Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

L’EVOLUTION DE LA CYBERSECURITE DANS LE SECTEUR BANCAIRE MAROCAIN PLAN DU PROJE

L’EVOLUTION DE LA CYBERSECURITE DANS LE SECTEUR BANCAIRE MAROCAIN PLAN DU PROJET : I. Précision de l’objet et définition de la Finalité II. Etat des lieux III. Cycle de Renseignement  Définition des axes prioritaires à surveiller ;  Collecte des informations ;  Création collective du sens ;  Actions à entreprendre. 1. Précision de l’objet et la finalité La cybersécurité désigne la protection des données et ressources connectées ou installées sur le réseau informatique de la société. Elle a pour mission de défendre ces ressources contre toute sorte de vol ou exploitation frauduleuse par les pirates. Dans ce sens, les banques sont considérées parmi les premières organisations ayant recours à l’automatisation de leur activité à travers l’outil informatique, que se soit pour la collecte et la conservation des données personnelles et bancaires des clients, ou bien pour la passation et la validation des transactions bancaires. Ce qui rend ce type d’activités une cible rêvée des pirates et arnaqueurs informatiques ; la moindre faille de sécurité peut présenter, pour ces gens une réelle opportunité d’attaque, et pour la banque une menace dégageant des conséquences désastreuses sur sa survie. Au Maroc, la digitalisation bancaire n’a vu le jour que cette dernière décennie avec le passageaux banques digitales (version 1.0 et 2.0). Comme étant les membres de la “Cellule Veille” d’un établissement bancaire marocain, et suite à la vision stratégique de la direction envisageant la digitalisation complete des services dans le future proche, notre projet portera sur l’analyse de l’évolution de la cybersécurité des établissements bancaires marocainsd’ici 5 ans. Dans le but de réduire l’impact de la cybercriminalité sur l’activité de notre banqueet protéger notre clientèle contre les différentes formes de manipulation. 2. Cybersécurité au Maroc : Quel état des lieux ? Au Maroc, les banques ont montré leur intérêt pour s’engager dans la digitalisation de leurs services et activités, cet engagement a été traduit par l’apparition de la banque digitale 1.0offrant des services de base, notamment les sites web et la consulation des comptes. En général, la majorité des banques marocaines préfèrent jusqu’aujourd’hui de se limiter sur cette version de digitalisation. En revanche certains établissements bancaires ont pris l’initiative pour passer à la version 2.0de la banque digitale qui offre, en plus de la consultation, la possibilité de reproduire les principaux services physiques en ligne et d’effectuer des opérations plus complexes comme les virements. On parle désormais de multicanal et d’autonomie client. En face à cette transformation digitale, la réglementation du secteur et les éthiques du métier exigent les banques à renforcer leurs dispositifs de protection des informations jugées sensibles et confidentielles. C’est dans ce contexte que la cybersécurité devient un enjeu majeur pour les établissements bancaires marocaines. Selon l’étude “ The Global State of Information Security® Survey 2018 ” réalisée par PwC, CIO et CSO magazine sur la cybersécurité au Maroc auprès de 50 entreprises dont 24% appartenant au secteur financier, il y a une prise de conscience au sein des entreprises marocaines qui se traduit par une phase d’investissement sur les problématiques de cybersécurité où la part des budgets alloués par rapport aux budgets IT est plus de deux fois supérieure à la moyenne mondiale, cela se traduit également par une augmentation des budgets dédiés à la cyber sécurité et forte proportion des entreprises marocaines a avoir nommé un Responsable de la Sécurité des SI. La même étude a montré que la majorité des grandes entreprises se montrent proactives et prennent la mesure du risque cybersécurité. La conformité règlementaire reste cependant le moteur majeur devant la transformation digitale. Les Petites et Moyennes entreprises restent globalement réactives et ne prennent la mesure du risque cyber qu’après un incident ou les recommandations d’un audit. A noter que la transformation digitale et le risque de vol d’information clients/employés arrivent en tête des facteurs conduisant les entreprises mondiales à investir dans la cybersécurité, devant la conformité règlementaire. Dans cette vision comparative, les entreprises mondiales attestent que l’exploitation des dispositifs mobiles (smartphones, tablettes, etc…) est la principale origine des incidents sur la cybersécurité, alors qu’au Maroc les origines d’incidents reviennent, en premier lieu aux logiciels malveillants déployés dans les postes de travail et en second lieu à l’exploitation de l’Homme (ingénierie sociale). Comme synthèse de l’état actuel. Même si le contexte marocain demeure favorable: Les établissements bancaires marocains ont encore beaucoup à apprendre pour atteindre un niveau de maturité acceptable au regard du risque de cybercriminalité à couvrir, surtout pour les PME ; Les dispositifs de cybersécurité mis en place dans la majorité des établissements sont considérés comme réactifs et post incidents ou post audit, rarement proacctifs ; La cybersécurité continue à être perçue comme une problématique technique et non traitée au niveau stratégique. 3. Cycle de Renseignement Étape 1 : Définition des axes prioritaires à surveiller Le diagnostic de l’état actuel de la cybersécurité au Maroc a illuminé plusieurs points susceptibles d’être à l’origine des incidents sur la cybersécurité. Sur la base de ce diagnostic nous avons décidé de se concentrer sur 3 axes prioritaires à surveiller et représentant des sources potentielles du risque de cybercriminalité. Chaque axe est définit par un couple : Acteur/Thème permettant un meilleur ciblage d’effort et de traque des informations de valeurs stratégiques (Signaux faibles) : Axe 1 : Employés / Qualité téchnologique des logiciels Cet axe présente un risque très important vu les résultats du diagnostic précité attestant que plus de 25% des incidents de cybercriminalité ont pour origine les logiciels malveillants dans les postes de travail. Axe 2 : Clients / Manipulation L’émergence des concepts de “Social Engineering” (ingénierie sociale), du “Phishing” et “vishing” comme des techniques développées de la fraude via la manipulation en mettant l’Homme en tant que première occupation nous oblige de surveiller attentivement les comportements et le niveau de sensibilisation de notre clientèle. Axe 3 : Etat / Réglementation La nature de la problématique de la cybersécurité et surtout dans l’activité bancaire exige d’introduire la dimension réglementaire, la surveillance à ce niveau doit être réalisée sur deux volets : un volet représentant les exigences de la banque vis-à-vis la loi en matière de protection des données et informations, et un autre volet concentré sur l’existance et l’efficacité des lois probant la cybercriminalité. Étape 2 : Collecte des informations Au niveau de cette étape, nous avons essayé de suivre pour chaque axe une méthode rétroactive de traque, de selection et de stockage, généralement de deux sortes d’informations : des informations de potentiel et des Signaux faibles, selon leur pertinence par rapport au renforcement du notre système cybersécurité. Dans ce sens nous avons affecté pour chaque axe un “traqueur”. Axe 1 : Employés / Qualité téchnologique des logiciels La traque de ce couple acteur/thème est essentiellement une traque terrain via le contact direct avec notre personnel, ou bien par téléphone avec d’autre employés du secteur bancaire. En gros, nous avons souligné qu’il y a une certaine incompatibilité entre les déclarations du personnel de la banque attestant que les logiciels de l’établissement sont généralement adéquats, et celles des autres employés externes disant que la qualité thechnique et technologique des logiciels dans leurs postes de travail reste limitée par rapport le défi du risque de cybercriminalité. Cette divergence entre les déclarations internes et externes nous a obligé de pousser la recherche vers la comparaison entre nos logiciels et ceux des concurrents, et à l’aide d’une analyse comparative nous avons constaté au contraire des déclarations, que les logiciels de notre banque ne se diffèrent pas de ceux de la concurrence. De plus de la constatation précitée et jugée de valeur stratégique, le traqueur a détecté d’autres informations de potentiel, notamment : Les failles historiques de la banque : Si les vulnérabilités historiques sont connues et des correctifs sont fournis et publiés. L’attaquer peut accéder facilement le système d’information. Surtout dans le cas où la banque n’a pas procéderà une eventuelle mise à jour des logiciels. La possibilité de fuite d’informations confidentielles : causée par le personnel accidentellement, notamment en discutant les affaires de la banque avec leurs proches. Axe 2 : Clients / Manipulation Au niveau de cet axe la traque était,tantôt cédentaire en mettant le point sur la selection des informations pertinentes notamment en matière d’évolution des méthodes de manipulation (Phishing et vishing) dans les pays européens susceptibles d’immigrer vers le contexte marocain, et tantôt terrain à travers le contact avec un nombre représentant de notre clientèle pour évaluer leur résistance par rapport ces formes de manipulation. Pour ce qui est de la traque cédentaire, les recherches menées par notre traqueur a permet d’illuminer plusieurs points concernant les formes modernes de manipulation : Ingénierie Sociale : Il s'agit ici de manipulation, le fraudeur tente de duper sa victime afin qu'elle effectue certaines opérations, généralement des transferts d'argent. Il récolte pour ce faire des noms, des numéros de téléphone directs, des soldes de comptes, des listes de commandes ou de clients, etc ; Phishing : Le phishing est une forme spécifique de social engineering qui consiste à aller à la « pêche » aux données personnelles, uploads/Finance/ l-x27-evolution-de-la-cybersecurite-dans-le-secteur-bancaire-marocain.pdf