Cybercriminalité, menaces et lignes de défense
vendredi 8 novembre 2019
Le secteur numérique dans la région est l’un des plus dynamiques du continent. La côte ouest bénéficie d’un réseau numérisé et d’infrastructures de télécommunications développées, avec des liaisons sous-marines en fibre optique lui permettant d’interagir avec le reste du monde.
Cependant, le contraste de ce bond technologique est saisissant avec la montée de la cybercriminalité, et des risques qu’elle présente. Face à cette nouvelle forme de délinquance, les entreprises tentent autant que faire se peu de s’organiser, dans le but de limiter le préjudice causé, à défaut de l’enrayer.
Dans ce papier, nous porterons une analyse sur ces nouvelles menaces auxquelles s’exposent les entreprises et individus, avant d’explorer les contre mesures dont elles disposent afin d’y faire face.
Nouvelles menaces
Au Sénégal, selon l’Autorité de Régulation des Télécommunications et des Postes (ARTP), le taux de pénétration de l’internet atteint 63% en 2018 et concerne très majoritairement une connectivité mobile, correspondant à 88 % du parc de lignes internet. Si nous nous fions au rapport de l’Association des opérateurs de téléphonie mobile dans le monde (GSMA) 2019 sur l’Afrique subsaharienne, nous pouvons nous attendre à une croissance du niveau de pénétration du téléphone mobile qui passerait de 44% à 50% de la population entre 2018 et 2025, et celui de l’accès à internet de 23% à 39%.
Cette percée technologique suivra son cours dans un contexte où l’exposition aux menaces de cybercriminalité sont grandissantes. Les auteurs de ces actes font usage de stratagèmes de plus en plus judicieux, relevant du piratage informatique ou d’ingénierie sociale.
1.1 Piraterie de logiciel
Compte tenu de la corrélation entre la piraterie de logiciels et les activités cybercriminelles, le vecteur principal de la cybercriminalité reste précisément les machines infectées, nourries par la prolifération des logiciels piratés. En 2013, une étude de l’IDC (International Data Corporation), The dangerous world of counterfeit and pirated software, commandée par Microsoft, indiquait qu’en Afrique, 12 pays arrivent en tête au classement du parc informatique le plus infecté : Libye (98%), Zimbabwe (92%), Algérie (84%), Cameroun (83%), Nigeria (82%), Zambie (82%), Côte d’Ivoire (81%), Kenya (78%), Sénégal (78%), Tunisie (74%), Maroc (66%) et Maurice (57%).
Très régulièrement, des failles importantes sont constatées dans de grandes entreprises. Les cas d’infiltration de logiciels malveillants via des supports amovibles sont très répandus. Les employés, et aussi les externes aux sociétés en font usage pour le transfert ou le stockage de leurs données. Or, il s’agit là d’un des vecteurs les plus importants d’infection, et de diffusion de logiciels malicieux et malveillants.
Cette menace a aussi un impact sur le plan financier. En effet, dans son bulletin annuel de statistiques globales pour 2015, Kaspersky a mis en évidence une nouvelle tendance : les menaces financières mobiles se classant parmi les dix premiers programmes malveillants conçus pour subtiliser de l’argent. Deux familles de logiciels malveillant mobiles – Faketoken et Marcher – ont été inclues dans le top 10 des chevaux de Troie bancaires en 2015. Avec l’explosion du marché de la banque mobile, des Fintech ou services financiers accessibles depuis un téléphone portable, les usagers sont particulièrement vulnérables à cette évolution.
Une autre tendance remarquable et alarmante est la propagation rapide des « rançongiciels », un logiciel malveillant qui prend en otage des données numériques présentes dans le disque dur de l’ordinateur cible.
1.2 Ingénierie sociale et hameçonnage
Aujourd’hui, l’une des méthodes des plus récurrentes dans notre zone géographique, pour obtenir des informations confidentielles, est l’hameçonnage (ou phishing). Communément appelé « broutage », cette technique d’ingénierie sociale est le fait de personnes imaginatives, rusées et prudentes, exploitant les failles humaines et sociales de la victime. Ils utilisent des techniques incongrues, consistant à obtenir des informations sensibles ou de convaincre leur cible de réaliser certaines actions qui pourraient porter atteinte à leurs systèmes. La compromission de ces derniers se produit avec la transmission de courriers électroniques, de messages instantanés ou de SMS tentant d’inciter les cibles à ouvrir des pièces jointes contenant des logiciels malveillants ou de les conduire vers des sites web factices.
Autrefois, l’apanage de spécialistes en informatique, l’ingénierie sociale, parfois appelée la science et l’art du piratage humain, est devenue très populaire ces derniers en Afrique de l’Ouest, étant donné la croissance exponentielle des réseaux sociaux, des messageries par e-mail et autres formes de communication électronique.
Nous observons une évolution dans les malwares (logiciels malveillants ou maliciels) qui va de pair avec l’ingénierie sociale. Avant, les infections étaient assez évidentes car elles affichaient des boîtes de message, des icônes, des images, etc., tout ce qui pouvait permettre à l’auteur de revendiquer sa création. Mais de nos jours, il n’est pas rare de trouver des malwares qui accèdent à l’ordinateur de la victime grâce à des techniques d’ingénierie sociale et qui restent cachés jusqu’à ce qu’ils aient besoin d’exécuter un code malveillant. Dans le meilleur des cas, ce n’est qu’à partir de ce moment que la victime se rendra compte de l’attaque.
1.3 Compromission de l’infrastructure informatique
Une autre forme reconnue de cybercriminalité est celle dont font l’objet les infrastructures informatiques. Le piratage informatique a fini par prendre les proportions d’un véritable fléau dans la région. Il s’agit de cas où des personnes arrivent, grâce à leurs aptitudes techniques pointues, à accéder par infraction à des systèmes dans le but de compromettre la sécurité des données qu’ils contiennent. Ces informations, pour la plupart sensibles et/ou confidentielles, sont divulguées, altérée, ou rendu indisponibilité à des fins lucratives, ou de satisfaction personnelle.
Comme mentionné plus haut, nous assistons aussi à un attrait pour les produits digitaux à travers l’utilisation des cartes bancaires, du paiement ou du commerce en ligne. Cependant, ce levier au développement numérique ne pourrait être couronnée de succès si les usagers eux même ne se sente pas en confiance dans l’utilisation de ces instruments. La question de la fiabilité des plateformes continue à se poser, pour permettre aux consommateurs, qui, jadis, ne pouvaient se le permettre, d’effectuer des transactions financières, par le biais de cartes bancaires, ou de leurs mobiles.
Lignes de défenses
“Je puis vous dire que les infractions cybercriminelles sont de loin plus importantes que les infractions relatives au blanchiment de capitaux ou au terrorisme”.
C’est par ces mots que le magistrat Papa Assane Touré a illustré, suite à ses travaux de recherche, le regard qu’il porte sur la cybercriminalité en Afrique, particulièrement au Sénégal.
Selon une étude de McAfee, en partenariat avec le CSIS (Center of Strategic and International Studies), la cybercriminalité coûte à l’économie mondiale la somme de US$ 600 milliards, soit plus que le Produit Intérieur Brut de l’Afrique du Sud (US$ 349.4 milliards) et un peu moins que celui du Nigeria (US$ 375.8 milliards), premières économies du continent.
La portée du préjudice est difficilement quantifiable dans des pays comme le Sénégal. Ceci s’explique par le fait que les victimes préfèrent ne pas porter l’affaire devant la justice, ou même communiquer afin de ne pas ternir leur image et perdre en crédibilité. Néanmoins, afin de réduire le niveau d’exposition, des dispositions sont prises par les autorités pour endiguer la cybercriminalité.
C’est dans ce contexte que le Sénégal a légiféré sur le phénomène et sur les infractions qui y sont assimilées. En effet, longtemps considéré comme un concept n’affectant que les entreprises occidentales, ce postulat n’est plus valable du fait de la prolifération des systèmes d’informations front et back-office, le développement des contenus numériques, et un écosystème de start-up de plus en plus dense.
La solution à ce phénomène est principalement d’ordre juridique, techniques, et organisationnels.
2.1 La réponse juridique
De plus en plus d’États africains prennent des mesures répressives pour décourager ceux qui veulent se lancer dans cette nouvelle forme de délinquance.
Au Sénégal, des décisions ont été prises en matière de cybercriminalité depuis 2008, avec l’adoption d’une série de textes :
- LOI n° 2008-11 du 25 Janvier 2008 sur la cybercriminalité ;
- LOI n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;
- LOI n° 2008-09 du 25 janvier 2008 sur les droits d’auteur et les droits voisins.
Dans son ouvrage intitulé « La protection des données à caractère personnel en Afrique », préfacé par le Professeur Abdoullah CISSE, Dr Mouhamadou LO, Président fondateur de la Commission de la Protection des Données personnelles du Sénégal (CDP) recense les dispositions législatives et réglementaires en la matière.
Ainsi, afin d’accompagner ces dispositions juridiques, la justice a été mise à contribution avec des formations dédiées aux magistrats et aux officiers de police judiciaire. Une implication si bien qu’aujourd’hui, un officier de police judiciaire peut perquisitionner un système informatique, pour y rechercher des données utiles à l’enquête. Il en est de même pour certains cabinets d’instruction. Le Sénégal a également mis en place une brigade spéciale de lutte contre la cybercriminalité au niveau de la division des investigations criminelles de la police. La gendarmerie dispose également d’une structure spécialisée.
2.2 La réponse technique
Dans le même temps, des travaux de recherche ont été consacrés à la protection des institutions et individus, sur le plan technique.
L’exploitation des vulnérabilités connues par des menaces sur Internet ou autre réseau étendu serait évitée grâce une sécurisation convenable de la périphérie du réseau (pare-feu, systèmes de prévention d’intrusion, etc.). Au cas où dans le cadre de leurs fonctions des employés sont amenés à initier des connexions distantes, l’usage de réseaux privés virtuels (VPN) devra être systématique pour une transmission par cryptage des données. Les solutions VPN sont aussi de mise pour les accès à des services proposés en lignes, quel que soit le type de terminal de connexion.
Des mesures de protection en interne aux entreprises doivent aussi être de vigueur avec l’introduction de politiques organisationnelles strictes et de contrôles techniques en matière de :
- gestion supports amovibles ;
- de protection antivirale et de sécurité ;
- de segmentation maximale des différents réseaux ;
- de limitation d’accès aux ressources partagées ;
- etc.
2.3 Organisationnel
Malgré autant de mesures et de produits de sécurité, les utilisateurs finaux restent la clé du royaume. Qu’il s’agisse d’identifiants (nom d’utilisateur et mot de passe), d’un numéro de carte bancaire ou d’informations sur un compte bancaire, la plupart du temps, le maillon faible de la chaîne n’est pas technologique mais l’Humain. Quand la manipulation psychologique est en marche, il est extrêmement important de connaître les pièges qui sont utilisés et de comprendre comment ils fonctionnent afin de les éviter. La plupart des cybercriminels ne dépensent pas beaucoup de temps à essayer des piratages technologiquement complexes quand ils savent qu’il est bien plus simple d’utiliser l’ingénierie sociale pour arriver à leurs fins.
« La première ligne de défense n’est plus seulement technologique, elle est également humaine et organisationnelle, annihilant toute mesure de protections, aussi sophistiquée soit elle ».
Ces précautions organisationnelles renvoient essentiellement à l’élaboration de programmes de sensibilisation sur la sécurité de l’information, à l’assignation des rôles et responsabilités dans la gestion des actifs informationnels, mais aussi à l’élaboration et la mise en œuvre d’une politique de sécurité. Cette dernière comprend l’identification et la classification des informations précieuses pour l’entreprise, l’établissement de politiques de sauvegarde de données, la signature d’accords de confidentialité et/ou de confidentialité, aussi bien pour le personnel interne, que pour les partenaires et les fournisseurs de services.
Sans frôler la paranoïa, les précautions organisationnelles devraient même inclure les politiques de destruction d’informations imprimée sur papier, d’assainissement de données (pour une mise au rebut des disques de façon sûre et fiable), et de gestion des appareils mobiles (filtre de confidentialité, stockage sécurisé).
Toutes ces données montrent le degré d’exposition des pays africains à la cybercriminalité, comparativement aux autres économies du monde.
Autre fait notable : La connectivité à l’Internet et à la téléphonie mobile donne des possibilités sans précédent pour la diffusion et le partage de données. S’ils sont dépourvus de moyens aussi redoutables que leurs homologues d’autres contrées du monde, les cyber délinquant opérant depuis l’Afrique, n’en sont pas moins nocifs.
Il urge donc pour les organisations de renforcer leur dispositif de contrôle interne informatique, pas seulement sur le plan technique, aussi sur le plan juridique, et organisationnel.
Une démarche de conformité à des normes internationales telles que le référentiel ISO/CEI 27001 serait-elle une réponse globale aux expositions susmentionnées ? Nous reviendrons dessus dans un prochain article.
El Hadji Malick Guèye,
Senior Manager
Head of IT Audit & Advisory Services
Formateur
Mandela Washington Fellow
(Source : Seneweb, 8 novembre 2019)