POURQUOI LES BANQUES CAMEROUNAISES SONT ELLES VICTIMES DE PIRATAGE

Accueil POURQUOI LES BANQUES CAMEROUNAISES SONT ELLES VICTIMES DE PIRATAGE

05

décembre
  • par Gérard Eyoum

De nos jours, nos institutions financières sont des plus en plus victimes de cyber crimes; Du vol de données, a la fraude à la carte bancaire en passant par l’indisponibilité des services, la plupart en ont laissés des plumes. Des centaines de millions disparus par ici et des gigas de données voles par la, toutes restent muettes et gardent le silence, afin de ne point perdre leur clientèle et leur crédibilité. Des récentes statistiques révèlent que presque 80 pourcent de nos banques ont reçu leur sacrement en cyber crime. Pourquoi nos institutions financières sont-elles si vulnérables, qu’est ce qui les rend si fragile en cas de cyber attaque ? Nous mènerons la démarche ensemble, et analyserons les différents facteurs qui pourraient constitues de points de faiblesse au sein de nos banques. Les informations révélées par la cyber victimologie de la plupart de ces cybers crimes sont très accablantes.

L’absence de véritable  »background investigation » dans le processus de recrutement

En réalité, la plupart des entreprises bancaires au Cameroun sous-estiment l’importance des investigations sur le passe et la vérification des références d’un individu en voie de recrutement. En effet, pour la plupart, de simples enquêtes de moralité suffisent à rendre le candidat éligible; Pourtant, 65 pourcent des attaques les plus farouches prennent naissance en interne. Un employé possédant un casier judiciaire et un passe houleux pourrait un jour voler les données (Numéro de carte de crédit, cryptogramme, etc…) contenues dans le serveur de e-Bank et les revendre plus tard dans le Darkweb a parfois seulement 5 euro le numéro. La pratique des investigations pré emploi permet efficacement de protéger l’entreprise contre des infiltrations physiques et le recrutement d’un cybercriminel dormant. Un cybercriminel dormant est un employé, connu dans le monde du hacking comme un Gray Hat; Son rôle est de s’infiltrer dans l’entreprise comme un employé normal, et d’utiliser plus tard ses accès afin de faciliter l’intrusion au sein du système de la société dans laquelle il travaille. Ce mode opératoire est très commun au sein des groupes de hackers.

L’absence de classification de l’information

L’information dans les entreprises est aujourd’hui considérée comme un actif stratégique dont la valeur est difficilement mesurable. Dans un monde concurrentiel et mondialisé les entreprises ont l’obligation de protéger cette information pour leur survie. Protéger l’Information pour éviter que des informations sensibles, confidentielles soient diffusées volontairement ou accidentellement en dehors de l’entreprise. Pour protéger l’information, il faut la connaitre et l’identifier !

La protection de l’information commence par la Classification de l’information en fonction de son degré de sensibilité et son niveau de partage.

Une confusion entre les audits et les tests d’intrusion

Plusieurs institutions confondent sérieusement les termes suivants: Audit de sécurité et tests d’intrusion. En réalité, le rôle principal des audits de sécurité est de standardiser un système suivant un référentiel de sécurité bien précis. Les audits vérifient la conformité d’un système d’entreprise, et cherchent à normaliser ce système afin de le préparer aux attaques de base. Mais, en réalité, un bon audit ne rassure pas la société sur sa protection, il démontre tout juste que le système réponds aux normes de base en qualité de cyber sécurité. Par contre, les tests d’intrusions eux, rassurent efficacement sur la robustesse et la résistance du système. Le test d’intrusion est une méthode qui permet de soumettre le système à des scenarios d’attaques réels, tout en protégeant la production dudit système. Le test d’intrusion est pratique, technique et coordonne par une équipe d’experts en intrusion physique, intrusion réseau, et ingénierie sociale. L’ingénieur d’intrusion se comporte comme un hacker et utilise les mêmes méthodes et outils que lui. C’est en cela que les audits sont important mais les tests d’intrusions indispensables pour une banque. Il serait peut-être temps d’adopter les tests d’intrusion comme méthode d’évaluation par excellence de la sécurité de nos systèmes car les audits seuls, ne suffisent pas, ils rassurent tout juste. En revanche, il convient aussi de noter que plusieurs des institutions attaques ne s’étaient pas soumis à des audits règlementaires. Certaines avaient repoussées le calendrier des audits et d’autres se sont carrément fait auditer par des entreprises étrangères qui ne maitrisent rien de la cyber criminologie camerounaise, en sachant que les facteurs régionaux sont hautement liées à la cyber criminologie.

Le non-respect des normes PCIDSS

PCI DSS est l’acronyme anglais de Payment Card Industry Data Security Standard. Une traduction française serait « standard de sécurité des données pour l’industrie des cartes de paiement ». Les données de la carte bancaire que sont le numéro de carte, la date de fin de validité et les trois chiffres au dos de la carte sont devenus sensibles car ils permettent de faire un paiement sur internet sans présence physique de la carte. Les fraudeurs cherchent à capturer ces numéros en attaquant les systèmes d’information des acteurs qui stockent ces données. Le programme PCI DSS vise à améliorer la sécurité physique et logique des systèmes d’information en demandant aux acteurs de respecter des bonnes pratiques de sécurité. Le standard PCI DSS liste un ensemble de points de contrôles relatifs aux systèmes d’informations qui capturent, transportent, stockent et traitent des données de cartes bancaires. Les points de contrôles sont relatifs à des techniques informatiques mais également à des procédures et à des contrôles organisationnels sur ces systèmes.

La conformité à PCI DSS permet de vérifier que les points de contrôles sont bien mis en œuvre et qu’ils sont efficaces pour la protection des données de cartes bancaires. Cette conformité passe selon la taille du commerçant (voir niveau de commerçant) par un audit effectué par un auditeur agréé ou par un questionnaire d’auto-évaluation à remplir par l’acteur concerné et à le transmettre à sa banque. Cette conformité doit être vérifiée annuellement ainsi que par des tests techniques validant la bonne protection du site de l’acteur. PCI DSS s’adresse à tous les acteurs qui capturent, transportent, stockent et/ou traitent des données de cartes bancaires. Les commerçants de proximité, les marchands sur internet, les réseaux de transport, les centres d’appels, les banques, les émetteurs de cartes font partie des acteurs concernés par PCI DSS.

Vous serez peut être surpris de savoir que beaucoup de ces banques n’avaient jamais entendu parler de cette norme. Plusieurs d’entre elles ne s’intéressent qu’à l’obtention de la célèbre certification de l’International Standardisation Organisation, la certification ISO 90001. Cependant, ne sachant pas de quoi il s’agit, aucune de ces banques ne possède donc la certification PCI DSS. Grande fut notre surprise.

Il est évident que lorsqu’une banque ne réponds pas aux exigences PCI DSS, les clients remarqueront que des fonds sont soustraits de leur comptes et ceci à cause du vol d’informations relatives aux cartes bancaires. Le plus souvent, les sommes varient entre 5.000 F.CFA et 350.000 F.CFA; très probablement, la banque accusera votre « négligence » afin de se dédouaner.

L’absence de politique de cyber sécurité et surtout d’un plan inforensique

D’après l’architecture de défense en profondeur (Defense-in-depth), la politique de sécurité joue un rôle très essentiel en matière de protection de l’information. En effet, l’absence d’une politique de cyber sécurité se manifestera en interne par des mauvaises pratiques et manipulation de l’information. Par exemple, si nous ne mettons en place une politique de sécurité dans laquelle est contenue les méthodes de destruction de l’information, les disques ou CD en  »fin de vie » pourraient se retrouver dans la poubelle. Un hacker averti, procèdera au Dumpster Diving et avec des outils adéquats, il tentera de récupérer les informations contenues dans les disques. En cas de tentative réussie, il procédera à l’analyse de ces informations et tentera de les utiliser afin d’attaquer l’entreprise. La politique de sécurité est considérée comme un ensemble de bonnes pratiques permettant de règlementer l’usage et la manipulation sécurisée de l’information en entreprise. Une absence de politique de cyber sécurité constitue un danger énorme pour la préservation de l’information en entreprise.

L’absence de formation des employés en veille cyber sécuritaire

L’employé constitue le socle humain de l’entreprise. En effet, un employé est en soi une unité de protection de l’information. Si une de ces unités présente une défaillance, le système de protection tout entier se retrouve compromis. Imaginez-vous une secrétaire non éclairée sur les méthodes de hackers; Celle-ci pourrait être victime de phishing et donner des informations confidentielles a une adresse email illicite sans se rendre compte. Mieux encore, elle pourrait se retrouver en train d’utiliser une structure de mot de passe non sécurisée et cela pourrait compromettre la confidentialité des informations de son DG ou de toute la banque. Certaines de ces informations pourraient servir à attaquer la banque de l’intérieur.

Les employés devraient être formes en veille sécuritaire, ils devraient être informes sur les pratiques et les méthodes des hackers, les cyber crimes et les modus operandi associés.

L’absence de personnel qualifié en sécurité d’entreprise

C’est peut être triste, étonnant, mais vrai. Plusieurs entreprises ne font pas la différence entre le gardiennage, la sécurité, et la sureté. Dans la plupart, les responsables de sécurité n’ont pas reçu de formation spécialisée dans ce domaine. Alors, ne comprenant pas ce que c’est que la sécurité d’entreprise, ils la limitent donc à la gestion des vigiles et des contrôles d’accès. Une fois dans cette spirale, on se retrouve dans une navigation à vue et sans tableau de bord. Certains ont une formation en droit, d’autres sont diplômés en QHSE, ce qui peut être encore compréhensible. L’étonnement survient lorsque certains responsables de sécurité ne sont que de simples ceintures noires d’arts martiaux ou d’anciens des forces de sureté publique. Il est évident que ce personnel ne pourrait pas de par leur formation gérer efficacement les opérations globale de sécurité, la gestion des investigations internes, la protection de l’information, la gestion des crises et bien d’autres taches encore rattachées a la sécurité de l’entreprise, je cite : « Corporate security ». Nous devons noter et savoir qu’il existe une grande difference entre la securite d’entreprise et, la sureté et la sécurité publique.

Gérard Eyoum.

Douala Connect

25 janvier — Douala, Cameroon

© 2018 — Brand Voice