Académique Documents
Professionnel Documents
Culture Documents
BANCAIRE MAROCAIN
PLAN DU PROJET :
Actions à entreprendre.
1. Précision de l’objet et la finalité
Dans ce sens, les banques sont considérées parmi les premières organisations ayant recours à
l’automatisation de leur activité à travers l’outil informatique, que se soit pour la collecte et la
conservation des données personnelles et bancaires des clients, ou bien pour la passation et la
validation des transactions bancaires. Ce qui rend ce type d’activités une cible rêvée des pirates et
arnaqueurs informatiques ; la moindre faille de sécurité peut présenter, pour ces gens une réelle
opportunité d’attaque, et pour la banque une menace dégageant des conséquences désastreuses sur
sa survie.
Au Maroc, la digitalisation bancaire n’a vu le jour que cette dernière décennie avec le passageaux
banques digitales (version 1.0 et 2.0).
Comme étant les membres de la “Cellule Veille” d’un établissement bancaire marocain, et suite à la
vision stratégique de la direction envisageant la digitalisation complete des services dans le future
proche, notre projet portera sur l’analyse de l’évolution de la cybersécurité des établissements
bancaires marocainsd’ici 5 ans. Dans le but de réduire l’impact de la cybercriminalité sur l’activité
de notre banqueet protéger notre clientèle contre les différentes formes de manipulation.
Au Maroc, les banques ont montré leur intérêt pour s’engager dans la digitalisation de leurs services
et activités, cet engagement a été traduit par l’apparition de la banque digitale 1.0offrant des
services de base, notamment les sites web et la consulation des comptes. En général, la majorité des
banques marocaines préfèrent jusqu’aujourd’hui de se limiter sur cette version de digitalisation. En
revanche certains établissements bancaires ont pris l’initiative pour passer à la version 2.0de la
banque digitale qui offre, en plus de la consultation, la possibilité de reproduire les principaux
services physiques en ligne et d’effectuer des opérations plus complexes comme les virements. On
parle désormais de multicanal et d’autonomie client.
En face à cette transformation digitale, la réglementation du secteur et les éthiques du métier exigent
les banques à renforcer leurs dispositifs de protection des informations jugées sensibles et
confidentielles. C’est dans ce contexte que la cybersécurité devient un enjeu majeur pour les
établissements bancaires marocaines.
Selon l’étude “ The Global State of Information Security® Survey 2018 ” réalisée par PwC, CIO et CSO
magazine sur la cybersécurité au Maroc auprès de 50 entreprises dont 24% appartenant au secteur
financier, il y a une prise de conscience au sein des entreprises marocaines qui se traduit par une
phase d’investissement sur les problé matiques de cybersé curité où la part des budgets alloué s par
rapport aux budgets IT est plus de deux fois supé rieure à la moyenne mondiale, cela se traduit
é galement par une augmentation des budgets dé dié s à la cyber sé curité et forte proportion des
entreprises marocaines a avoir nommé un Responsable de la Sé curité des SI.
La même étude a montré que la majorité des grandes entreprises se montrent proactives et prennent
la mesure du risque cybersé curité . La conformité rè glementaire reste cependant le moteur majeur
devant la transformation digitale. Les Petites et Moyennes entreprises restent globalement ré actives
et ne prennent la mesure du risque cyber qu’aprè s un incident ou les recommandations d’un audit.
Dans cette vision comparative, les entreprises mondiales attestent que l’exploitation des dispositifs
mobiles (smartphones, tablettes, etc…) est la principale origine des incidents sur la cybersécurité,
alors qu’au Maroc les origines d’incidents reviennent, en premier lieu aux logiciels malveillants
déployés dans les postes de travail et en second lieu à l’exploitation de l’Homme (ingénierie sociale).
3. Cycle de Renseignement
Étape 1 : Définition des axes prioritaires à surveiller
Le diagnostic de l’état actuel de la cybersécurité au Maroc a illuminé plusieurs points susceptibles
d’être à l’origine des incidents sur la cybersécurité. Sur la base de ce diagnostic nous avons décidé de
se concentrer sur 3 axes prioritaires à surveiller et représentant des sources potentielles du risque
de cybercriminalité. Chaque axe est définit par un couple : Acteur/Thème permettant un meilleur
ciblage d’effort et de traque des informations de valeurs stratégiques (Signaux faibles) :
La traque de ce couple acteur/thème est essentiellement une traque terrain via le contact direct avec
notre personnel, ou bien par téléphone avec d’autre employés du secteur bancaire.
En gros, nous avons souligné qu’il y a une certaine incompatibilité entre les déclarations du
personnel de la banque attestant que les logiciels de l’établissement sont généralement adéquats, et
celles des autres employés externes disant que la qualité thechnique et technologique des logiciels
dans leurs postes de travail reste limitée par rapport le défi du risque de cybercriminalité. Cette
divergence entre les déclarations internes et externes nous a obligé de pousser la recherche vers la
comparaison entre nos logiciels et ceux des concurrents, et à l’aide d’une analyse comparative nous
avons constaté au contraire des déclarations, que les logiciels de notre banque ne se diffèrent pas de
ceux de la concurrence.
De plus de la constatation précitée et jugée de valeur stratégique, le traqueur a détecté d’autres
informations de potentiel, notamment :
Les failles historiques de la banque : Si les vulnérabilités historiques sont connues et des
correctifs sont fournis et publiés. L’attaquer peut accéder facilement le système
d’information. Surtout dans le cas où la banque n’a pas procéderà une eventuelle mise à jour
des logiciels.
La possibilité de fuite d’informations confidentielles : causée par le personnel
accidentellement, notamment en discutant les affaires de la banque avec leurs proches.
Au niveau de cet axe la traque était,tantôt cédentaire en mettant le point sur la selection des
informations pertinentes notamment en matière d’évolution des méthodes de manipulation
(Phishing et vishing) dans les pays européens susceptibles d’immigrer vers le contexte marocain, et
tantôt terrain à travers le contact avec un nombre représentant de notre clientèle pour évaluer leur
résistance par rapport ces formes de manipulation.
Pour ce qui est de la traque cédentaire, les recherches menées par notre traqueur a permet
d’illuminer plusieurs points concernant les formes modernes de manipulation :
Ingénierie Sociale : Il s'agit ici de manipulation, le fraudeur tente de duper sa victime afin
qu'elle effectue certaines opérations, généralement des transferts d'argent. Il récolte pour ce
faire des noms, des numéros de téléphone directs, des soldes de comptes, des listes de
commandes ou de clients, etc ;
Phishing : Le phishing est une forme spécifique de social engineering qui consiste à aller à la
« pêche » aux données personnelles, principalement par e-mail, afin de pouvoir ensuite
dérober l'argent se trouvant sur un compte bancaire ;
Vishing : Pour faciliter la fraude, les criminels vont jusqu’à appeler leurs victimes par
téléphone pour les « accompagner ».
D’après les incidents qui sont déjà arrivés en Europe, on peut dire que les méthodes de
fraudes ont beaucoup plus évolué, sans même négliger certains films ou séries qui montrent
en détail comment une opération de cybercriminalité peut se réaliser avec toute précision et
réussite, certes les mesure de cybersécurité au Maroc ont resté les mêmes, ce qui peut inciter
plus les fraudeurs à y penser et rendre le secteur bancaire marocain comme la meilleure cible
;
Les banques marocaines ne mettent pas en place des protections tout au long du parcours du
client en surveillant le comportement des utilisateurs et en repérant les anomalies qui
indiquent une fraude.
Concernant les législations en matière de cybercriminalité, la loi n°07-03 complétant le code pénal
sanctionnes toute intrusions non autorisées dans un système de traitement automatisé de données
(STAD).
Scénario 1
Scénario 2
Travailler sur la dimension externe et mettre la sensibilisation de la clientèle la première occupation
du service marketing en s’engageant dans des compagnes publicitaires évoquant les différentes
formes de manipulation, surtout celles modernes comme le “phishing” et le “vishing”.
Scénario 3
Le cadre législatif et réglementaire évolue pour mieux répondre à la cybercriminalité avec une prise
de conscience relative à la fraude informatique en toute cohérence avec l’instauration des règles
mondiales communes en matière de cybersécurité
Pour ce faire la “cellule veille” recommande de se concentrer sur une vision qui conjointe le Scénario
1 et le Scénario 2, c’est-à-dire orienterl’effort, en même temps, sur l’interne en développant notre
outil technlogique que ce soit pour les logiciels dans les postes de travail de la banque ou pour le
développement de l’application de verification basée “Face iD”. Et sur l’externe en s’engageant dans
des compagnes publicitaires de sensibilisation contre la manipulation.