Le secrétaire général de la Commission Bancaire de l’Afrique centrale (COBAC) Halilou Yerima Boubakary, a adressé une lettre circulaire à tous les directeurs généraux d’établissements bancaires de la CEMAC sur la nécessité de mettre en place une politique de sécurité informatique aux standards internationaux pour faire face aux problématiques de sécurité informatique.
Avec la survenue de la pandémie de covid 19, les établissements financiers de la CEMAC ont dû s’adapter aux évolutions du marché en accélérant leur transformation digitale pour mieux répondre aux besoins de leurs clients. Toutefois ces évolutions technologiques ont contribué à accroitre de manière substantielle les risques liés à la cybercriminalité dans les établissements de crédit et de microfinance.
Des cyberattaques de plus en plus récurrentes
C’est ainsi que ces derniers mois, les établissements de crédit et de microfinance ont fait l’objet de plusieurs cyberattaques de plus en plus sophistiquées entrainant des pertes financières énormes, constate le COBAC. « Celles-ci, vu leur ampleur et leur récurrence sont susceptibles de mettre en péril la stabilité de notre système bancaire et financier », regrette le gendarme bancaire. Ces actes criminels résultent très souvent de la négligence et/ou de la mauvaise application des règles élémentaires en matière de sécurité informatique.
Des lacunes de sécurité informatiques criardes
Les missions de contrôle de la COBAC ont mis évidence des lacunes dans la sécurité informatique, notamment l’absence de politique de gestion des mots de passe et des droits d’accès. En outre, les tests d’intrusion qui permettent d’apprécier la vulnérabilité des systèmes d’information sont rarement réalisés. Compte tenu des enjeux liés à la cybercriminalité le Secrétaire Général, invite les établissements de crédit et de microfinance à faire preuve de vigilance constante et de mettre en œuvre une politique de sécurité informatique adéquate visant à « protéger l’ensemble de votre système d’information contre les atteintes à sa confidentialité, à son intégrité et à sa disponibilité », recommande la COBAC.
LA COBAC incite à mettre en place un dispositif spécifique de lutte contre la fraude, à procéder à une identification et à une évaluation adéquate des risques opérationnels auxquels votre établissement est exposé, en l’occurrence les cyberattaques en vue d’une part de les prévenir, et d’autre part de renforcer les capacités de votre établissement à assurer la continuité des activités en cas d’incident majeur. La COBAC invite les établissements à mettre en place les mesures de détection des opérations non autorisées ainsi qu’à prévoir des mesures de réponse aux attaques et de rétablissement du fonctionnement de votre système d’information.
Faire auditer son système d’information d’ici le 30 juin 2022
Dans la lettre circulaire de la COBAC, le gendarme financier incite fortement les établissements à faire auditer au plus tard le 30 juin 2022 leur système d’information par des experts indépendants de la sécurité et/ou de l’audit informatique afin d’en établir un diagnostic approfondi retraçant les points de vulnérabilité. Une copie du rapport de la mission devra être transmise au plus tard le 15 juillet 2022 ainsi que les mesures prises par les établissements pour remédier aux défaillances constatées. Auquel cas, l’établissement s’expose à des sanctions.
La COBAC recommande aux établissements bancaires de se doter de politique de sécurité informatique en phase avec les normes ISO/CEI 27001-02, la norme de sécurité de l’industrie des cartes de paiement (payment card industry data security standard, PCI-DSS) ainsi que la réglementation en vigueur en matière de contrôle interne. « La résilience opérationnelle des établissements de crédit, de microfinance et de paiement est un facteur essentiel de la solidité du système bancaire et financier », rappelle la COBAC. Compte tenu de la multiplication des cyberattaques et de l’ampleur des pertes enregistrées, il devient plus qu’impérieux de prendre toutes les dispositions nécessaires pour sensibiliser le personnel de votre établissement sur les risques informatiques, de concevoir et de mettre en place des dispositifs de sécurité robustes, de promouvoir des plateformes de partage interbancaire des renseignements sur la sécurité informatique d’intégrer dans le plan de continuité d’activité les scénarios de cyberattaques et de conduire régulièrement des tests d’intrusion.
Pour rappel, la Commission bancaire de l'Afrique centrale (COBAC) est l'organe de supervision de l'ensemble des établissements de crédit et des établissements de microfinance de la Communauté économique et monétaire de l'Afrique centrale (CEMAC). La COBAC a pour mission de veiller à l’intégrité du système bancaire et d’en garantir la résilience. Celle-ci est chargée « de veiller au respect par les établissements de crédit des dispositions législatives et réglementaires édictées par les Autorités, par la Banque Centrale ou par elle-même (…) et de sanctionner les manquements constatés ».