Cybervol en Afrique : Pourquoi de nombreux clients financiers sont-ils laissés à eux-mêmes ?

Dr Yawo O. Kondo * Études internationales, Université du Nebraska* Administration de l’informatique de la santé, Université du Maryland* Technologie de l’information, Université Walden* Contact : [email protected]

J’étais en train de lancer un projet quand j’ai reçu un message de Lomé d’un monsieur essoufflé. Il voulait savoir ce qu’est le cybervol. Je lui ai dit que c’était un vaste sujet et que je ne pouvais l’aider que s’il était précis. Il a dit qu’il est directeur d’école secondaire avec environ 500 000 CFA (1000 dollars), sur son compte qu’il n’a jamais touché. Cependant, il a reçu un statut de son compte sur son téléphone portable indiquant que son compte était négatif et que son compte était négatif. Il aurait dû venir à la banque et régler le problème avant d’être facturé tous les mois. Je lui ai demandé s’il avait parlé à son gestionnaire de compte. Il a dit que c’était l’un des jours les plus tristes de sa vie. Il était allé voir au gestionnaire de compte, et il a dit qu’il pourrait être celui qui a retiré son propre argent, ce qu’il n’a jamais fait. Je lui ai demandé s’il avait retiré de l’argent de son compte. Il a dit non ! En tant que professionnel de la cybersécurité, ce scénario a deux implications : structurelle et managériale. Je ne suis pas un spécialiste financier. Cependant, je m’occupe de la conformité à la norme de sécurité des données de l’industrie des cartes de paiement depuis plusieurs années. L’institution financière est responsable de protéger le compte des clients contre tout vol ou perte. Le client a d’autres différentes responsabilités vis-à-vis de la banque, parmi lesquelles il dépose son argent et s’assure qu’il est pris en charge.

Qu’observons-nous ?

Il y a une nouvelle tendance au vol qui a émergé en Afrique. Cette tendance ciblait les médias sociaux via l’ingénierie sociale malveillante. Au Togo, les plateformes d’argent mobile Flooz et T-Money gèrent le transfert d’argent mobile. Les clients de ces plateformes se plaignent fréquemment d’escrocs téléphoniques qui tentent de voler leur argent ou leurs renseignements personnels. Ces escroqueries sont souvent transmises par des appels téléphoniques de personnes réelles, des appels automatisés ou des messages texte. Les appelants font souvent de fausses promesses, telles que des opportunités d’acheter des produits, de fournir des services, d’investir de l’argent ou de recevoir des essais gratuits de produits. Ils peuvent également rendre de l’argent disponible par le biais de subventions gratuites et de loteries. Certains escrocs peuvent menacer d’emprisonnement, de poursuites judiciaires ou d’intimidation. Pendant la COVID, le gouvernement du Togo a lancé le programme Novissi pour aider les personnes vulnérables. Des escroqueries par ingénierie sociale ont été également déployé contre le programme nul été l’utilisation l’authentification multifacteur. Ces observations ont démontré que les cybercriminels harassent et traquent constamment les clients de ces institutions financières.

C’est le cas où les pirates informatiques ont volé ou tenté de voler 61,5 millions de dollars à de diverses institutions financières du Ghana, selon un rapport de 2018 de la Banque du Ghana. Les données de ce rapport montrent à quel point la cybercriminalité entrave le développement régulier de l’économie africaine. De même, le taux élevé de connexion Internet en Afrique du Sud a rendu le pays plus attrayant pour les pirates informatiques qui cherchent à tirer parti des diverses failles de sécurité et à voler ou modifier des informations numériques. Aussi, Il a été allégué que l’une des principales banques du Togo a été piratée l’année dernière avec une perte financière énorme.

Je me suis demandé s’il y avait une réglementation ou une disposition de protection des consommateurs qui pourrait aider cet enseignant, sachant qu’il était désespéré. Ce type de vol se répand dans la région et de nombreux comptes de consommateurs sont vidés et ceux-ci reviennent sans gain de cause. La négligence des lois rendent de facto les clients victimes alors que les banques esquivaient leurs responsabilités tout simplement. Dans mes recherches, j’ai découvert que Togo dispose deux lois différentes sur la cybersécurité même s’il n’a pas de loi spéciale des données de l’industrie des cartes de paiement (PCI-DSS). Alors essayons de répondre à la première question de cet enseignant.

Définitions

Que sont le cybervol et la cybercriminalité ? Les cybercriminels commettent des vols d’identité en utilisant des tactiques de cyberattaque sophistiquées, notamment l’ingénierie sociale, L’hameçonnage ou phishing et les logiciels malveillants. L’hameçonnage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. Le cybervol fait référence à l’utilisation d’Internet pour voler ou interférer avec l’utilisation et la jouissance d’un bien. En d’autres termes, le cybervol est le vol de renseignements financiers et/ou personnels en utilisant des ordinateurs pour en faire un usage frauduleux ou illégal. Un client bancaire n’est pas un spécialiste de la cybersécurité, et les banques ne peuvent pas déléguer le rôle de protection aux clients. Il existe de nombreux outils que les banques peuvent utiliser pour déterminer si cet enseignant a effectué une telle transaction. La non-répudiation par exemple en a un. C’ est un critère de sécurité garantissant la disponibilité de preuves pouvant être opposées à un tiers et utilisées pour prouver la traçabilité des communications électroniques qui ont eu lieu. C’est la responsabilité de la banque. Le rôle de la banque est de protéger le compte du consommateur. Il faut rappeler que dans notre société africaine, les gens gardent leur argent chez eux et les protègent par tous les moyens nécessaires. Avec la technologie, si elle est bien mise en œuvre, la banque peut examiner l’historique du journal des transactions et déterminer si le client a retiré l’argent.

Protection des données à caractère personnel, cas du Togo

Les lois togolaises sur la cybersécurité définissent les taches, les obligations et les amendes assez bien. Le pays a en effet « Loi n° 2019-014 du 29 octobre 2019 relative à la protection des données à caractère personnel personnel » et « Loi n°2018-026 sur la Cybersécurité et la lutte contre la Cybercriminalité ». Dans les articles 51 et 52 sur la confidentialité et la sécurité, on peut se référer à la manière dont les informations des consommateurs peuvent être conservées contre toute cybermenace. Le traitement des données personnelles est confidentiel. Elle est effectuée exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et uniquement sur ses instructions. Cet article de la loi sur la cybersécurité du pays oblige les institutions financières à effectuer le traitement, et le responsable choisit des personnes présentant en ce qui concerne la préservation de la confidentialité des données, toutes les garanties de connaissances techniques et juridiques, et l’intégrité personnelle. Un engagement écrit des personnes tenues de traiter ces données pour se conformer à cette loi doit être signé. Il est insensé que le consommateur soit responsable de toute perte dont il n’est pas responsable. Le contrat liant un sous-traitant au responsable du traitement comporte une indication de l’obligation incombant au sous-traitant de protéger la sécurité et la confidentialité des données. Ces articles stipulent que le sous-traitant ne peut agir que sur les instructions du responsable du traitement. À la lumière de ces lois, nous pouvons soutenir que le gouvernement togolais a la structure en place pour s’assurer que le tiers auquel les données personnelles peuvent être transmises peut-être vérifié et vérifié ; Les responsables des données du client sont responsables de toutes les précautions utiles concernant la nature des données et, en particulier, d’empêcher qu’elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. Les mêmes dispositions demeurent dans l’article 2 de la loi n°2018-026 sur la Cybersécurité et la lutte contre la Cybercriminalité à voir les définitions 17, 21,35, 36, 40, 58, 59, 62, 64, 71, 72 et article 8. Ces articles définissaient le cadre dans lequel les institutions financières peuvent empêcher l’accès illicite : l’accès intentionnel, sans en avoir le droit, à tout ou partie d’un réseau de communications électroniques, d’un système d’information ou d’un équipement terminal. En tant que professionnel de la sécurité, j’audite les institutions financières à l’aide de la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS). Aux États-Unis, ce cadre est utilisé pour protéger et sauvegarder les données de l’industrie des cartes de paiement.

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

La norme de sécurité des données de l’industrie des cartes de paiement est appelée (PCI DSS). Les entreprises peuvent démontrer du dit audit qu’elles ont mis en œuvre la norme en suivant les lignes directrices pour la déclaration ; Ceux qui ne suivent pas les directives ou qui enfreignent la norme peuvent être punis contre des amandes. Alors, les principales sociétés de traitement des cartes de crédit et des paiements prennent en charge la norme de cybersécurité PCI DSS, qui vise à protéger la confidentialité des détails des cartes de crédit et de débit. La norme de sécurité des données de l’industrie des cartes de paiement est appelée PCI DSS. Les entreprises peuvent démontrer qu’elles ont mis en œuvre la norme en suivant les lignes directrices pour la déclaration. Toute entreprise qui accepte les paiements par carte de crédit est tenue d’appliquer les contrôles de cybersécurité et les pratiques commerciales décrites par PCI DSS, que le Conseil des normes de sécurité de l’industrie des cartes de paiement gère. Il existe des spécifications de PCI DSS que les organisations doivent suivre.

1. Établissez et maintenez des mesures de sécurité réseau pour vous prémunir contre l’accès illégal au système.

2. Configurez les composants du système, le tout à l’aide d’une configuration sécurisée.

3. Lorsque vous envoyez des données aux titulaires de carte sur des réseaux publics ouverts, utilisez une cryptographie forte. Ces deux exigences garantissent la protection des données en transit et au repos.

4. Protégez les réseaux et les systèmes contre les logiciels nuisibles. Une vigilance constante est nécessaire car les logiciels malveillants sont une arme que les pirates utilisent pour accéder aux données qui ont été enregistrées.

5. Créez et gérez des applications et des systèmes sécurisés. Non seulement les mesures de sécurité doivent être mises en œuvre, mais elles doivent également être tenues à jour.

6. Limitez l’accès aux renseignements sur les titulaires de carte en fonction des besoins de l’entreprise. C’est généralement la pierre angulaire de la sécurité des données, mais c’est crucial lorsqu’il s’agit de données financières.

7. Déterminez les utilisateurs et vérifiez leur accès aux composants système. Cela permettra de se prémunir contre les accès indésirables aux données et permettra aux enquêteurs d’identifier si un initié de confiance a mal géré les données.

8. Au lieu d’utiliser un seul ID partagé pour tous les employés qui accèdent à un compte, chaque utilisateur autorisé doit avoir son ID d’accès.

9. Limitez l’accès physique aux données des titulaires de carte. Le vol de données peut parfois provenir d’un piratage sophistiqué. Assurez-vous que personne ne peut simplement prendre votre disque dur ou une boîte de reçus et courir.

10. Chaque accès aux données du réseau et des titulaires de carte est enregistré et suivi. Une règle qui est enfreinte le plus souvent est celle-ci, bien qu’elle soit vraiment importante.

11. Testez régulièrement les procédures et les systèmes de sécurité et…

12. Ayez une politique en place qui traite de la sécurité de l’information.

La protection des données personnelles (PDP) en Afrique

Sur les 54 pays du continent, 30 ne disposent pas de lois explicites sur les preuves électroniques ou la cybercriminalité sur la protection des données personnelles (PDP). Dans d’autres pays, les responsables de l’application de la loi ne font rien pour arrêter les pirates informatiques qui ciblent des réseaux étrangers. Dans certains cas les agents d’application de la loi du gouvernement comme celui du Nigéria ont affirmé ne pas être au courant de l’implication du pays dans la cybercriminalité. La faiblesse des systèmes et les politiques de cybersécurité laxistes sont à blâmer pour l’augmentation des cyberattaques en Afrique avec la pénétration et l’accès croissants à Internet. En raison des failles du système et d’une protection inadéquate, le Zimbabwe et la Libye figuraient parmi les pays ayant les taux de piratage de logiciels les plus importants au monde en 2017.

Les options stratégiques recommandées au africains

Il existe de nombreux fait expliquant pourquoi les Africains sont souvent incapables de faire face à la cybermenace sur le continent. Initialement, il était largement admis que le transfert de technologie aiderait l’Afrique en lui permettant d’acquérir des innovations du monde développé ou que les entreprises multinationales et autres entreprises occidentales déclencheraient un transfert de technologie. En raison de la réticence des entreprises multinationales et d’autres sociétés occidentales opérant en Afrique à partager la technologie exclusive à laquelle elles ont accès, l’état prévu du transfert de technologie n’a jamais été atteint.

L’Afrique doit donner la priorité à la cybersécurité et créer un cadre juridique viable pour gérer la menace. Les gouvernements nationaux doivent envisager d’harmoniser la législation, les normes, les règles et les lignes directrices nationales concernant les défis de la cybersécurité en raison de la nature mondiale et transfrontalière de la cybercriminalité. L’élaboration de cadres internationaux et régionaux efficaces contre la cybercriminalité n’est possible qu’en rédigeant en collaboration une législation nationale. La ratification du Traité de Malabo par tous les pays africains serait la première étape vers la création d’un cadre juridique viable contre la cybersécurité L’Afrique. Cet accord contraignant aiderait les pays de la région s’ils coopèrent, échangent des renseignements sur les menaces, établissent des normes communes et reçoivent un soutien technique de la communauté internationale.

Deuxièmement, dans le cadre de leur réponse stratégique aux cybermenaces, tous les pays africains doivent mettre en place un cadre national de cybersécurité. Plusieurs États africains élaborent des cadres législatifs et des outils politiques à différents stades. Pourtant, la plupart des pays ont besoin de plus de savoir-faire technique pour superviser et protéger leurs réseaux nationaux.

Les États membres de l’Union africaine devraient agir rapidement pour adopter et mettre en œuvre les dispositions de la Convention de l’UA dans le cadre de leurs législations nationales en matière de cybersécurité. Aucun pays ne réussira à prévenir et à combattre les cyberrisques sans l’harmonisation continentale des lois, des politiques et des pratiques réglementaires.

Les institutions doivent comprendre à quel point il est crucial de développer les compétences et les connaissances des fonctionnaires et des participants du secteur privé pour lutter contre les cybermenaces. Il est crucial d’améliorer les capacités nationales en matière de cybersécurité en créant une main-d’œuvre qualifiée qui réduirait les cybermenaces nationales.

Que doit-on retenir ?

Le cas de cet enseignant n’est qu’un petit rochet qui cache l’état du cyberespace du continent. En fait il doit harceler la banque pour qu’on lui renverse son argent. Le service d’enquête de la banque peut questionner le journal de transaction de son compte et rapidement réparer les dommages. Ceci va de même pour les plateformes de transfère mobiles d’argent. Le problème se situe au niveau des cyberattaque sophistiquées dont les institutions manquent de ressources pour faire contre. Cependant, nous a Lausey Technology Group, on forme et rend des services dans le domaine de cybersécurité a un niveau élevé. Essayons de connaitre nos textes car la loi ne protège pas les stupides.