I- LES DÉFIS DE LA TRANSFORMATION NUMÉRIQUE ET DE LA CYBERSÉCURITÉ DANS LA RÉGION
Ces dernières années, l’Afrique a connu une prolifération rapide des technologies numériques, notamment dans les domaines de la technologie financière et du commerce électronique. La pandémie de COVID-19 a également joué un rôle à cet égard, en créant la nécessité d’offrir la possibilité de travailler à distance à de nombreux employés. En 2021, 43 % de la population africaine (612 millions de personnes) avait accès à Internet.
De plus, le continent africain possède un énorme potentiel technologique, notamment en raison de sa population jeune : environ 60 % de la population africaine en 2020 avait moins de 25 ans. Ce facteur encourage l’utilisation des nouvelles technologies. Selon l’Étude 2021 de la GSMA, le nombre d’abonnés mobiles uniques en Afrique subsaharienne passera de 495 Millions en 2020 à 615 Millions d’utilisateurs d’ici 2025. La stratégie de transformation numérique pour l’Afrique vise à garantir que d’ici 2030, chaque habitant de la région disposera d’un accès stable à Internet.
Des secteurs clés de l’économie, notamment la finance, l’éducation, l’agriculture, le gouvernement, la sécurité et l’industrie manufacturière, adoptent activement les technologies numériques et transfèrent leurs opérations vers des plateformes en ligne. Conformément à la Stratégie de Transformation Numérique pour l’Afrique, la cybersécurité et la protection des données personnelles sont des principes fondamentaux dans la mise en œuvre du projet de transformation numérique. Cependant, l’utilisation généralisée de la technologie, combinée à des mesures de cybersécurité insuffisantes, à une législation inadéquate dans le domaine de la sécurité de l’information et à un faible niveau de sensibilisation du public à la sécurité de l’information, crée des conditions favorables aux cybercriminels. De plus, de nombreux pays africains sont confrontés à des contraintes économiques, ce qui rend difficile l’allocation de fonds suffisants à la cybersécurité.
Ces dernières années, la cybercriminalité a considérablement augmenté dans le monde : selon nos données, le nombre total de cyberattaques réussies a plus que doublé au cours des cinq dernières années. Cette augmentation des cyberincidents est également évidente dans les pays africains. Au deuxième trimestre 2023, l’Afrique a connu le nombre moyen le plus élevé de cyberattaques par semainepar organisation, avec une augmentation de 23 % par rapport à la même période en 2022. Les cyberattaques peuvent conduire à des événements intolérables pour les entreprises et les gouvernements, tels que l’arrêt des opérations commerciales, le vol de fonds à grande échelle et les fuites de données confidentielles. Les pertes financières dues aux cyberattaques sont considérables et selon les données de l’ECA,(CEA : Commission économique des Nations Unies pour l’Afrique) en 2022, le faible niveau de préparation de l’Afrique aux cybermenaces coûtera aux pays en moyenne 10 % de leur PIB .L’un des problèmes les plus graves auxquels est confrontée l’Afrique est le manque d’infrastructures de sécurité de l’information. Environ 90% des entreprises africaines fonctionnent sans protocoles de cybersécurité, les rendant vulnérables aux
cybermenaces. Les experts reconnaissent la nécessité de changer l’approche de la cybersécurité en Afrique alors que celle-ci subit une transformation numérique.
De nombreux pays africains n’ont pas encore élaboré de législation couvrant tous les aspects de la sécurité de l’information, ce qui rend difficile la lutte efficace contre les cybermenaces et complique la mise en œuvre et l’application des mesures de cybersécurité. À ce jour, seuls 39 des 54 pays africains ont mis en œuvre une législation sur la cybersécurité, et deux pays sont en train de rédiger une législation. L’adoption de politiques et de réglementations en matière de cybersécurité sur l’ensemble du continent est de 72 %, le niveau le plus bas au monde. Seuls 14 pays ont ratifié la Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles.
Selon une Enquête KPMG, environ 75 % des personnes interrogées dans les organisations africaines ont déclaré avoir des stratégies de cybersécurité qui étaient soit mises à jour régulièrement, soit développées en fonction du profil de menace de l’organisation avec des KPI mesurables. Dans le même temps, 78 % des responsables du service informatique estiment que leur organisation n’est pas prête à parer aux cyberattaques, malgré l’augmentation des investissements en matière de sécurité. Un autre problème est la pénurie aiguë de spécialistes en cybersécurité : dès 2020, on estime qu’il y avait une pénurie d’ au moins 100 000 professionnels certifiés.
Avec la disponibilité croissante d’Internet en Afrique, il faut s’attendre à une augmentation des activités des réseaux internationaux de cybercriminalité organisée dans la région. De plus, étant donné le taux de chômage élevé, les jeunes peuvent rejoindre des groupes cybercriminels déjà existants pour gagner rapidement de l’argent. Le manque de sensibilisation à la cybersécurité parmi la population en général, les mesures inadéquates pour contrer les attaques dans les organisations et la mauvaise coopération entre les forces de l’ordre des différents pays font des pays du continent les plus développés sur le plan numérique une cible attrayante pour les attaquants.
II- LES VICTIMES ET CONSÉQUENCES DES CYBERATTAQUES
A. Les principales cibles des cybercriminels
Entre le début de l’année 2022 et le premier semestre 2023, parmi les différents secteurs de l’économie, les organisations les plus ciblées ont été celles du secteur financier (18 %), suivies par les entreprises de télécommunications (13 %), les agences gouvernementales (12 %) et les organisations des secteurs commercial (12 %) et industriel (10 %).
15 % des attaques réussies ciblaient des individus
Des Cyber-attaques réussies ayant un impact négatif sur les entreprises ou un individus ont ciblé de grandes entreprises telles que Onde Flutter,TransUnion, et le siège de Porsche en Afrique du Sud, ainsi que Eskom et la Compagnie d’électricité du Ghana (ECG). Les cybercriminels ont également attaqué d’importantes structures gouvernementales : la Banque de Zambie, plusieurs ministères en Ouganda, des institutions gouvernementales en Éthiopie et au Sénégal.
Les attaques ciblées représentaient 68 % des cyberattaques réussies . Dans ces cas, les auteurs se concentraient sur une organisation ou une industrie spécifique
B. Les conséquences des cyberattaques touchent des régions entières.
Le plus souvent, les cyberattaques visaient à obtenir des informations confidentielles : 38 % des entreprises en ont été victimes. Les actions criminelles ont également fréquemment perturbé le fonctionnement de l’organisation : par exemple, dans une attaque réussie sur trois, les principales activités des entreprises ont été perturbées (35 %). 7 % des incidents ont entraîné des pertes financières directes.
Les conséquences d’une cyberattaque réussie peuvent varier considérablement. Leur impact peut aller de l’atteinte à un seul individu à la perturbation du fonctionnement d’industries ou de régions entières. Les événements qui pourraient avoir des effets catastrophiques pour une organisation diffèrent au cas par cas ; par exemple, pour les banques, il peut s’agir de vols à grande échelle ou d’escroqueries ciblant les utilisateurs, tandis que pour les entreprises industrielles, il peut s’agir de perturbations des processus technologiques ayant de graves conséquences pour les citoyens.
1. Secteur financier
Le secteur financier attire le plus de criminels, avec 18 % de toutes les attaques ciblant les organisations qui y font partie. Cela s’explique d’abord par le fait que les criminels sont avant tout intéressés par le gain financier, ce qui, associé au niveau de sécurité relativement faible de ces entreprises, en fait des cibles attractives. De plus, les organisations financières stockent de grandes quantités de données clients, notamment des informations de paiement, ce qui permet aux attaquants d’utiliser les informations volées pour poursuivre leurs attaques contre les utilisateurs.
L’une des campagnes majeures destinées aux institutions financières a été rapporté par des experts à l’automne 2022. Entre 2018 et 2022, le groupe OPERA1ER*.a mené plus de 35 attaques réussies et volé au moins 11 millions de dollars à des banques et à des fournisseurs de télécommunications dans plusieurs pays, les banques africaines étant les victimes les plus fréquentes. Le total des dégâts causés par les attaques est estimé à 30 millions de dollars. Généralement, les criminels visaient à compromettre les comptes des opérateurs ayant accès à des sommes d’argent importantes. Les criminels ont ensuite utilisé les identifiants volés pour transférer des fonds.
*OPERA1ER (également connu sous le nom de DESKTOP-GROUP, Common Raven, NXSMS ou Bluebottle) est un groupe francophone à motivation financière qui opère depuis 2016. Ils ciblent principalement les passerelles de paiement et le système interbancaire international SWIFT dans leurs attaques. Le groupe compte parmi ses victimes plus d’une dizaine de pays africains, comme la Côte d’Ivoire, le Nigéria, le Sénégal et l’Ouganda. Les criminels utilisent le spear phishing et différents types de logiciels malveillants (généralement open-source) pour mener à bien leurs attaques
Un autre cas a été révélé cet été : des membres d’un syndicat frauduleux ont été appréhendés après un piratage de plus d’un millier de comptes bancaires de clients au Nigéria. Les suspects ont avoué avoir utilisé un logiciel spécialisé pour pirater les comptes des clients et effectuer des transferts d’argent discrets depuis n’importe quelle banque. Cette attaque souligne à quel point il est important pour les banques et autres institutions financières d’assurer la sécurité des infrastructures et d’éliminer les vulnérabilités des processus métiers et des logiciels utilisés. Ceci afin de protéger à la fois l’organisation elle-même et ses clients.
Les dirigeants du secteur financier reconnaissent la gravité des cybermenaces. Selon l’Enquête Baromètre du secteur financier en Afrique 2023, la cybersécurité se classe pour la deuxième année consécutive comme le facteur de risque numéro un dans le secteur des services financiers. Environ 97 % des dirigeants de grandes institutions financières en Afrique considèrent la cybercriminalité comme une menace importante, au même titre que les conditions macroéconomiques et l’instabilité politique et sociale. La prolifération des cyberattaques et leur complexité croissante font de la cybersécurité une priorité absolue pour les institutions financières. Les institutions financières sont les plus grands employeurs de professionnels de la cybersécurité dans la région, mais seulement 24 % des organisations estiment disposer de ressources suffisantes pour contrer les attaques.
2. Télécommunications
Les télécommunications sont le deuxième secteur le plus attractif pour les cybercriminels, et pour cause : l’augmentation significative du nombre de clients des entreprises de télécommunications sur tout le continent permet aux attaquants d’avoir un impact sérieux à la fois sur des entreprises individuelles et sur des régions entières. Cette augmentation du nombre de clients conduit également à la disponibilité de davantage d’informations sur les utilisateurs, notamment des données personnelles et de paiement ainsi que des données sur les connexions. Les criminels attaquent les organisations pour perturber leurs opérations et exiger une rançon pour restaurer les systèmes, ainsi que pour voler les données des utilisateurs.
En février 2023, les cybercriminels ont attaqué le fournisseur d’accès Internet RSAWEB. Les criminels ont crypté les données de l’entreprise et ont exigé une rançon pour les décrypter. L’attaque a provoqué une interruption importante des services de RSAWEB, laissant certains clients dans l’impossibilité d’accéder à Internet pendant plusieurs jours. Les experts estiment que l’entreprise a été victime d’une attaque à grande échelle contre le logiciel VMware ESXi ; les agences de cybersécurité du monde entier avaient auparavantémis des avertissements que les attaquants ciblaient activement les serveurs VMware ESXi qui n’avaient pas encore installé les mises à jour de sécurité. Vraisemblablement, les attaquants ont exploité la vulnérabilité CVE-2021-21974 dans leurs attaques.
3. Institutions gouvernementales
Les agences gouvernementales sont traditionnellement une cible privilégiée des attaquants, ce secteur représentait 17 % des attaques réussies contre des organisations dans le monde en 2022. Les institutions gouvernementales sont des objets importants des infrastructures urbaines, ce qui en fait une cible fréquente pour les hacktivistes. Un autre point important est que les agences gouvernementales stockent des données sur les citoyens.
Au printemps, suite à une attaque du groupe BlackCat le réseau interne du siège de l’Union africaine était paralysé, et les attaquants ont réussi à propager des logiciels malveillants sur plus de 200 ordinateurs. Cet incident s’est produit dix jours après la clôture du sommet annuel de l’organisation qui réunit les chefs d’État du continent. Si les assaillants avaient frappé plus tôt, un événement aussi important pour l’Union africaine aurait pu être perturbé. La restauration des systèmes a nécessité l’intervention d’experts d’Interpol, d’Afripol et de la Banque africaine.
*BlackCat : Le groupe BlackCat (également connu sous le nom d’ALPHV) distribue un programme ransomware du même nom, et le propose également sous le modèle « ransomware as a service » (RaaS). Les victimes dans le monde entier comprennent des organisations de l’industrie, du commerce, des transports, des assurances, des services, des télécommunications, ainsi que des institutions gouvernementales et médicales.
4. Détaillants
Lors des attaques contre des organisations du secteur commercial, les attaquants se concentrent principalement sur le vol des données des clients, en particulier des informations personnelles et de paiement. Dans les régions africaines, les cybercriminels ont réussi à voler des informations confidentielles dans 86 % des attaques réussies contre des organisations du secteur commercial.
En mai de l’année dernière, les cybercriminels ont réussi à voler environ 3,7 millions de dossiers clients d’un grand détaillant en pharmacie, Dis-Chem Pharmacies. Lors de cet incident, les attaquants ont pu accéder aux données en compromettant un fournisseur de services tiers. Lors de nos recherches sur les cybermenaces actuelles dans le monde, nous tombons régulièrement sur des nouvelles d’attaques réussies contre des organisations dans lesquelles les attaquants ont réussi à compromettre la chaîne d’approvisionnement ou les canaux de communication fiables. Selon nos données, en 2022, cette méthode a été utilisée dans 4 % des attaques réussies contre des organisations dans le monde et était la plus populaire dans le secteur du commerce, représentant 8 % des attaques contre le secteur. Deux tiers des attaques réussies ayant commencé par la compromission d’une partie de confiance ont entraîné des fuites d’informations confidentielles, et quatre cas sur dix ont entraîné des perturbations dans les activités principales de l’organisation.
5. Fabrications et industries
Les cybercriminels ciblent le secteur industriel en raison de l’importance des processus technologiques, ainsi que de l’ampleur de leur impact sur des entreprises individuelles et sur des industries, des régions et des pays entiers. Les technologies avancées et l’utilisation de services et de logiciels numériques augmentent les chances pour les attaquants de trouver un moyen de pénétrer dans l’entreprise et de déclencher un événement non tolérable.
À l’automne 2022, à la suite d’une attaque contre la compagnie d’électricité du Ghana (ECG), les clients du plus grand fournisseur d’électricité du pays n’ont pas pu acheter de l’électricité. Certains résidents ont connu des coupures de courant pendant plusieurs jours en raison de la perturbation de certains systèmes.
Des cyberattaques réussies peuvent provoquer des pannes de courant dans des zones entières. Par exemple, plus tôt en 2021, une autre attaque contre le fournisseur d’électricité Ghana Grid Company Limited (GRIDCo) en Afrique de l’Ouest a laissé les résidents du Ghana sans électricité pendant 5 jours.
III- QUI ATTAQUE L’AFRIQUE ET COMMENT ?
C. Cibles et méthodes d’attaques
Lors des attaques contre les organisations, les criminels ciblent le plus souvent les ordinateurs, les serveurs et les équipements réseau (85 %). Les ressources Web sont ciblées dans 15 % des attaques ; généralement, dans ces cas, les attaquants ont réussi à mener à bien des attaques DDoS.
Les attaquants ont utilisé des logiciels malveillants dans 4 attaques réussies sur 5 contre les organisations. Un incident sur deux (52 %) impliquait une ingénierie sociale. Dans 37 % des attaques réussies, des vulnérabilités ont été exploitées et dans un cas sur dix, les attaquants ont réussi à accéder aux ressources de l’organisation en compromettant les informations d’identification.
Dans les attaques contre les individus, la méthode la plus populaire reste l’ingénierie sociale (91 %), ainsi que l’utilisation de divers types de logiciels malveillants (45 %). Dans 9 % des attaques réussies, les cybercriminels ont réussi à compromettre la chaîne d’approvisionnement. Par exemple, le Lemon Group découvert par les chercheurs de Trend Micro a infecté plus de 9 millions d’appareils Android pour mener des activités frauduleuses. Les experts estiment que dans ce cas, les attaquants ont réussi à compromettre la chaîne d’approvisionnement en logiciels.
D. Logiciel malveillant
Le plus souvent, plusieurs types de logiciels malveillants ont été utilisés lors d’une seule attaque. Les plus courants sont les outils d’accès à distance malveillants (RAT, 54 % des attaques contre les organisations), les ransomwares (33 %), les loaders (31 %) et les logiciels espions (spyware) (27 %).
Lors des attaques contre des organisations, les attaquants ont principalement distribué des logiciels malveillants via des messages électroniques contenant des pièces jointes malveillantes. Les systèmes étaient également infectés par des logiciels malveillants lorsque les ressources de l’organisation étaient compromises, par exemple en exploitant les vulnérabilités du périmètre du réseau. Dans le cas des particuliers, les logiciels malveillants se
sont principalement infiltrés sur leurs appareils via des sites Web frauduleux, des e-mails et des réseaux sociaux.
La popularité des attaques utilisant des logiciels malveillants en Afrique est également influencée par le fait que sur le dark web, les logiciels malveillants sont activement vendus et, dans certains cas, même fournis gratuitement par les cybercriminels. Par exemple, l’une des annonces proposées à la vente utilisait le rançongiciel Hive dans une attaque contre la Banque de Zambie en mai 2022.
Un autre malware de contrôle à distance connu sous le nom de Venom RAT peut être loué pour un mois ou un an. Pour une licence annuelle, les criminels facturent 1 550 dollars, tandis que l’utilisation du malware pendant un mois coûte 350 dollars. Des publications offrant un accès gratuit au code source de diverses familles de logiciels malveillants, notamment le cheval de Troie d’accès à distance nommé BlackNET, ont également été trouvées. A noter que le malware cité ci-dessus a été utilisé par le groupe OPERA1ER. Les attaquants obtenaient généralement un premier accès via des e-mails de phishing, après quoi ils déployaient un large éventail de logiciels malveillants, notamment Netwire, BitRAT, AgentTesla, Remcos, Neutrino.
1. Ransomware
Un tiers des cyberattaques utilisant des logiciels malveillants visant les organisations impliquaient des ransomwares. Les victimes les plus fréquentes étaient les sociétés commerciales (25%), suivies par le secteur industriel (19%) et les organismes financiers (13%).
La méthode la plus courante de distribution de ransomwares consiste à compromettre les ordinateurs, les serveurs et les équipements réseau (74 %). Cela indique la faible sécurité des entreprises, à savoir des vulnérabilités dans le périmètre du réseau et des défauts de configuration dans les services disponibles en externe. Notez que les opérateurs de ransomwares achètent souvent les informations d’identification des entreprises compromises auprès de courtiers d’accès.
2. Cyberespionnage et fuites de données
Lors de cyberattaques réussies contre des organisations, les attaquants visaient à voler des données personnelles (28 % des informations volées), des secrets commerciaux (26 %) et des informations d’identification (23 %).
Les informations confidentielles étaient le plus souvent volées aux organisations financières et commerciales.
Lors des attaques contre des individus, les informations d’identification (40 %), les données personnelles (27 %) et les informations de paiement (13 %) étaient les types de données les plus fréquemment compromises.
Dans un certain nombre d’attaques, les attaquants ont volé des informations confidentielles dans le cadre d’une campagne de cyberespionnage. Les attaquants sont également actifs sur le dark web, partageant des bases de données d’employés et de clients d’entreprises. Ces archives contiennent des données personnelles telles que des noms complets, des adresses, des numéros de téléphone et des adresses e-mail.
Par exemple, début 2023, des cybercriminels ont rendu publique la base de données des étudiants de l’Université Ahmed Ben Bella (Oran 1). Les données comprenaient les adresses e-mail, les noms, les numéros de téléphone et les adresses de plus de 50 000 étudiants Les cybercriminels proposent également des données à la vente. Les informations obtenues sont utilisées à des fins de fraude et dans des campagnes de cyberespionnage. Par exemple, un article annonçait une base de données d’adresses électroniques d’employés du ministère nigérian de la Justice. Selon les cybercriminels, ces informations peuvent être utilisées pour des attaques de phishing, la distribution de logiciels malveillants ou à des fins d’espionnage
La région africaine est régulièrement ciblée par divers groupes. Les attaques à plusieurs étapes, bien planifiées et bien organisées ciblant un secteur spécifique ou (généralement une grande entreprise) sont appelées menaces persistantes avancées (APT). Pour mener de telles attaques, les pirates informatiques forment des groupes criminels, appelés groupes APT. L’objectif principal de la majorité de ces groupes est l’espionnage. Examinons quelques-uns de ces groupes, dont les activités ont été observées dans les pays africains :
- WITCHETTY : Ce groupe, également connu sous les noms de LookingFrog, TA410, Cicada et APT10, concentre ses attaques sur les institutions gouvernementales, les organisations financières, les entreprises industrielles, les organisations caritatives et les représentants des missions diplomatiques au Moyen-Orient et en Afrique.
- MUSTANG PANDA : Un groupe chinois, également connu sous les noms de TA416, RedDelta ou BRONZE PRESIDENT. Cible les institutions gouvernementales et les organisations religieuses aux États-Unis, en Afrique, en Europe, en Mongolie, au Myanmar, au Pakistan et au Vietnam.
- DAGGERFLY : Ce groupe, également connu sous le nom d’Evasive Panda ou Bronze Highland, a attaqué une entreprise de télécommunications africaine et s’est lancé dans des campagnes d’espionnage contre des représentants d’organisations non gouvernementales internationales en Chine et au Nigeria. L’outil le plus couramment utilisé dans leurs attaques est le cheval de Troie d’accès à distance nommé MgBot.
- ALLOY TAURUS : Ce groupe de cyberespionnage chinois (également connu sous le nom de Gallium ou Softcell) se concentre sur les entreprises de télécommunications et les agences militaires et gouvernementales en Afghanistan, en Australie, en Belgique, au Cambodge, en Malaisie, au Mozambique, aux Philippines, en Russie et au Vietnam.
- MUDDY WATER : Ce groupe de cyberespionnage iranien (également connu sous le nom de Earth Vetala, MERCURY, Static Kitten, Seedworm ou TEMP Zagros) cible les agences gouvernementales, notamment les autorités locales, les entreprises de télécommunications, les entreprises de l’industrie de la défense, les médias, les institutions scientifiques et éducatives, ainsi que les sociétés pétrolières et gazières. entreprises au Moyen-Orient, en Asie, en Afrique, en Europe et en Amérique du Nord depuis 2017.
3. Attaques DDoS
Les attaques DDoS sont également l’une des menaces les plus courantes, les gouvernements et les institutions financières d’Afrique étant régulièrement ciblés. Par exemple, début mai 2023, un groupe de cybercriminels connu sous le nom de Mysterious Team Bangladesh* a effectué une série d’attaques DDoS contre les institutions éthiopiennes. Parmi les victimes figuraient des agences gouvernementales, une entreprise du secteur de l’électricité, le portail
du gouvernement éthiopien, le Ministère de la Santé et une banque coopérative commerciale privée. Le groupe plus tard a mené des attaques réussies contre des institutions au Sénégal.
Début février, un autre groupe, Team_insane_pk* a attaqué le site Internet de l’Hôpital Central de Maputo (Hôpital Central de Maputo au Mozambique).
Le groupe cybercriminel bangladais Mystérieuse équipe du Bangladesh se concentre sur les institutions gouvernementales et les médias. Leur motivation première est le hacktivisme. Ces cybercriminels ciblent principalement les ressources Web, menant des attaques DDoS et dégradant des sites Web.
Le groupe cybercriminel Team_insane_pk concentre ses attaques sur les institutions gouvernementales et les citoyens de haut rang en Afrique, en Israël, en Inde et en Australie. Les auteurs choisissent leurs cibles en fonction de leurs convictions religieuses et politiques. Ils effectuent principalement des attaques DDoS et des dégradations de sites Web
En juin, une campagne DDoS entière a été découverte ciblant les institutions financières et gouvernementales en Ouganda. Parmi les victimes figuraient la Banque d’Ouganda, la Bourse, le Parlement, ainsi que de nombreux ministères.
4. Ingénierie sociale
Les attaques d’ingénierie sociale constituent l’une des principales cybermenaces contre les organisations et les individus, tant dans le monde que dans la région africaine. Par exemple, en Afrique du Sud en 2022, 94 % des organisations ont été victimes de tentatives de phishing. Interpol inclut également l’ingénierie sociale dans la liste des principales menaces dans la région. Les attaquants utilisent diverses tactiques d’ingénierie sociale, des outils automatisés et des robots spammeurs pour maximiser leurs chances de succès. Aggravés par la faible sensibilisation des utilisateurs à la cybersécurité, les risques liés aux attaques de phishing restent exceptionnellement élevés. Selon des évaluations de la sensibilisation des employés Dans les entreprises africaines menées par les chercheurs de KnowBe4, un employé sur trois clique sur un lien de phishing ou fait ce que demandent les attaquants.
Selon nos données, l’ingénierie sociale est utilisée dans 52 % des attaques réussies contre des organisations et dans 91 % des attaques contre des individus dans la région africaine. Pour les organisations, le type d’attaque de phishing le plus courant consiste à envoyer des e-mails contenant des liens ou des pièces jointes malveillants. Dans 29 % des cas, on utilise de faux sites pouvant imiter, par exemple, des pages d’authentification d’entreprise, des banques connues ou des systèmes de paiement. La disponibilité d’outils et de services de phishing prêts à l’emploi sur le dark web facilite grandement la tâche des attaquants, permettant même à ceux qui n’ont pas de connaissances techniques de créer rapidement des campagnes de courrier électronique trompeuses et des sites Web frauduleux.
Le secteur financier est la cible la plus fréquente des attaques de phishing. En 2022, Check Point Research a découvert une campagne malveillante appelée DangerousSavanna, qui ciblait les moyennes et grandes institutions financières d’Afrique francophone et était actif depuis au moins deux ans. Les attaquants ont envoyé des e-mails contenant des pièces jointes malveillantes aux employés d’institutions financières en Côte d’Ivoire, au Maroc, au Cameroun, au Sénégal et au Togo. Pour donner l’impression que les e-mails semblent authentiques, les attaquants ont utilisé des adresses de domaine qui ressemblaient beaucoup aux adresses d’autres institutions financières africaines bien connues, telles que la Banque étrangère tunisienne, et lors d’attaques récentes, ils ont remplacé l’adresse e-mail de l’expéditeur par l’adresse d’une compagnie d’assurance locale.
Les individus sont principalement victimes d’attaques de phishing en visitant des sites Web frauduleux ou en rencontrant des cybercriminels sur les réseaux sociaux et les messageries instantanées.
5. Compromission de la messagerie professionnelle
Un autre type d’attaque utilisant des méthodes d’ingénierie sociale est la compromission de la messagerie professionnelle (BEC). Dans cette attaque, les criminels accèdent au compte de messagerie d’un employé d’une organisation et l’utilisent à leurs propres fins, généralement pour fraude ou vol d’argent ou de données. Par exemple, l’attaquant peut intervenir dans la correspondance avec une entreprise partenaire et envoyer de nouvelles coordonnées bancaires pour un virement, ou se faire passer pour le chef de l’organisation et demander au service comptable d’effectuer un paiement sur un certain compte.
Les dégâts causés par une attaque BEC peuvent s’élever à des millions de dollars. Ainsi, selon le FBI, les entreprises américaines ont subi des pertes s’élevant à 2,7 milliards de dollars en 2022 (dépassant les pertes dues aux attaques de ransomwares), et ce montant augmente chaque année.
La région africaine connaît une augmentation significative des attaques BEC. Les attaquants se font généralement passer pour des cadres supérieurs, des représentants du gouvernement ou des partenaires commerciaux pour tromper leurs victimes. Les petites et grandes organisations sont ciblées. Le grand danger des attaques du BEC réside dans le fait que les attaquants connaissent bien les particularités de la région :plus de la moitié des groupes BEC sont situés en Afrique. Selon les chercheurs d’Unit42, l’une des plus grandes communautés de cybercriminels effectuant des attaques BEC est située au Nigeria. Les entreprises en Afrique sont de plus en plus ciblées par les groupes internationaux BEC et des attaques sont menées depuis divers pays, principalement le Nigeria, le Ghana et l’Afrique du Sud.
Bien que les membres des groupes BEC soient relativement faciles à identifier et que les mouvements de fonds puissent être retracés (contrairement aux groupes de ransomwares, par exemple), de nombreux facteurs rendent difficile l’arrestation des criminels par les forces de l’ordre. Ceux-ci incluent la répartition territoriale des groupes criminels, la nature internationale des cyberattaques, la détection tardive des attaques et l’absence de mécanismes unifiés de notification des incidents.
6. Vente d’accès sur les forums du darkweb
Selon nos données, les cybercriminels utilisent activement des forums clandestins pour acheter et vendre des accès aux réseaux de grandes entreprises africaines, notamment des institutions gouvernementales et financières, des entreprises commerciales et des sociétés informatiques.Le coût moyen de l’accès avec les privilèges d’administrateur de domaine est d’environ 300 USD, tandis que l’accès avec les privilèges d’administrateur local est moins cher, coûtant en moyenne 170 USD. Parmi toutes les annonces trouvées, le prix le plus élevé demandé était de 10 000 dollars pour la connexion à l’infrastructure d’une entreprise de télécommunications nigériane
Les attaquants sur les forums clandestins recherchent également activement des « drops » africains, c’est-à-dire des individus qui participent à des stratagèmes frauduleux pour obtenir des revenus illicites. Par exemple, des demandes de drop au Nigeria, au Sénégal, en Algérie et en Afrique du Sud ont été trouvées sur les chaînes Telegram.
IV- CONCLUSION ET RECOMMANDATION
L’Afrique est une vaste région avec une répartition inégale des ressources entre les pays, une région qui continue de faire face à de nombreux défis socio-économiques. Cependant, ces dernières années, le continent est devenu un géant du numérique à croissance rapide, grâce aux réformes en cours. Les organisations construisent des infrastructures et fournissent des services pour permettre la numérisation à un rythme rapide, mais l’introduction de nouvelles technologies ouvre également de nouvelles opportunités aux cybercriminels.
African Cybersecurity Market (AFCSM) propose ci-dessous une série de mesures visant à améliorer la cybersécurité des organisations et des particuliers, des industries et de la région africaine dans son ensemble.
E. Recommandations aux gouvernements
1. Adopter des politiques et des stratégies de sécurité de l’information au niveau national
Les gouvernements devraient élaborer, mettre en œuvre et mettre régulièrement à jour des politiques et stratégies nationales de cybersécurité, en impliquant un large éventail de parties prenantes dans le processus. Le processus d’élaboration de ces stratégies devrait bénéficier du financement et du soutien politique nécessaires pour garantir une coordination efficace et une répartition claire des responsabilités.
La stratégie nationale de sécurité de l’information devrait inclure une évaluation des menaces, ainsi que des objectifs bien définis et les étapes nécessaires pour les atteindre. Les représentants des organisations gouvernementales, des entreprises et du secteur de la cybersécurité devraient être impliqués dans le processus de développement, et les projets de stratégies devraient être examinés et discutés publiquement.
La stratégie doit également être régulièrement revue et mise à jour pour garantir que son contenu reste pertinent face aux menaces actuelles.
2. Élaborer une législation sur la protection des données personnelles
Les gouvernements devraient travailler à la création et à la mise en œuvre d’une législation pour la protection des données personnelles. Cette législation doit lutter contre la cybercriminalité, garantir la protection des données personnelles et maintenir la sécurité numérique des citoyens et des organisations. Cela devrait également faciliter une coordination efficace entre les différentes agences chargées de l’application des lois et de la sécurité. En outre, des mécanismes de coopération internationale devraient être établis pour attraper et poursuivre plus efficacement les cybercriminels et partager des informations sur les cybermenaces internationales.
3. Protéger les infrastructures d’informations critiques
Les gouvernements devraient identifier les infrastructures d’information critiques, dont la perturbation pourrait provoquer des événements intolérables au niveau des industries et des pays. Cette approche permet d’allouer efficacement les ressources pour assurer la protection des systèmes les plus critiques. La priorité devrait être accordée à l’infrastructure de secteurs tels que le gouvernement, les télécommunications et la finance, ainsi qu’à d’autres secteurs essentiels à l’économie et à la sécurité nationale, comme l’agriculture, les mines ou l’industrie manufacturière. La vitesse de la transformation numérique dans le pays et le niveau de maturité de la sécurité de l’information doivent également être pris en compte.
La sécurité des infrastructures critiques dépend souvent de fournisseurs de TIC externes. Les gouvernements devraient assurer la protection des réseaux d’alimentation électrique et des points d’accès Internet, diversifier la gamme de fournisseurs d’infrastructures technologiques clés et encourager le développement d’entreprises africaines capables de fournir, d’entretenir et de protéger les infrastructures d’information critiques.
4. Créer des centres de réponses aux cyber incidents au niveau national et sectoriel
La création d’équipes nationales de réponse aux cyberincidents (CIRT) pour surveiller les menaces et aider les organisations à se remettre de cyberattaques majeures devrait être une priorité absolue pour les gouvernements. Au moment de la rédaction de ce rapport, seuls 26 pays africains avoir des CIRT nationauxou privé. Les pays où de telles structures existent déjà devraient établir des CIRT sectoriels et collaborer pour soutenir la création de CIRT régionaux et continentaux. Il est nécessaire de développer des mécanismes clairs et transparents pour signaler les cyberincidents survenant dans les organisations. La réponse aux cybermenaces doit être intégrée dans la stratégie globale de protection et de restauration des infrastructures nationales critiques.
5. Coopérer à l’international
Le soutien aux efforts régionaux et internationaux de lutte contre la cybercriminalité organisée est essentiel. Tenter de lutter contre la cybercriminalité exclusivement à l’intérieur des frontières régionales est dans la plupart des cas vain. Les gouvernements doivent adopter des politiques, des procédures et des accords qui leur permettent de collecter et de partager des preuves numériques et d’extrader les cybercriminels. Une collaboration internationale accrue aidera les pays africains à rester informés des dernières cybermenaces, à coopérer avec d’autres pays dans la lutte contre la cybercriminalité et à contribuer au développement de normes et de politiques mondiales en matière de cybersécurité. Une participation active à ces efforts permettra aux gouvernements africains de mieux protéger leurs pays, leurs citoyens et leurs infrastructures critiques contre les cybermenaces.
F. Recommandations aux entreprises
1. Identifier les évènements non tolérables et les actifs critiques
Pour assurer la cyber-résilience d’une entreprise, il faut tout d’abord analyser les principaux risques et dresser une liste des événements non tolérables qui pourraient causer des dommages importants à ses activités. Cette étape aidera à identifier les actifs critiques et à se concentrer sur la protection des ressources les plus précieuses. Une stratégie doit être développée pour prévenir les événements non tolérables, y compris les mesures de sécurité nécessaires et la surveillance de l’activité du réseau à l’aide d’outils de sécurité modernes.
2. Surveiller les incidents et répondre aux cybermenaces
Des systèmes de surveillance et de détection des incidents sont nécessaires pour répondre en temps opportun aux menaces et attaques potentielles. À cette fin, nous recommandons d’utiliser des systèmes SIEM qui collectent et analysent en temps réel des informations sur les événements de sécurité provenant de diverses sources. Associé aux solutions XDR (détection et réponse étendues aux menaces) et NTA (analyse du trafic réseau), cela aidera à détecter les attaques dès les premiers stades et à garantir des réponses rapides, réduisant ainsi les risques pour votre organisation.
3. ÉVALUER L’EFFICACITÉ DE SA CYBERSÉCURITÉ
L’efficacité des mesures de cybersécurité adoptées devrait être régulièrement testée pour évaluer les performances de la stratégie et des défenses. Nous recommandons de prêter une attention particulière à la vérification des événements non tolérables pour l’organisation.
Il vaut également la peine d’envisager de participer à des programmes de bug bounty afin que les chercheurs externes en sécurité puissent découvrir de nouvelles vulnérabilités. Cela aidera à détecter et à éliminer les vulnérabilités avant que les attaquants puissent les exploiter.
4. Sensibiliser, former les employés et développer des spécialistes en sécurité de l’information
Il est essentiel de sensibiliser les employés à la cybersécurité et d’organiser des sessions de formation pour les sensibiliser aux cybermenaces actuelles et se protéger contre les techniques d’ingénierie sociale.
Pour lutter efficacement contre les cybermenaces, les organisations africaines devraient investir dans le développement de leurs experts en cybersécurité. Une formation et une certification régulières des employés en cybersécurité amélioreront leurs compétences et leurs connaissances, renforçant ainsi l’entreprise avec un soutien expert dans la prévention et la réponse aux cyberattaques. L’un des moyens les plus efficaces d’y parvenir est de participer à des cyberexercices sur des plateformes dédiées, où les spécialistes de la sécurité de l’information peuvent s’entraîner à reconnaître les techniques d’attaque et à les contrer.