Rôle de l’ACRC dans le renforcement de la cyber résilience du secteur financier en Afrique
Dans un contexte où la cybercriminalité menace de plus en plus la stabilité des institutions financières, l'importance de la cyberrésilience n'a jamais été aussi cruciale pour ces institutions. Le secteur financier est l’un des plus exposés au cyberrisque en raison de la valeur des données sensibles et des transactions financières qu'il traite. C'est dans cette dynamique que l'Africa Cybersecurity Resource Centre for Financial Inclusion (ACRC) se distingue comme la première plateforme régionale dédiée à la sécurité numérique dans ce domaine.
L'ACRC œuvre non seulement pour renforcer la cyberrésilience du secteur financier africain, mais aussi pour sécuriser le développement des services financiers numériques, améliorer la réglementation et la conformité des acteurs, et promouvoir l'inclusion financière. À travers cette interview, nous explorerons le rôle essentiel que joue l'ACRC dans la protection des consommateurs et des institutions financières, et la garantie de la stabilité financière face aux défis croissants de la cybercriminalité.
Pour en parler, nous recevons dans ce nouveau numéro du cyberinterview, Aboubacar YACOUBA Consultant en cybersécurité et Responsable du Renforcement des Capacités et du Partage d’Informations à l’ACRC.
Brève présentation
Aboubacar YACOUBA, est Responsable du Renforcement des Capacités et du Partage d’Informations à l'Africa Cybersecurity Resource Center (ACRC), une organisation dédiée à la cyber résilience du secteur financier à travers l’Afrique, financée par la Banque Africaine de Développement (BAD). Ses responsabilités incluent la gestion du renseignement sur les menaces, la conception et la dispense de formations et de campagnes de sensibilisation, la prestation de conseils en cybersécurité et la réalisation d’audits des systèmes d'information, ainsi que la supervision et le développement d’une communauté de partage d’informations.
Africa CyberSecurity Mag : Comment définissez-vous la cyberrésilience dans le secteur financier africain, et pourquoi est-ce un enjeu crucial aujourd'hui ?
Aboubacar YACOUBA : La cyber résilience se définit comme la capacité d'une institution à anticiper, résister, se remettre rapidement et s'adapter aux perturbations causées par des cyberincidents. C'est un enjeu crucial aujourd'hui, car la numérisation croissante des services financiers expose les institutions à des risques cybernétiques de plus en plus sophistiqués et dévastateurs.
Selon le FMI, la cyber résilience se repose sur deux piliers essentiels : La fondation et combler les principales lacunes :
1. Fondations :
- Sensibilisation : Éduquer les employés et les clients sur les risques cyber et les bonnes pratiques.
- Hygiène informatique : Mettre en place des pratiques de base, comme la gestion des mots de passe et les mises à jour régulières.
- Mesures préventives : Déployer des systèmes de sécurité pour prévenir les intrusions.
2. Combler les principales lacunes :
- Développement des capacités : Renforcer les compétences techniques des équipes et les infrastructures.
- Partage de l'information : Créer des réseaux pour échanger sur les menaces et les incidents.
- Réponse et reprise après incident : Mettre en place des plans pour répondre rapidement et récupérer après une attaque.
- Dissuasion des cyberattaques : Développer des stratégies pour décourager les attaques par des mesures légales et techniques.
- Risque cyber dans l'analyse de la stabilité financière : Intégrer les risques cyber dans les analyses de la stabilité financière.
3. Cohérence de la réglementation et de la supervision :
- Assurer une réglementation harmonisée et une supervision efficace pour gérer les risques cyber à l'échelle régionale et continentale.
Ces piliers permettent non seulement de protéger les institutions financières, mais aussi de garantir la confiance des consommateurs et la stabilité du système financier en Afrique. Il est temps que les institutions financières de tous les secteurs, banques, assurances, microfinance, télécoms, fintech, passent d’un concept obsolète basé sur la sécurité périmétrique, la conformité aux normes et la focalisation sur la technologie à une approche en profondeur plus efficace.
Africa CyberSecurity Mag : Présentez nous l’ACRC et les principaux objectifs que l'organisation s'est fixés depuis sa création ?
Aboubacar YACOUBA : L'Africa Cybersecurity Resource Centre for Financial Inclusion (ACRC) est la première organisation régionale et sectorielle dédiée à la cyber résilience du secteur financier en Afrique. Depuis sa création, l'ACRC a pour principaux objectifs de renforcer la sécurité des services financiers numériques, d'améliorer la réglementation et la conformité des acteurs du secteur, et de promouvoir l'inclusion financière tout en protégeant les consommateurs.
L'ACRC est une organisation indépendante et à but non lucratif, née d'un partenariat public-privé entre des entités de référence en cybersécurité. Au Luxembourg, elle collabore avec l'agence de cybersécurité du Gouvernement « Luxembourg House of Cybersecurity », le centre de recherche SnT de l'Université du Luxembourg, et Excellium Services, un leader national de la cybersécurité faisant partie du Groupe Thales. Au Sénégal, depuis 2016, elle s'appuie sur la société de cybersécurité Suricate Solutions, qui opère dans 25 pays avec une équipe d'une trentaine d'experts.
L'ACRC est financée par l'African Digital Financial Inclusion Facility (AFDI), un fonds fiduciaire hébergé et géré par la Banque Africaine de Développement. Les donateurs de l'AFDI incluent le Luxembourg, la Fondation Bill et Melinda Gates, l'Agence Française de Développement, le Ministère de l'Économie et des Finances de la France, le Women Entrepreneurs Finance Initiative, et le Gouvernement de l'Inde.
En résumé, l'ACRC se positionne comme un acteur clé dans le renforcement de la cyber résilience en Afrique, en s'attaquant aux défis critiques de la cybercriminalité pour sécuriser et promouvoir le développement des services financiers numériques sur le continent.
Africa CyberSecurity Mag : Quelles sont les principales initiatives que l'ACRC a mises en place pour renforcer la cyber résilience des institutions financières en Afrique ?
Aboubacar YACOUBA : L'ACRC a mis en place plusieurs initiatives clés pour renforcer la cyber résilience des institutions financières en Afrique, dont les principales sont les suivantes :
1. Communauté de confiance pour le partage d'informations et des bonnes pratiques (ISAC) : L'ACRC a créé une communauté ISAC (Information Sharing and Analysis Center) qui permet aux institutions financières africaines de partager en temps réel des informations critiques sur les cybermenaces, les incidents, et les bonnes pratiques. Cette communauté est également connectée à l'intelligence sur les menaces internationales, favorisant ainsi une collaboration étroite et un échange de connaissances pour répondre de manière proactive aux menaces. Nous travaillons au déploiement des chapitres locaux dans tous les pays, chapitres au seins desquels les experts pourront approfondir leur connaissance des menaces avec le soutien et l’animation de ACRC.
2. Renforcement des capacités et sensibilisation : L'ACRC mène des initiatives de renforcement des capacités pour former les professionnels du secteur financier aux dernières menaces et techniques de cybersécurité. Un premier partenariat a été signé entre l'ACRC et le GIM-UEMOA pour développer un cursus de formations innovantes. Depuis 2022, plusieurs formations ont été dispensées qui ont rencontré beaucoup d’intérêt du marché car rompant avec les approches traditionnelles. Nous mettons également en place une salle de simulation de crise pour sensibiliser les équipes de direction intitulée ROOM#42 et un environnement de simulation d’attaque Cyber Range pour renforcer les capacités techniques et la connaissance pratique des menaces.
3. Conseil stratégique et réglementaire : L'ACRC offre un conseil stratégique et réglementaire aux institutions financières et aux régulateurs pour les aider à mettre en place des cadres de cybersécurité robustes, alignés avec les meilleures pratiques internationales et adaptées au contexte africain. Nous travaillons déjà avec l’East Africa Community pour le volet cyber sécurité de leur projet de mise en place un système de paiement pour les huit pays de la zone, Kenya, Tanzanie, Ouganda, Rwanda, Burundi, Sud Soudan, RDC et dernièrement Somalie.
Nous investissons aussi sur la réponse aux incidents avec notre partenaire Suricate Solutions, et l’éducation, la R&D et l’innovation en partenariat avec des universités pour préparer les prochaines générations d’experts et d’entrepreneurs dans une logique de développement de l’écosystème. En combinant ces initiatives, l'ACRC joue un rôle central dans la sécurisation des services financiers en Afrique, en veillant à ce que les institutions soient mieux préparées à faire face aux menaces cybernétiques toujours plus sévères et fréquentes.
Africa CyberSecurity Mag : Quels sont les principaux défis que l'ACRC rencontre dans sa mission de renforcement de la cyber résilience du secteur financier en Afrique ?
Aboubacar YACOUBA: L'ACRC rencontre plusieurs défis dans sa mission de renforcer la cyber résilience du secteur financier en Afrique :
- Partage d'informations : Bien qu'il existe des ISAC (Information Sharing and Analysis Centers) bien développés sur d'autres continents, ACRC construit le tout premier ISAC du continent et la maturité des acteurs est encore limitée. Il n'existe pas de cadre établi pour le partage d'informations, et les institutions financières fonctionnent souvent en silos, ce qui complique la collaboration. Détruire ces silos et faire comprendre que le partage d'information maîtrisé, choisir ce que l’on communique et avec qui, est essentiel et constitue un pilier de la cyberrésilience est un défi de taille, mais qui rencontre beaucoup d’enthousiasme. Nous travaillons pour améliorer la compréhension du partage d’information au sein des 42 banques centrales africaines et obtenir leur support, ce qui facilitera la montée en puissance.
- Cadres réglementaires disparates : Le développement de cadres réglementaires cohérents et harmonisés à travers le continent est un autre défi majeur. Les disparités entre les régulations nationales et l'absence de standards communs compliquent l'application de mesures de cybersécurité robustes à l'échelle régionale.
- Enfin, le déficit de ressources financières et humaines allouées à la cybersécurité en Afrique est un vrai souci, beaucoup des experts les mieux formés partent à l’international et il faut non seulement augmenter le nombre d’experts mais aussi compenser les départs, et il est vital de convaincre les conseils d’administration et Direction générales d’allouer des budgets à la hauteur des risques encourus. On note d’ailleurs que les régulateurs et superviseurs ont une meilleure compréhension de ces risques et qu’ils accroissent très significativement leurs efforts de mobilisation du secteur.
L'ACRC travaille activement pour surmonter ces défis en développant des initiatives spécifiques et en collaborant avec divers acteurs du secteur pour renforcer la cyberrésilience sur le continent.
Africa CyberSecurity Mag : Comment l'ACRC collabore-t-elle avec les gouvernements, les régulateurs nationaux et les acteurs privés pour améliorer la cadre légale en matière de la sécurité des services financiers numériques ?
Aboubacar YACOUBA : L'ACRC collabore avec les gouvernements, les régulateurs nationaux et regionales, et les acteurs privés pour renforcer le cadre légal et réglementaire en matière de sécurité des services financiers numériques en Afrique, mais aussi au niveau opérationnel car ces acteurs manquent souvent d’une connaissance foine des menaces, même dans la quinzaine de pays qui disposent d’un CERT national. Cette collaboration se décline en plusieurs actions clés :
Conseil stratégique et réglementaire : L'ACRC offre un soutien aux gouvernements et aux régulateurs pour élaborer des politiques et des cadres réglementaires robustes en matière de cybersécurité.
Programmes de sensibilisation et de renforcement des capacités : L'ACRC mène des initiatives de formation et de sensibilisation auprès des régulateurs et des décideurs politiques pour les aider à mieux comprendre et maîtriser les enjeux de la cybersécurité pour les services financiers. Ces programmes visent à renforcer les compétences nécessaires pour élaborer et mettre en œuvre des politiques efficaces.
Plaidoyer pour le partage d'informations : L'ACRC travaille activement à promouvoir le partage d'informations entre les institutions financières, les gouvernements et les régulateurs.
ACRC est en train de constituer des chapitres ACRC par pays pour faciliter la mobilisation des parties prenantes et assurer un déploiement sous-régional progressif. Nous avons déjà mis en place plusieurs chapitres, notamment en Côte d’Ivoire, Sénégal… Nous lançons également un appel à volontaires pour établir des chapitres dans d'autres pays.
Propos recueillis par Christelle HOUETO, journaliste digital