigilance : les opérateurs télécoms sont aussi sur leur garde. Le secteur a enregistré dix millions d’attaques DDoS (déni de service) en 2020 dans le monde, avec une ardoise moyenne de 900 000 dollars par attaque – cela comprend les pertes liées à la suspension d’activité, les coûts des réparations et les frais juridiques –, selon Jonathan Djie, le chef de la sécurité informatique d’Axian, dirigé par Hassanein Hiridjee.

À Lire Cybercriminalité : les banques ouest-africaines mal protégées

Au sein du groupe présent aux Comores, au Sénégal, au Mali, au Togo et à La Réunion, un dispositif global est aussi en place avec la priorité donnée à la sensibilisation à travers des messages d’alerte, mais aussi des exercices pour tester la réaction des clients face à l’hameçonnage et des jeux pour former le personnel. Scanners réguliers des réseaux et souscription à une police d’assurance de cybersécurité complètent le dispositif. Une unité de surveillance, mobilisée en permanence, doit bientôt être mise sur pied alors que le groupe entend aussi renforcer ses contrôles sur ses activités de mobile money.

Mais pour nombre d’observateurs, les efforts du secteur privé doivent être accompagnés d’un soutien public. Lors du sommet de Lomé, 29 pays africains ont ainsi appelé à la mise en place d’un cadre légal et réglementaire spécifique pour lutter contre la cybercriminalité, prévoyant notamment la création d’organes de régulation, la systématisation des échanges d’informations et la promotion d’une culture de cybersécurité.