L’Afrique est une région qui connaît un développement économique rapide. Au cours des vingt dernières années, le PIB combiné de la région a plus que quintuplé, passant de 695,88 milliards USD en 2002 à 2,98 billions USD en 2022. La croissance du PIB pour 2023 est estimée à 3-4 % et devrait dépasser 4 2027 milliards USD d’ici. La croissance cumulée des économies africaines reflète l’énorme potentiel de la région et contribue à une augmentation de la demande d’Internet et de services numériques.
Dans le même temps, le développement de la sphère numérique dans la région a dépassé l’élaboration des lois et règlements en matière de cybersécurité. La fréquence et la complexité croissantes des cyberattaques dans la région africaine menacent la sécurité des infrastructures d’information critiques et exigent une action urgente pour renforcer les mesures de protection. L’incapacité à contrer les cybermenaces peut avoir de graves conséquences pour les individus, les entreprises et le développement socio-économique du continent. Dans ce rapport, nous examinerons les principaux défis en matière de cybersécurité dans la région africaine et explorerons les moyens possibles de construire un environnement numérique résilient et sécurisé.
Résumé
Les défis de la transformation numérique et de la cybersécurité dans la région
Ces dernières années, l’Afrique a connu une prolifération rapide des technologies numériques, en particulier dans les domaines de la technologie financière et du commerce électronique. La pandémie de COVID-19 a également joué un rôle à cet égard, créant la nécessité d’offrir la possibilité de travailler à distance à de nombreux employés. En 2021, 43% de la population africaine (612 millions de personnes) avaient accès à Internet.
De plus, il existe un énorme potentiel technologique sur le continent africain, notamment en raison de sa population jeune : environ 60% de la population africaine en 2020 avait moins de 25 ans. Ce facteur encourage l’utilisation des nouvelles technologies. Selon l’ Étude 2021 de la GSMA, le nombre d’abonnés mobiles uniques en Afrique subsaharienne atteindra 615 millions d’ici 2025. En outre, les estimations pour l’ensemble de la région indiquent que le nombre d’utilisateurs d’Internet dépassera 1 milliard de personnes d’ici 2023. La stratégie de transformation numérique pour l’Afrique vise à faire en sorte que d’ici 2030, chaque habitant de la région ait un accès stable à Internet.
Les secteurs clés de l’économie, notamment la finance, l’éducation, l’agriculture, le gouvernement, la sécurité et la fabrication, adoptent activement les technologies numériques et transfèrent leurs opérations vers des plateformes en ligne. Conformément à la Stratégie de transformation numérique pour l’Afrique, la cybersécurité et la protection des données personnelles sont des principes fondamentaux dans la mise en œuvre du projet de transformation numérique. Cependant, l’utilisation généralisée de la technologie, combinée à des mesures de cybersécurité insuffisantes, à une législation inadéquate dans le domaine de la sécurité de l’information et à un faible niveau de sensibilisation du public à la sécurité de l’information, crée des conditions favorables pour les cybercriminels. En outre, de nombreux pays africains sont confrontés à des contraintes économiques, ce qui rend difficile l’allocation de fonds suffisants pour la cybersécurité.
Ces dernières années, il y a eu une augmentation significative de la cybercriminalité dans le monde entier: selon nos données, le nombre total de cyberattaques réussies a plus que doublé au cours des cinq dernières années. Cette augmentation des cyberincidents est également évidente dans les pays africains. Au deuxième trimestre 2023, l’Afrique a connu le plus grand nombre moyen de cyberattaques par semaine par organisation, avec une augmentation de 23 % par rapport à la même période en 2022. Les cyberattaques peuvent conduire à des événements intolérables pour les entreprises et les gouvernements, tels que l’arrêt des opérations commerciales, le vol de fonds à grande échelle et les fuites de données confidentielles. Les pertes financières dues aux cyberattaquessont considérables, et selon les données de la Cour des comptes européenne,UNECA: United Nations EconomicCommission for Africa en 2022, le faible niveau de préparation de l’Afrique aux cybermenaces coûte en moyenne 10 % de leur PIB aux pays.
L’un des problèmes les plus graves auxquels l’Afrique est confrontée est le manque d’infrastructures de sécurité de l’information. Environ 90% des entreprises africaines Fonctionner sans protocoles de cybersécurité, ce qui les rend vulnérables aux cybermenaces. Les experts reconnaissent la nécessité de changer l’approche de la cybersécurité en Afrique alors qu’elle subit une transformation numérique.
De nombreux pays africains n’ont pas encore élaboré de législation couvrant tous les aspects de la sécurité de l’information, ce qui rend difficile la lutte efficace contre les cybermenaces et complique la mise en œuvre et l’application des mesures de cybersécurité. À ce jour, seuls 39 pays africains sur 54 ont mis en œuvre la législation sur la cybersécurité, et deux pays en sont à l’étape de la rédaction d’une législation. L’adoption de politiques et de réglementations en matière de cybersécurité sur l’ensemble du continent est de 72%, le niveau le plus bas au monde. Seuls 14 pays l’ont ratifié. la Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles.
Selon un Sondage KPMG, environ 75 % des répondants des organisations africaines ont déclaré avoir des stratégies de cybersécurité mises à jour régulièrement ou développées en fonction du profil de menace de l’organisation avec des KPI mesurables. Dans le même temps, 78% des responsables de services informatiques estiment que leur organisation n’est pas prête à repousser les cyberattaques, malgré l’augmentation des investissements dans la sécurité. Un autre problème est la pénurie aiguë de spécialistes de la cybersécurité : en 2020, on estimait qu’il y avait une pénurie de au moins 100 000 professionnels certifiés.
Avec la disponibilité croissante de l’Internet en Afrique, il faut s’attendre à une augmentation des activités des réseaux internationaux de lutte contre la cybercriminalité organisée dans la région. De plus, compte tenu du taux de chômage élevé, la population jeune peut rejoindre des groupes cybercriminels déjà existants pour gagner rapidement de l’argent. Le manque de sensibilisation de la population à la cybersécurité, les mesures inadéquates pour contrer les attaques dans les organisations et la faible coopération entre les organismes d’application de la loi de différents pays font des pays les plus développés numériquement du continent une cible attrayante pour les attaquants.
Victimes et conséquences des attentats
Les principales cibles des attaquants
Au cours de la période allant du début de 2022 au premier semestre de 2023, parmi les différents secteurs de l’économie, les organisations les plus ciblées étaient celles du secteur financier (18 % des attaques contre les organisations), suivies des entreprises de télécommunications (13 %), des agences gouvernementales (12 %) et des organisations des secteurs du commerce (12 %) et de l’industrie (10 %).
15 % des attaques réussies ciblaient des individus
Les cybercriminels ont également attaqué d’importantes structures gouvernementales : la Banque de Zambie, plusieurs ministères en Ouganda, des institutions gouvernementales en Éthiopie et au Sénégal. Les attaques ciblées représentaient 68 % des cyberattaquesréussies. Dans ces cas, les auteurs se sont concentrés sur une organisation ou une industrie spécifique.
Les conséquences des attaques touchent des régions entières
Le plus souvent, les attaques visaient à obtenir des informations confidentielles : 38% des entreprises en ont fait l’expérience. Les actions criminelles ont également fréquemment perturbé les opérations organisationnelles: par exemple, sur trois attaques réussies, les principales activités des entreprises ont été perturbées (35%). 7 % des incidents ont entraîné des pertes financières directes.
Les conséquences d’une cyberattaque réussie peuvent varier considérablement. Leur impact peut aller de l’impact d’une seule personne à la perturbation du fonctionnement d’industries ou de régions entières. Les événements qui pourraient avoir des effets catastrophiques pour une organisation diffèrent au cas par cas; Par exemple, pour les banques, il pourrait s’agir de vols à grande échelle ou d’escroqueries ciblant les utilisateurs, tandis que pour les entreprises industrielles, il pourrait s’agir de perturbations des processus technologiques ayant de graves conséquences pour les citoyens. Un événement non tolérable est un événement qui survient à la suite d’une cyberattaque et empêche d’atteindre les objectifs opérationnels et stratégiques de l’organisation ou entraîne une perturbation prolongée de ses activités principales.
Secteur financier
Le secteur financier attire le plus de criminels, avec 18% de toutes les attaques ciblant les organisations qui le composent. Tout d’abord parce que les criminels sont principalement intéressés par le gain financier, ce qui, associé au niveau de sécurité relativement faible de ces entreprises, en fait des cibles attrayantes. En outre, les organisations financières stockent de grandes quantités de données client, y compris des informations de paiement, ce qui permet aux attaquants d’utiliser des informations volées pour d’autres attaques contre les utilisateurs.
L’une des principales campagnes destinées aux institutions financières a été signalé par des experts à l’automne 2022. Entre 2018 et 2022, le groupe OPERA1ER a mené plus de 35 attaques réussies et volé au moins 11 millions de dollars à des banques et à des fournisseurs de télécommunications dans plusieurs pays, les banques africaines étant les victimes les plus fréquentes. Les dommages totaux causés par les attaques sont estimés à 30 millions de dollars. En règle générale, les criminels visaient à compromettre les comptes des opérateurs en leur donnant accès à des sommes d’argent importantes. Les criminels ont ensuite utilisé les informations d’identification volées pour transférer des fonds.
Un autre cas a été révélé cet été : les membres d’un syndicat frauduleux ont été appréhendés après un piratage plus d’un millier de comptes bancaires de clients au Nigéria. Les suspects ont avoué avoir utilisé un logiciel spécialisé pour pirater les comptes des clients et effectuer des transferts d’argent discrets à partir de n’importe quelle banque. Cette attaque souligne à quel point il est important pour les banques et autres institutions financières d’assurer la sécurité de l’infrastructure et d’éliminer les vulnérabilités dans les processus métier et les logiciels utilisés. Ceci afin de protéger à la fois l’organisation elle-même et ses clients.
Les dirigeants du secteur financier reconnaissent la gravité des cybermenaces. D’après Enquête Baromètre de l’industrie financière africaine 2023, la cybersécurité se classe au premier rang des facteurs de risque dans le secteur des services financiers pour la deuxième année consécutive. Environ 97% des dirigeants de grandes institutions financières en Afrique considèrent la cybercriminalité comme une menace importante, au même titre que les conditions macroéconomiques et l’instabilité politique et sociale. La prolifération des cyberattaques et leur complexité croissante font de la cybersécurité une priorité absolue pour les institutions financières. Les institutions financières sont les plus grands employeurs de professionnels de la cybersécurité dans la région, mais seulement 24 % des organisations estiment disposer de ressources suffisantes pour contrer les attaques.
Télécommunication
Les télécommunications sont le deuxième secteur le plus attractif pour les cybercriminels, et pour cause : l’augmentation significative du nombre de clients des entreprises de télécommunications à travers le continent permet aux attaquants d’avoir un impact sérieux sur les entreprises individuelles et des régions entières. Cette augmentation du nombre de clients entraîne également la disponibilité de plus d’informations sur les utilisateurs, y compris des données personnelles et de paiement ainsi que des données sur les connexions. Les criminels attaquent les organisations pour perturber leurs opérations et exiger une rançon pour la restauration des systèmes, ainsi que pour voler les données des utilisateurs.
En février 2023, les cybercriminels attaqué le fournisseur d’accès Internet RSAWEB. Les criminels ont crypté les données de l’entreprise et exigé une rançon pour les décrypter. L’attaque a causé une perturbation importante des services de RSAWEB, laissant certains clients impossible d’accéder à Internet pendant plusieurs jours. Les experts estiment que la société a été soumise à une attaque à grande échelle contre le logiciel VMware ESXi; Les agences de cybersécurité du monde entier avaient déjà Avertissements émis que les attaquants ciblaient activement les serveurs VMware ESXi qui n’avaient pas encore installé de mises à jour de sécurité. Vraisemblablement, les attaquants exploité la vulnérabilité CVE-2021-21974dans leurs attaques.
Les entreprises doivent prendre des mesures pour prévenir l’exploitation des vulnérabilités et la survenance d’événements non tolérables. Pour ce faire, nous vous recommandons de prêter attention au Processus de gestion des vulnérabilités dans l’organisation. Cela permettra d’identifier rapidement les faiblesses des actifs critiques, ainsi que d’éliminer les vulnérabilités populaires parmi les attaquants, avant qu’elles ne soient exploitées et n’entraînent de graves conséquences pour l’entreprise.
Institutions gouvernementales
Les agences gouvernementales ont traditionnellement été une cible préférée des attaquants: selon nos données, cette industrie représentait 17 % des attaques réussies contre des organisations dans le monde en 2022. Les institutions gouvernementales sont des objets importants de l’infrastructure urbaine, ce qui en fait une cible fréquente pour les hacktivistes. Un autre point important est que les agences gouvernementales stockent des données sur les citoyens.
Au printemps, à la suite d’une attaque du groupe BlackCat, le réseau interne du siège de l’Union africaine était paralysé, et les attaquants ont réussi à propager des logiciels malveillants à plus de 200 ordinateurs. Cet incident s’est produit dix jours après la clôture du sommet annuel de l’organisation, qui réunit les chefs d’État du continent. Si les assaillants avaient frappé plus tôt, un événement aussi important pour l’Union africaine aurait pu être perturbé. La restauration des systèmes a nécessité l’intervention d’experts d’Interpol, d’Afripol et de la Banque africaine.
Vente au détail
Dans les attaques contre les organisations du secteur du commerce, les attaquants se concentrent principalement sur le vol de données client, en particulier d’informations personnelles et de paiement. Dans les régions africaines, les cybercriminels ont pu voler des informations confidentielles dans 86% des attaques réussies contre des organisations du secteur du commerce.
En mai de l’année dernière, les cybercriminels réussi à voler environ 3,7 millions de dossiers clients d’un grand détaillant en pharmacie, Dis-Chem Pharmacies. Dans cet incident, les attaquants ont pu accéder aux données en compromettant un fournisseur de services tiers. En faisant des recherches sur les cybermenaces actuelles dans le monde, nous rencontrons régulièrement des nouvelles d’attaques réussies contre des organisations dans lesquelles les attaquants ont réussi à compromettre la chaîne d’approvisionnement ou des canaux de communication fiables. D’après Nos données, en 2022, cette méthode a été utilisée dans 4% des attaques réussies contre des organisations dans le monde et était la plus populaire dans l’industrie du commerce, représentant 8% des attaques sur le secteur. Les deux tiers des attaques réussies qui ont commencé par compromettre une partie de confiance ont entraîné des fuites d’informations confidentielles, et 4 cas sur 10 ont entraîné des perturbations des activités de base de l’organisation. Lors de la mise en place d’une protection contre les cyberattaques, il est important de prendre en compte non seulement votre propre sécurité, mais également celle des partenaires, des fournisseurs et des sous-traitants. Nous vous recommandons de définir des exigences égales pour la sécurité de l’information de vos contreparties et pour votre propre infrastructure.
Industrie manufacturière et industrie
Les cybercriminels ciblent le secteur industriel en raison de l’importance des processus technologiques, ainsi que de l’ampleur de l’impact à la fois sur les entreprises individuelles et sur des industries, des régions et des pays entiers. Les technologies de pointe et l’utilisation de services et de logiciels numériques augmentent les chances des attaquants de trouver un moyen de pénétrer dans l’entreprise et de déclencher un événement non tolérable.
À l’automne 2022, à la suite d’une attaque contre la compagnie d’électricité du Ghana (ECG), les clients du plus grand fournisseur d’électricité du pays n’ont pas pu acheter d’électricité. Certains résidents ont subi des pannes de courant pendant plusieurs jours en raison de la perturbation de certains systèmes.
Les cyberattaques réussies peuvent provoquer des pannes de courant dans des zones entières. Par exemple, plus tôt en 2021, une attaque contre le fournisseur d’électricité Ghana Grid Company Limited (GRIDCo) en Afrique de l’Ouest a laissé les résidents du Ghana sans électricité pendant 5 jours.
Qui attaque l’Afrique et comment : Cibles et méthodes d’attaque
Dans les attaques contre les organisations, les criminels ciblent le plus souvent les ordinateurs, les serveurs et les équipements réseau (85%). Les ressources Web sont ciblées dans 15% des attaques; En règle générale, dans ces cas, les attaquants ont réussi à mener avec succès des attaques DDoS.
Les attaquants ont utilisé des logiciels malveillants dans 4 attaques réussies sur 5 contre des organisations. Un incident sur deux (52%) impliquait de l’ingénierie sociale. Dans 37 % des attaques réussies, les vulnérabilités ont été exploitées et, dans un cas sur dix, les attaquants ont pu accéder aux ressources de l’organisation en compromettant les informations d’identification.
Dans les attaques contre les individus, la méthode la plus populaire reste l’ingénierie sociale (91%), ainsi que l’utilisation de divers types de logiciels malveillants (45%). Dans 9% des attaques réussies, les cybercriminels ont réussi à compromettre la chaîne d’approvisionnement. Par exemple, le Lemon Group découvert par les chercheurs de Trend Micro infecté plus de 9 millions d’appareils Android pour mener des activités frauduleuses. Les experts estiment que dans ce cas, les attaquants ont réussi à compromettre la chaîne d’approvisionnement logicielle.
Malware
Le plus souvent, plusieurs types de logiciels malveillants ont été utilisés dans une seule attaque. Les plus courants sont les outils d’accès à distance malveillants (RAT, 54% dans les attaques contre les organisations), les ransomwares (33%), les chargeurs (31%) et les logiciels espions (27%).
Dans les attaques contre les organisations, les attaquants ont principalement distribué des logiciels malveillants via des messages électroniques contenant des pièces jointes malveillantes. Les systèmes ont également été infectés par des logiciels malveillants lorsque les ressources de l’organisation ont été compromises, par exemple en exploitant des vulnérabilités dans le périmètre du réseau. Dans le cas des particuliers, les logiciels malveillants se sont principalement introduits sur leurs appareils par le biais de sites Web, d’e-mails et de réseaux sociaux frauduleux.
La popularité des attaques utilisant des logiciels malveillants en Afrique est également influencée par le fait que sur le dark web, les logiciels malveillants sont activement vendus et, dans certains cas, même fournis gratuitement par des cybercriminels. Par exemple, l’une des annonces proposées à la vente le ransomware Hiveutilisé dans une attaque contre la Banque de Zambie en mai 2022.
Un autre malware de contrôle à distance connu sous le nom de Venom RAT peut être loué pendant un mois ou un an. Pour une licence annuelle, les criminels facturent 1 550 USD, tandis que l’utilisation du malware pendant un mois coûte 350 USD. Des messages offrant un accès gratuit au code source de diverses familles de logiciels malveillants, y compris le cheval de Troie d’accès à distance nommé BlackNET, ont également été trouvés. Notez que le malware mentionné ci-dessus a été utilisé par le groupe OPERA1ER. Les attaquants ont généralement obtenu un accès initial par le biais d’e-mails de phishing, après quoi ils ont déployé un large éventail de logiciels malveillants, notamment Netwire, BitRAT, AgentTesla, Remcos, Neutrino.
Ransomware
Un tiers des attaques utilisant des logiciels malveillants visant des organisations impliquaient des ransomwares. Les victimes les plus fréquentes ont été les sociétés commerciales (25 %), suivies du secteur industriel (19 %) et des organisations financières (13 %).
La méthode la plus courante de distribution de rançongiciels consiste à compromettre les ordinateurs, les serveurs et les équipements réseau (74 %). Cela indique la faible sécurité des entreprises, à savoir des vulnérabilités dans le périmètre du réseau et des failles de сonfiguration dans les services disponibles en externe. Notez que les opérateurs de ransomwareachètent souvent les informations d’identification des entreprises compromises auprès de courtiers d’accès.
Cyberespionnage et fuites de données
Dans les attaques réussies contre les organisations, les attaquants visaient à voler des données personnelles (28% des informations volées), des secrets commerciaux (26%) et des informations d’identification (23%). Les informations confidentielles étaient le plus souvent volées à des organisations financières et commerciales.
Dans les attaques contre les individus, les informations d’identification (40%), les données personnelles (27%) et les informations de paiement (13%) étaient les types de données les plus fréquemment compromis.
Dans un certain nombre d’attaques, les attaquants ont volé des informations confidentielles dans le cadre d’une campagne de cyberespionnage. Les attaquants sont également actifs sur le dark web, partageant des bases de données d’employés et de clients d’entreprises. Ces archives contiennent des données personnelles telles que les noms complets, les adresses, les numéros de téléphone et les adresses e-mail.
Par exemple, début 2023, les cybercriminels ont rendu publique la base de données des étudiants de l’Université Ahmed Ben Bella (Oran 1). Les données comprenaient les adresses électroniques, les noms, les numéros de téléphone et les adresses de plus de 50 000 étudiants.
Les cybercriminels proposent également des données à la vente. Les informations obtenues sont utilisées à des fins de fraude et de cyberespionnage. Par exemple, une publication annonçait une base de données d’adresses électroniques d’employés du ministère nigérian de la Justice. Selon les cybercriminels, ces informations peuvent être utilisées pour des attaques de phishing, la distribution de logiciels malveillants ou pour l’espionnage.
Graphique 14. Publicité pour la vente d’une base de données d’adresses e-mail d’employés du ministère de la Justice du Nigeria
La région africaine est régulièrement prise pour cible par divers groupes. Les attaques en plusieurs étapes, bien planifiées et bien organisées ciblant un secteur spécifique ou (généralement une grande entreprise) sont appelées menaces persistantes avancées (APT). Pour mener de telles attaques, les pirates forment des groupes criminels, connus sous le nom de groupes APT. L’objectif principal de la majorité de ces groupes est l’espionnage. Regardons quelques-uns de ces groupes, dont les activités ont été observées dans les pays africains:
Attaques DDoS
Les attaques DDoS sont également l’une des menaces les plus courantes, les gouvernements et les institutions financières en Afrique étant régulièrement ciblés. Par exemple, début mai 2023, un groupe de cybercriminels connu sous le nom de Mysterious Team Bangladesh a effectué une série d’attaques DDoS contre des institutions éthiopiennes. Parmi les victimes figuraient des agences gouvernementales, une entreprise de l’industrie de l’électricité, le portail du gouvernement éthiopien, le Ministère de la Santé et une banque coopérative commerciale privée. Le groupe plus tard a attaqué avec succès des institutions au Sénégal. Début février, un autre groupe, Team_insane_pk a attaqué le site Web de l’hôpital central de Maputo (Hospital Central de Maputo au Mozambique).
En juin, une campagne DDoS entière ciblant des institutions financières et gouvernementales en Ouganda a été découverte. Parmi les victimes figuraient la Banque d’Ouganda, la bourse, le parlement, ainsi que de nombreux ministères.
Ingénierie sociale
Les attaques d’ingénierie sociale sont l’une des principales cybermenaces pour les organisations et les individus dans le monde entier et dans la région africaine. Par exemple, en Afrique du Sud en 2022, 94 % des organisations ont subi des tentatives de phishing. Interpol inclut également l’ingénierie sociale dans la liste des principales menaces dans la région. Les attaquants utilisent une variété de tactiques d’ingénierie sociale, d’outils automatisés et de robots spammeurs pour maximiser leurs chances de succès. Aggravés par la faible sensibilisation des utilisateurs à la cybersécurité, les risques associés aux attaques de phishing restent exceptionnellement élevés. D’après Évaluations de la sensibilisation des employés dans les entreprises africaines menées par les chercheurs de KnowBe4, un employé sur trois clique sur un lien de phishing ou fait ce que les attaquants demandent.
Selon nos données, l’ingénierie sociale est utilisée dans 52% des attaques réussies contre les organisations et 91% des attaques contre des individus dans la région africaine. Pour les organisations, le type d’attaque de phishing le plus courant consiste à envoyer des e-mails contenant des liens ou des pièces jointes malveillants. Dans 29% des cas, de faux sites sont utilisés qui peuvent imiter, par exemple, les pages d’authentification d’entreprise, les banques bien connues ou les systèmes de paiement. La disponibilité d’outils et de services de phishing prêts à l’emploi sur le dark web facilite grandement les choses pour les attaquants, permettant même à ceux qui n’ont pas de connaissances techniques de créer rapidement des campagnes de courrier trompeuses et des sites Web frauduleux.
Le secteur financier est la cible la plus fréquente des attaques de phishing. En 2022, Check Point Research découvert une campagne malveillante appelé DangerousSavanna qui ciblait les moyennes et grandes institutions financières en Afrique francophone et a été actif pendant au moins deux ans. Les attaquants ont envoyé des courriels avec des pièces jointes malveillantes aux employés d’institutions financières en Côte d’Ivoire, au Maroc, au Cameroun, au Sénégal et au Togo. Pour que les e-mails paraissent authentiques, les attaquants ont utilisé des adresses de domaine qui ressemblaient étroitement aux adresses d’autres institutions financières africaines bien connues, telles que la Banque étrangère tunisienne, et lors d’attaques récentes, ils ont remplacé l’adresse e-mail de l’expéditeur par l’adresse d’une compagnie d’assurance locale.
Les individus sont principalement victimes d’attaques de phishing en visitant des sites Web frauduleux ou en rencontrant des cybercriminels sur les réseaux sociaux et les messageries instantanées.
Compromission des e-mails professionnels
Un autre type d’attaque qui utilise des méthodes d’ingénierie sociale est la compromission des e-mails professionnels (BEC). Dans cette attaque, les criminels accèdent à un compte de messagerie de l’employé d’une organisation et l’utilisent à leurs propres fins, généralement une fraude ou un vol d’argent ou de données. Par exemple, l’attaquant peut intervenir dans la correspondance avec une entreprise partenaire et envoyer de nouvelles coordonnées bancaires pour un transfert, ou usurper l’identité du chef de l’organisation et demander au service de comptabilité d’effectuer un paiement sur un certain compte.
Les dommages causés par une attaque BEC peuvent atteindre des millions de dollars. Ainsi selon le FBI, les entreprises américaines ont subi des pertes s’élevant à 2,7 milliards USD en 2022 (dépassant les pertes dues aux attaques de ransomware), et ce montant augmente chaque année.
La région africaine connaît une augmentation significative des attaques BEC. Les attaquants se font généralement passer pour des cadres supérieurs, des représentants du gouvernement ou des partenaires commerciaux pour tromper leurs victimes. Les petites et les grandes organisations sont ciblées. Le grand danger des attaques BEC réside dans le fait que les attaquants connaissent bien les particularités de la région: plus de la moitié des groupes BEC sont situés en Afrique. Selon les chercheurs de Unit42, l’une des plus grandes communautés cybercriminelles menant des attaques BEC est située au Nigeria. Les entreprises en Afrique sont de plus en plus ciblées par des groupes internationaux BEC et des attaques sont menées depuis divers pays, principalement le Nigeria, le Ghana et l’Afrique du Sud.
Bien que les membres des groupes BEC soient relativement faciles à identifier et que le mouvement des fonds puisse être retracé (contrairement aux groupes de rançongiciels, par exemple), de nombreux facteurs rendent difficile pour les organismes d’application de la loi d’appréhender les criminels. Il s’agit notamment de la répartition territoriale des groupes criminels, de la nature internationale des cyberattaques, de la détection tardive des attaques et de l’absence de mécanismes unifiés de notification des incidents.
Vente d’accès sur les forums underground
Selon nos données, les cybercriminels utilisent activement les forums clandestins pour acheter et vendre l’accès aux réseaux des grandes entreprises africaines, y compris les institutions gouvernementales et financières, les entreprises commerciales et les sociétés informatiques.
Le coût moyen de l’accès avec des privilèges d’administrateur de domaine est d’environ 300 USD, tandis que l’accès avec des privilèges d’administrateur local est moins cher, coûtant en moyenne 170 USD. Parmi toutes les annonces trouvées, le prix le plus élevé demandé était de 10 000 USD pour la connexion à l’infrastructure d’une entreprise de télécommunications nigériane.
Graphique 17. Publicité pour la vente d’un accès à une société de télécommunications nigériane
Les attaquants sur les forums clandestins recherchent également activement des « gouttes » africaines – des individus qui participent à des stratagèmes frauduleux pour des revenus illicites. Par exemple, des demandes de largage au Nigeria, au Sénégal, en Algérie et en Afrique du Sud ont été trouvées dans les canaux Telegram.
Les recommandations
L’Afrique est une vaste région où les ressources sont réparties de manière inégale entre les pays, une région qui continue de faire face à de nombreux défis socioéconomiques. Cependant, ces dernières années, le continent a émergé comme un géant numérique en pleine croissance, grâce aux réformes en cours. Les organisations construisent des infrastructures et fournissent des services pour permettre la numérisation à un rythme rapide, mais l’introduction de nouvelles technologies ouvre également de nouvelles opportunités pour les cybercriminels.
Ci-dessous, nous proposons une série de mesures visant à améliorer la cybersécurité des organisations individuelles, des industries et de la région africaine dans son ensemble.
Recommandations à l’intention des gouvernements
Adopter des politiques et des stratégies de sécurité de l’information au niveau national.
Les gouvernements devraient élaborer, mettre en œuvre et mettre à jour régulièrement des politiques et stratégies nationales de cybersécurité, en associant un large éventail de parties prenantes au processus. Le processus d’élaboration de ces stratégies devrait bénéficier du financement et de l’appui politique nécessaires pour assurer une coordination efficace et une répartition claire des responsabilités.
La stratégie nationale de sécurité de l’information devrait comprendre une évaluation des menaces, ainsi que des objectifs bien définis et les étapes nécessaires pour les atteindre. Des représentants d’organisations gouvernementales, d’entreprises et du secteur de la cybersécurité devraient participer au processus d’élaboration, et les ébauches de stratégies devraient être examinées et discutées publiquement. La stratégie doit également être régulièrement revue et mise à jour pour s’assurer que son contenu reste pertinent par rapport aux menaces actuelles.
Élaborer une législation pour la protection des données personnelles
Les gouvernements devraient s’employer à créer et à mettre en œuvre une législation pour la protection des données personnelles. Cette législation devrait lutter contre la cybercriminalité, garantir la protection des données personnelles et maintenir la sécurité numérique des citoyens et des organisations. Il devrait également faciliter une coordination efficace entre les différents services chargés de l’application de la loi et de la sécurité. En outre, des mécanismes de coopération internationale devraient être mis en place pour attraper et poursuivre plus efficacement les cybercriminels et partager des informations sur les cybermenaces internationales.
Protection de l’infrastructure d’informations critiques
Les gouvernements devraient identifier les infrastructures d’information critiques dont la perturbation pourrait provoquer des événements non tolérables au niveau des industries et des pays. Cette approche permet d’allouer efficacement les ressources pour assurer la protection des systèmes les plus critiques. La priorité devrait être accordée à l’infrastructure de secteurs tels que le gouvernement, les télécommunications et la finance, ainsi qu’à d’autres industries vitales pour l’économie et la sécurité nationale, telles que l’agriculture, les mines ou la fabrication. La vitesse de la transformation numérique dans le pays et le niveau de maturité de la sécurité de l’information doivent également être pris en compte.
La sécurité des infrastructures critiques dépend souvent de fournisseurs externes de TIC. Les gouvernements devraient assurer la protection des réseaux d’alimentation électrique et des points d’accès à Internet, diversifier l’éventail des fournisseurs d’infrastructures technologiques essentielles et encourager le développement d’entreprises africaines capables de fournir, d’entretenir et de protéger les infrastructures essentielles de l’information.
Créer des centres nationaux et sectoriels de réponse aux cyberincidents
La mise en place d’équipes nationales d’intervention en cas de cyberincident (CIRT) pour surveiller les menaces et aider les organisations à se remettre de cyberattaques majeures devrait être une priorité absolue pour les gouvernements. Au moment de la rédaction du présent rapport, seuls 26 pays africains avoir des CIRT nationaux. Les pays où de telles structures existent déjà devraient établir des CIRT sectoriels et collaborer pour soutenir la création de CIRT régionales et continentales. Il est nécessaire d’élaborer des mécanismes clairs et transparents pour signaler les cyberincidents survenus dans les organisations. La réponse aux cybermenaces doit être intégrée à la stratégie globale de protection et de restauration des infrastructures nationales essentielles.
Coopérer à l’échelle internationale
Il est essentiel d’appuyer les efforts régionaux et internationaux de lutte contre la cybercriminalité organisée. Tenter de lutter contre la cybercriminalité exclusivement à l’intérieur des frontières régionales est dans la plupart des cas futile. Les gouvernements doivent adopter des politiques, des procédures et des accords qui leur permettent de recueillir et de partager des preuves numériques et d’extrader les cybercriminels. Le renforcement de la collaboration internationale aidera les pays africains à se tenir informés des dernières cybermenaces, à coopérer avec d’autres pays dans la lutte contre la cybercriminalité et à contribuer à l’élaboration de normes et de politiques mondiales en matière de cybersécurité. La participation active à ces efforts permettra aux gouvernements africains de mieux protéger leurs pays, leurs citoyens et leurs infrastructures critiques contre les cybermenaces.
Recommandations pour les entreprises
Identifier les événements non tolérables et les actifs critiques
Pour assurer la cyber-résilience d’une entreprise, il faut tout d’abord analyser les principaux risques et dresser une liste des événements non tolérables qui pourraient causer des dommages importants à ses activités. Cette étape aidera à identifier les actifs critiques et à se concentrer sur la protection des ressources les plus précieuses. Une stratégie devrait être élaborée pour prévenir les événements non tolérables, y compris les mesures de sécurité nécessaires et la surveillance de l’activité du réseau à l’aide d’outils de sécurité modernes.
Surveiller les incidents et répondre aux cybermenaces
Des systèmes de surveillance et de détection des incidents sont nécessaires pour répondre rapidement aux menaces et aux attaques potentielles. À cette fin, nous vous recommandons d’utiliser des systèmes SIEM qui collectent et analysent en temps réel des informations sur les événements de sécurité provenant de diverses sources. Avec les solutions XDR (détection et réponse étendues aux menaces) et NTA (analyse du trafic réseau), cela aidera à détecter les attaques dès les premières étapes et à garantir des réponses rapides, réduisant ainsi les risques pour votre organisation.
Évaluer l’efficacité de la cybersécurité
L’efficacité des mesures de cybersécurité adoptées devrait être régulièrement testée pour évaluer la performance de la stratégie et des défenses. Nous recommandons de porter une attention particulière à la vérification des événements non tolérables pour l’organisation.
Il vaut également la peine d’envisager de participer à des programmes de bug bounty afin que les chercheurs en sécurité externes puissent trouver de nouvelles vulnérabilités. Cela aidera à détecter et à éliminer les vulnérabilités avant que les attaquants ne puissent les exploiter.
Former les employés et former des spécialistes de la sécurité de l’information
Il est essentiel d’éduquer les employés sur la cybersécurité et d’organiser des séances de formation pour accroître la sensibilisation aux cybermenaces actuelles et se protéger contre les techniques d’ingénierie sociale. Pour lutter efficacement contre les cybermenaces, les organisations africaines devraient investir dans le développement de leurs experts en cybersécurité. La formation et la certification régulières des employés de la cybersécurité amélioreront leurs compétences et leurs connaissances, renforçant ainsi l’entreprise avec un soutien expert dans la prévention et la réponse aux cyberattaques. L’un des moyens les plus efficaces d’y parvenir est de participer à des cyberexercices sur des plateformes dédiées, où les spécialistes de la sécurité de l’information peuvent s’exercer à reconnaître les techniques d’attaque et à les contrer. SOURCE : Positive Technologies
