La multiplication des acteurs, des fournisseurs et des gestionnaires de GAB, n’est pas pour accélérer la mise à l’ordre d’un secteur en forte croissance en Afrique.
Le cas récent d’une banque belge qui s’est vue frauduleusement soutirer 170 millions de dollars par des informaticiens basés en Israël ; lesquels ont ensuite viré les fonds en Europe de l’Est et, de là-bas, en France, dans l’achat d’actifs immobiliers, renseigne sur la sophistication des réseaux criminels.
Quid donc de l’Afrique dans un contexte législatif où le trafic de drogue, fortement réprimé par la loi, rapporte moins que la fraude des GAB et des réseaux bancaires? Comment les banques, les organisations et les particuliers font-ils face à ces risques nouveaux peu réprimés ?
C’est pour débattre de cette dimension sécuritaire de la forte croissance de la monnaie électronique en Afrique que s’est tenue en début février à Dakar une rencontre sur la monétique et la sécurité informatique des banques à l’initiative du Groupe Monetis et de Suricate Solutions Sénégal.
D’entrée de jeu, le représentant du Groupe Monetis insiste sur le partage des rôles: «la banque doit gérer l’argent c’est son cœur de métier. Le fonctionnement des GAB et des terminaux fait appel à d’autres compétences et ne doit pas être de son ressort».
La maintenance des GAB avec des visites hebdomadaires, la relance à distance et des interventions sur sites en cas de panne sont du ressort de spécialistes en la matière. Ils apportent à la fois une plus grande disponibilité du service, une sécurité des transactions tout en réduisant les coûts de gestion.,.
«La gestion des automates est compliquée pour les banques. Celles qui sont engagées dans une logique panafricaine ont des besoins particuliers, différents de ceux d’une banque locale», explique Jean-Louis Perrier, directeur associé de Suricate Solutions.
Les besoins du secteur bancaire portent sur des services à valeur ajoutée comme le rechargement, le transfert, le dépôt de billets, l’analyse des données et le reporting consolidé.
Or, la multiplication des acteurs, des fournisseurs et des gestionnaires de GAB, n’est pas pour accélérer la mise à l’ordre d’un secteur en forte croissance en Afrique. «Les pays avec les petits parcs gérés par des sociétés locales qui n’ont ni la capacité ni les moyens de mettre leurs techniciens à jour» sont particulièrement exposés aux fraudes. Heureusement que dans la zone de l’Union Economique et Monétaire Ouest Africaine (UEMOA), la plus intégrée d’Afrique en termes de monétique, le problème ne se pose pas en ces termes. Le groupement monétique interbancaire, GIM UEMOA, a réussi à créer un vaste réseau interconnecté de 3000 GAB appartenant à différents opérateurs soumis tous qu’ils sont aux mêmes normes. Cette intégration est en soi un gage de sécurité et de confort pour le client final qui peut retirer de l’argent de n’importe quel GAB des 110 banques membres.
Dans l’UEMOA, c’est la recherche de valeur ajoutée qui mobilise les acteurs comme l’explique Fatou Blondin DIOP, directrice de Groupe Monetis. «Nous allons plus loin que les fonctions basiques d’un terminal de paiement electronique GAB classique en y intégrant par exemple la carte de fidélité, la carte de santé, les services de microfinance».
Et de détailler les dernières innovations de Monetis qui commercialise une application permettant d’envoyer du crédit à partir d’un seul terminal et pouvant cohabiter avec une application bancaire. Quelque soit leur complexité et leur mode de fonctionnement, les GAB ont besoin d’un ingrédient essentiel: la confiance numérique, premier gage du service.
Sécurité, une bataille perdue d’avance ?
Pour les experts présents lors de la rencontre de Dakar, il est difficile aux banques et aux agents économiques en général de faire face aux risques posés par les transactions électroniques et la virtualisation des opérations en général. La criminalité organisée est entrain de gagner du terrain. «L’on risque plus pénalement en trafiquant un timbre de poste qu’en fracturant le système informatique d’une banque», déplore un spécialiste qui appelle à la mise à niveau des législations africaines.
Actuellement, 60% des attaques par internet se font encore par le biais du Phishing, procédé qui permet obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. En outre, 90% des applications mobiles seraient faciles à violer selon les conférenciers. Si 50% des pirates sont motivés par l’argent, il y a environ 30% qui ont pour mobile l’espionnage d’Etat ou d’autres objectifs stratégiques.
En dehors des virus, qui constituent la voie classique pour pénétrer les systèmes, il y a aussi les Malware (logiciels malveillants ou maliciels) qui sont des programmes malicieux qui se greffent dans les systèmes et se mettent à collecter des données personnels. Le premier seuil de vulnérabilité reste bien entendu le mot de passe qui doit respecter certaines normes.
Afin de réduire les risques, les experts insistent sur la segmentation des réseaux, le patching des machines. etc. Ne faire des investissements que sur la sécurité serait cependant insuffisant quand on sait qu’il ne faut qu’à partir de 12$ (jusqu’à 170 en Allemagne) pour accéder à 1000 ordinateurs à partir de la Chine. D’où l’injonction de M. Azdabbaz, expert de la place qui traite de la sécurité informatique en zone UEMOA depuis la fin des années 90 : “Arrêtons de penser sécurité et pensons gestion de risque, donc modélisation des risques”. Et de préciser: «La sécurité et la conformité n’est plus une option mais une obligation».
L’avènement du mobile banking qui a explosé ces dernières années dans la zone UEMOA et africaine en général appelle à une mise à niveau réglementaire et sécuritaire. Quelques 7,8 milliards d’euros ont transité par ce procédé entre janvier et septembre 2015 selon la Banque centrale des Etats de l’Afrique de l’Ouest (BCEAO). Alors se pose la question: faudrait-il que les banques centrales étendent leurs périmètres de contrôle aux opérateurs de mobile money à l’instar du Luxembourg où ces acteurs sont soumis aux mêmes règles que les banques ?
Les GAB, faciles à pirater
C’est la conclusion des professionnels du secteur. Les GAB restent des ordinateurs empiriques, souvent installés sans respect des normes requises. Dans le monde, le skimming scanning reste la première fraude des automates bancaires. Le procédé est simple: un petit dispositif introduit dans le GAB lit les coordonnés de la carte, envoie les données par émetteur ou wifi. Autre procédé, l’explosion du GAB par le gaz. Ce moyen violent n’est pas encore arrivé en Afrique (hors Nigeria). Les normes exigent que les GAB soient fixés au sol, ce qui n’est pas souvent le cas en zone UEMOA. Par ailleurs, presque100% des automates ne disposent pas de mot de passe BIOS. Et peu sont dotés de pare-feu et d’anti-virus.
Un commentaire
De ce fait, devrait-on alors éviter de faire un retrait d’argent depuis le GAB? En fait, en lisant attentivement cet article, on peut comprendre qu’on ne pourrait jamais parvenir à assurer une protection de haut niveau à nos données personnelles depuis le GAB.