L’EVOLUTION DE LA CYBERSECURITE DANS LE SECTEUR

BANCAIRE MAROCAIN

PLAN DU PROJET :

I. Précision de l’objet et définition de la Finalité

II. Etat des lieux

III. Cycle de Renseignement

Définition des axes prioritaires à surveiller ;

Collecte des informations ;

Création collective du sens ;

Actions à entreprendre.
 1. Précision de l’objet et la finalité

La cybersécurité désigne la protection des données et ressources connectées ou installées sur le

réseau informatique de la société. Elle a pour mission de défendre ces ressources contre toute sorte
de vol ou exploitation frauduleuse par les pirates.

Dans ce sens, les banques sont considérées parmi les premières organisations ayant recours à
l’automatisation de leur activité à travers l’outil informatique, que se soit pour la collecte et la
conservation des données personnelles et bancaires des clients, ou bien pour la passation et la
validation des transactions bancaires. Ce qui rend ce type d’activités une cible rêvée des pirates et
arnaqueurs informatiques ; la moindre faille de sécurité peut présenter, pour ces gens une réelle
opportunité d’attaque, et pour la banque une menace dégageant des conséquences désastreuses sur
sa survie.

Au Maroc, la digitalisation bancaire n’a vu le jour que cette dernière décennie avec le passageaux
banques digitales (version 1.0 et 2.0).

Comme étant les membres de la “Cellule Veille” d’un établissement bancaire marocain, et suite à la
vision stratégique de la direction envisageant la digitalisation complete des services dans le future
proche, notre projet portera sur l’analyse de l’évolution de la cybersécurité des établissements
bancaires marocainsd’ici 5 ans. Dans le but de réduire l’impact de la cybercriminalité sur l’activité
de notre banqueet protéger notre clientèle contre les différentes formes de manipulation.

2. Cybersécurité au Maroc : Quel état des lieux

?

Au Maroc, les banques ont montré leur intérêt pour s’engager dans la digitalisation de leurs services
et activités, cet engagement a été traduit par l’apparition de la banque digitale 1.0offrant des
services de base, notamment les sites web et la consulation des comptes. En général, la majorité des
banques marocaines préfèrent jusqu’aujourd’hui de se limiter sur cette version de digitalisation. En
revanche certains établissements bancaires ont pris l’initiative pour passer à la version 2.0de la
banque digitale qui offre, en plus de la consultation, la possibilité de reproduire les principaux
services physiques en ligne et d’effectuer des opérations plus complexes comme les virements. On
parle désormais de multicanal et d’autonomie client.

En face à cette transformation digitale, la réglementation du secteur et les éthiques du métier exigent
les banques à renforcer leurs dispositifs de protection des informations jugées sensibles et
confidentielles. C’est dans ce contexte que la cybersécurité devient un enjeu majeur pour les
établissements bancaires marocaines.

Selon l’étude “ The Global State of Information Security® Survey 2018 ” réalisée par PwC, CIO et CSO
magazine sur la cybersécurité au Maroc auprès de 50 entreprises dont 24% appartenant au secteur
financier, il y a une prise de conscience au sein des entreprises marocaines qui se traduit par une
phase d’investissement sur les problé matiques de cybersé curité où la part des budgets alloué s par
rapport aux budgets IT est plus de deux fois supé rieure à la moyenne mondiale, cela se traduit
é galement par une augmentation des budgets dé dié s à la cyber sé curité et forte proportion des
entreprises marocaines a avoir nommé un Responsable de la Sé curité des SI.

La même étude a montré que la majorité des grandes entreprises se montrent proactives et prennent
la mesure du risque cybersé curité . La conformité rè glementaire reste cependant le moteur majeur
devant la transformation digitale. Les Petites et Moyennes entreprises restent globalement ré actives
et ne prennent la mesure du risque cyber qu’aprè s un incident ou les recommandations d’un audit.

A noter que la transformation digitale et le risque de vol d’information clients/employés arrivent en

tê te des facteurs conduisant les entreprises mondiales à investir dans la cybersé curité , devant la
conformité rè glementaire.

Dans cette vision comparative, les entreprises mondiales attestent que l’exploitation des dispositifs
mobiles (smartphones, tablettes, etc…) est la principale origine des incidents sur la cybersécurité,
alors qu’au Maroc les origines d’incidents reviennent, en premier lieu aux logiciels malveillants
déployés dans les postes de travail et en second lieu à l’exploitation de l’Homme (ingénierie sociale).

Comme synthèse de l’état actuel. Même si le contexte marocain demeure favorable:

Les établissements bancaires marocains ont encore beaucoup à apprendre pour atteindre un
niveau de maturité acceptable au regard du risque de cybercriminalité à couvrir, surtout pour
les PME ;
Les dispositifs de cybersécurité mis en place dans la majorité des établissements sont
considérés comme réactifs et post incidents ou post audit, rarement proacctifs ;
La cybersécurité continue à être perçue comme une problématique technique et non traitée
au niveau stratégique.

3. Cycle de Renseignement
Étape 1 : Définition des axes prioritaires à surveiller
Le diagnostic de l’état actuel de la cybersécurité au Maroc a illuminé plusieurs points susceptibles
d’être à l’origine des incidents sur la cybersécurité. Sur la base de ce diagnostic nous avons décidé de
se concentrer sur 3 axes prioritaires à surveiller et représentant des sources potentielles du risque
de cybercriminalité. Chaque axe est définit par un couple : Acteur/Thème permettant un meilleur
ciblage d’effort et de traque des informations de valeurs stratégiques (Signaux faibles) :

Axe 1 : Employés / Qualité téchnologique des logiciels

Cet axe présente un risque très important vu les résultats du diagnostic précité attestant que plus de
25% des incidents de cybercriminalité ont pour origine les logiciels malveillants dans les postes de
travail.

Axe 2 : Clients / Manipulation

L’émergence des concepts de “Social Engineering” (ingénierie sociale), du “Phishing” et “vishing”
comme des techniques développées de la fraude via la manipulation en mettant l’Homme en tant que
première occupation nous oblige de surveiller attentivement les comportements et le niveau de
sensibilisation de notre clientèle.

Axe 3 : Etat / Réglementation

La nature de la problématique de la cybersécurité et surtout dans l’activité bancaire exige
d’introduire la dimension réglementaire, la surveillance à ce niveau doit être réalisée sur deux volets
: un volet représentant les exigences de la banque vis-à-vis la loi en matière de protection des
données et informations, et un autre volet concentré sur l’existance et l’efficacité des lois probant la
cybercriminalité.

Étape 2 : Collecte des informations

Au niveau de cette étape, nous avons essayé de suivre pour chaque axe une méthode rétroactive de
traque, de selection et de stockage, généralement de deux sortes d’informations : des informations de
potentiel et des Signaux faibles, selon leur pertinence par rapport au renforcement du notre système
cybersécurité. Dans ce sens nous avons affecté pour chaque axe un “traqueur”.

Axe 1 : Employés / Qualité téchnologique des logiciels

La traque de ce couple acteur/thème est essentiellement une traque terrain via le contact direct avec
notre personnel, ou bien par téléphone avec d’autre employés du secteur bancaire.

En gros, nous avons souligné qu’il y a une certaine incompatibilité entre les déclarations du
personnel de la banque attestant que les logiciels de l’établissement sont généralement adéquats, et
celles des autres employés externes disant que la qualité thechnique et technologique des logiciels
dans leurs postes de travail reste limitée par rapport le défi du risque de cybercriminalité. Cette
divergence entre les déclarations internes et externes nous a obligé de pousser la recherche vers la
comparaison entre nos logiciels et ceux des concurrents, et à l’aide d’une analyse comparative nous
avons constaté au contraire des déclarations, que les logiciels de notre banque ne se diffèrent pas de
ceux de la concurrence.
De plus de la constatation précitée et jugée de valeur stratégique, le traqueur a détecté d’autres
informations de potentiel, notamment :

Les failles historiques de la banque : Si les vulnérabilités historiques sont connues et des
correctifs sont fournis et publiés. L’attaquer peut accéder facilement le système
d’information. Surtout dans le cas où la banque n’a pas procéderà une eventuelle mise à jour
des logiciels.
La possibilité de fuite d’informations confidentielles : causée par le personnel
accidentellement, notamment en discutant les affaires de la banque avec leurs proches.

Axe 2 : Clients / Manipulation

Au niveau de cet axe la traque était,tantôt cédentaire en mettant le point sur la selection des
informations pertinentes notamment en matière d’évolution des méthodes de manipulation
(Phishing et vishing) dans les pays européens susceptibles d’immigrer vers le contexte marocain, et
tantôt terrain à travers le contact avec un nombre représentant de notre clientèle pour évaluer leur
résistance par rapport ces formes de manipulation.

Pour ce qui est de la traque cédentaire, les recherches menées par notre traqueur a permet
d’illuminer plusieurs points concernant les formes modernes de manipulation :

Ingénierie Sociale : Il s'agit ici de manipulation, le fraudeur tente de duper sa victime afin
qu'elle effectue certaines opérations, généralement des transferts d'argent. Il récolte pour ce
faire des noms, des numéros de téléphone directs, des soldes de comptes, des listes de
commandes ou de clients, etc ;
Phishing : Le phishing est une forme spécifique de social engineering qui consiste à aller à la
« pêche » aux données personnelles, principalement par e-mail, afin de pouvoir ensuite
dérober l'argent se trouvant sur un compte bancaire ;
Vishing : Pour faciliter la fraude, les criminels vont jusqu’à appeler leurs victimes par
téléphone pour les « accompagner ».

De plus, le traqueur a réussi d’extirper d’autres informations, notamment :

D’après les incidents qui sont déjà arrivés en Europe, on peut dire que les méthodes de
fraudes ont beaucoup plus évolué, sans même négliger certains films ou séries qui montrent
en détail comment une opération de cybercriminalité peut se réaliser avec toute précision et
réussite, certes les mesure de cybersécurité au Maroc ont resté les mêmes, ce qui peut inciter
plus les fraudeurs à y penser et rendre le secteur bancaire marocain comme la meilleure cible
;
Les banques marocaines ne mettent pas en place des protections tout au long du parcours du
client en surveillant le comportement des utilisateurs et en repérant les anomalies qui
indiquent une fraude.

Axe 3 : Etat / Réglementation

La traque ici était purement cédentaire en effectuant des recherches en matières de l’existance et
l’efficacité des lois régissant l’activité bancaire et en relation avec les défis de cybercriminalité.

Dans ce sens, et en matière de la législation de l’activité bancaire il y a l’article 79 de la loi bancaire

qui stipule que toutes personnes appelées à connaître ou à exploiter des informations se rapportant
aux établissements bancaires sont strictement tenues au secret professionnel dans les termes et sous
peine des sanctions prévues à l’article 446 du code pénal. Ce dernier article dispose que toutes
autres personnes dépositaires des secrets qu’on leur confie, qui, hors le cas où la loi les oblige ou les
autorise à se porter dénonciateurs, ont révélé ces secrets, sont punis de l’emprisonnement d’un mois
à six mois et d’une amende de mille deux cent à vent mille Dirhams.

Concernant les législations en matière de cybercriminalité, la loi n°07-03 complétant le code pénal
sanctionnes toute intrusions non autorisées dans un système de traitement automatisé de données
(STAD).

Étapes 3 : Création collective du sens

Sur la base des informations colléctées qui ont joué un rôle de stimulus, et à travers plusieurs
séances de travail collectif entre tous les membres de la “cellule veille”, nous sommes arrivés à
dessiner 3 scénarios possibles en suivant tantôt une création orientée externe et tantôt orientée
interne.

Scénario 1

Se concentrer sur l’amélioration technologique pour renforcer le système cybersécurité et en même

temps pour lutter efficacement contre les tentatives de manipulation, les actions seront orientées
selon deux pistes :

 Amélioration de l’outil informatiques de la banque surtout en matière des logiciels de travail,

cela doit être accompagné par une formation continue du personnel concentrée sur
l’ingénierie sociale.

 Conclure un partenariat avec la multinationale X spécialisée dans le domaine IT, pour

développer une application spécifique à notre banque. Cette application permettra de
sécuriser toute les transactions de notre clientèle à l’aide d’une verification “Face iD”
demandant de prendre un “selfie” pour valider la transaction, cela après construire une base
de données contenant les photos numériques de tous les clients.

Scénario 2
Travailler sur la dimension externe et mettre la sensibilisation de la clientèle la première occupation
du service marketing en s’engageant dans des compagnes publicitaires évoquant les différentes
formes de manipulation, surtout celles modernes comme le “phishing” et le “vishing”.

Scénario 3
Le cadre législatif et réglementaire évolue pour mieux répondre à la cybercriminalité avec une prise
de conscience relative à la fraude informatique en toute cohérence avec l’instauration des règles
mondiales communes en matière de cybersécurité

Étape 4 : Actions à entreprendre

Pour sécuriser la transformation digitale que la banque envisage d’engager, il faut d’abord réduire au
maximum l’impact de la cybercriminalité sur l’activité de notre banque tout en protègeant notre
clientèle de la manipulation informatique.

Pour ce faire la “cellule veille” recommande de se concentrer sur une vision qui conjointe le Scénario
1 et le Scénario 2, c’est-à-dire orienterl’effort, en même temps, sur l’interne en développant notre
outil technlogique que ce soit pour les logiciels dans les postes de travail de la banque ou pour le
développement de l’application de verification basée “Face iD”. Et sur l’externe en s’engageant dans
des compagnes publicitaires de sensibilisation contre la manipulation.