Le 12 août 2022, la South African Reserve Bank (SARB) - la banque centrale et l'autorité de régulation financière du pays - a été victime d'une cyberattaque menée par des pirates informatiques inconnus.
Si la SARB a affirmé quelques mois plus tard que le piratage n'avait eu aucun impact sur ses systèmes ou ses opérations, il est plus alarmant de savoir que la banque faîtière a dû en être informée par le Federal Bureau of Investigation (FBI) des États-Unis. Elle n’était apparemment pas au courantjusqu'à ce moment-là.
L'Afrique du Sud n'est pas le seul pays africain dont la banque centrale a été victime d'un vol de données. Quelques mois avant le piratage de la SARB, en mai 2022, la Banque de Zambie avait été victime d'un collectif de pirates informatiques utilisant des ransomwares, connu sous le nom de Hive.
Selon Bloomberg, Hive a expédié des données de test sensibles de la banque et a perturbé certaines de ses applications, notamment le système de suivi des bureaux de change.
Les pirates ont également demandé à la banque une rançon dont le montant n'a pas été divulgué, mais qu'elle a refusé de payer. En novembre, la Banque centrale de Gambie a subi deux cyberattaquesdistinctes.
Dans un premier temps, les pirates auraient demandé une rançon de 2,5 millions de dollars en échange de la non divulgation des données de la banque. Les fonctionnaires du pays ont ensuite été privés de leurs comptes.
Sur le continent, des banques commerciales de pays comme l'Angola et le Maroc ont également signalé des cyberattaques menées par des pirates informatiques qui ont menacé de divulguer des données sensibles au public. Les banques commerciales du Nigeria, par exemple, perdent 30 millions de dollars par an à cause de la cybercriminalité.
La source de la plupart des piratages des institutions financières africaines est encore inconnue, mais certains, comme la publication d'investigation panafricaine Africa Intelligence, supposent que l'augmentation est due à la guerre Russie-Ukraine de 2022, qui a forcé de nombreux pirates à abandonner l'Europe de l'Est à la recherche d'autres cibles.
En avril 2022, le FBI a affirmé que l'Afrique du Sud et d'autres pays africains faisaient partie d'un groupe de 135 pays dont les infrastructures étaient la cible de pirates informatiques russes.
Les inquiétudes de l'Afrique en matière de cybersécurité ne se limitent pas aux seules banques. En mars 2022, la division sud-africaine de la société d'évaluation du crédit TransUnion a confirmé que le collectif de pirates informatiques N4ughtysecTU, basé au Brésil, avait volé 4 To de données et demandait une rançon de 15 millions de dollars.
Les pirates ont également annoncé qu'ils s'attaquaient à d'autres entreprises africaines, dont Absa Bank. Quelques mois plus tard, en juin, la multinationale africaine de supermarchés ShopRite, qui possède environ 3 150 magasins desservant 30 millions de clients, a été victime d'une attaque informatique de la part du groupe cyberterroriste mondial RansomHouse.
Les pirates ont volé 600 Go de données clients, y compris des photos de cartes d'identité délivrées par le gouvernement, et ont demandé une rançon.
Entre 2018 et 2022, les institutions financières africaines ont été spécifiquement ciblées par les cyberterroristes OPERA1ER, basés en France.
Au cours de cette période, le groupe aurait volé 11 millions de dollars à des entreprises africaines, les dommages réels étant estimés à 30 millions de dollars. Actuellement, l'Afrique perd 4 milliards de dollars par an à cause de la cybercriminalité, ce qui lui coûte au moins 10 % de son produit intérieur brut (PIB).
Ce coût ne fera qu'augmenter, car la cybercriminalité est en hausse en Afrique. Entre le premier et le deuxième trimestre 2022, Kaspersky, leader en matière de cybersécurité, a signalé que les cyberattaques par hameçonnage - la forme la plus courante de cybercriminalité - ont augmenté de manière significative, le Kenya et le Nigeria ayant connu une hausse de 438 % et 174 % au cours de cette période.
Au cours du seul deuxième trimestre, entre avril et juin, l'Afrique a enregistré plus de 10 millions d'attaques de phishing, soit une augmentation de 234 % par rapport au trimestre précédent. Kaspersky a également indiqué que 8,7 % des Africains en ligne ont subi des attaques de phishing en 2022.
Si l'hameçonnage reste le type de cybercriminalité le plus répandu dans le monde et en Afrique, la cryptocriminalité gagne aussi rapidement du terrain. Rien qu'en 2021, les Kényans ont perdu 120 millions de dollars à cause de la crypto-criminalité, tandis que les Sud-Africains ont perdu 99 millions de dollars, selon le rapport Global State of Scams.
L'Afrique du Sud a également fait l'objet de deux escroqueries record à la crypto-monnaie : tout d'abord, Mirror Trading International (MTI) a escroqué des centaines de milliers de personnes pour un montant d'environ 589 millions de dollars. Plus tard, la société d'investissement en cryptomonnaies Africrypt a escroqué les investisseurs d'environ 3,6 milliards de dollars en bitcoins.
Au niveau mondial, plus de 20 milliards de dollars ont été perdus à cause de la criminalité liée aux cryptomonnaies en 2022. On ne sait pas encore quelle part de cette somme revient à l'Afrique.
Outre les cryptomonnaies, les fraudes liées à l'argent mobile sont également à l'origine de l'augmentation des taux de cybercriminalité en Afrique. L'Afrique est en tête du marché mondial de l'argent mobile, qui représente des milliers de milliards de dollars, avec 70 % du volume de transactions du secteur, qui s'élève à 1,04 milliard de dollars.
Le secteur connaît sa propre part de cybercriminalité. Au Nigeria, par exemple, le fournisseur de services de télécommunications MTN a fait état d'une fraude à l'argent mobile de 53 millions de dollars, deux mois seulement après avoir lancé son service d'argent mobile dans le pays en 2022.
Plus récemment, la société de télécommunications kényane Safaricom a annoncé qu'elle avait été victime d'une fraude massive à l'argent mobile d'une valeur de 4 millions de dollars.
La bonne nouvelle, c'est que les gouvernements africains ne se laissent pas abattre par l'augmentation de la cybercriminalité. À ce jour, 33 des 54 pays africains, dont le Nigeria, l'Afrique du Sud et l'Égypte, ont adopté une forme ou une autre de législation sur la cybersécurité.
Non seulement ces pays adoptent des lois sur la cybersécurité, mais ils créent également des lois sur la protection des données qui obligent les entreprises à utiliser des protocoles de cybersécurité standard. Interpol signale qu'au moins 90 % des entreprises africaines opèrent sans les protocoles de cybersécurité nécessaires.
Des organisations telles que Ciberobs et TradePass organisent également des événements liés à la cybersécurité, comme le sommet Cyberx Africa au Kenya et le forum Cyber Africa en Côte d'Ivoire. Ces événements, auxquels participent des milliers de personnes dans le monde, sensibilisent les utilisateurs et les entreprises à l'importance de la cybersécurité.
"La sensibilisation est le plus grand progrès que nous réalisons actuellement. Les gens doivent connaître les risques liés à la cybersécurité", a déclaré Franck Kie, associé directeur de Ciberobs, lors d'un entretien avec TechCabal l'année dernière.
"Des pays comme le Maroc, l'île Maurice, le Kenya, le Togo, l'Afrique du Sud et même la Côte d'Ivoire placent la cybersécurité en tête de leurs priorités.
Avec une liste croissante de législations, d'événements et d'experts en matière de cybersécurité, l'Afrique pourrait encore être en mesure de lutter contre les menaces croissantes qui pèsent sur la cybersécurité.
