La cybercriminalité dans la banque : « Quelles précautions à prendre, Et que faire en cas d’intrusion malveillante »
Abdoulaye Amara TOURE
Président AJBEF-MALI/ Juriste banque/ Cyberjuriste
On distingue aujourd’hui la criminalité ordinaire d’une criminalité spécifique qu’on désigne sous le vocable de la cybercriminalité qui s’entend d’un ensemble d’actes humains liés à l’usage des Technologies de l’Information et de la Communication(TIC).
Ainsi, internet génère sa propre délinquance, avec des délinquants qui se reconvertissent au numérique dans la mesure où les risques sont moins importants pour eux et les gains plus élevés que dans la criminalité classique. Par exemple un simple courrier d’un collègue de travail peut capter des informations plus sensibles d’une banque, tels que les fichiers des clients, les remises etc..
Quatre grandes catégories d’infractions peuvent être identifiées :
- Les infractions relatives à la violation de la confidentialité, l’intégrité et la disponibilité des données et des systèmes,
- Les infractions relatives aux falsifications et les fraudes informatiques,
- Les infractions relatives aux atteintes à la propriété intellectuelle et aux droits connexes (copies illégales d’œuvres).
La banque doit donc être consciente de ces différentes formes de délinquance informatique et elle doit connaître les mesures à adopter.
I. LES PRECAUTIONS A PRENDRE
La banque doit avant tout se protéger contre les intrusions informatiques malveillantes via internet ou les messageries.
- L’accès à internet :
La banque peut fixer des conditions et limitées les connections des agents et, préconisés des systèmes de filtrages de sites non autorisés. Généralement deux types d’outils sont déployés pour sécuriser un réseau : les pares-feux et les sondes de détection/ prévention d’intrusion.
Les banques peuvent fixer des limites par un souci de sécurité, telles que les interdictions de télécharger des logiciels, de se connecter à un forum ou d’utiliser « le chat » d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de propagation de virus.
Ces systèmes de protection contre les intrusions numérisées doivent être portés à la connaissance de l’ensemble du personnel de la banque. Ceux –ci doivent connaitre la finalité du dispositif et la durée pendant laquelle les données de connexion sont conservées.
Lorsque la banque met en place un dispositif de contrôle, assorti d’un relevé de connexion ou des sites visités, poste par poste, celui-ci doit être déclaré à l’Autorité de Protection des Données à Caractère Personnel sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.
- Les Messageries électroniques :
Pour prévenir les cyber-attaques, la banque doit mettre en place des outils de contrôle de la messagerie, par exemple les outils de mesure de la fréquence, la taille des courriels et ceux analysants les pièces jointes (détection de virus, filtres, ant-spam destinés à réduire les messages non sollicités).
Mais la mise en place du dispositif de contrôle de la messagerie doit être portée à la connaissance de l’ensemble du personnel de la banque individuellement, et leur précisé la finalité du dispositif,
Il en est de même ; de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées, les modalités d’archivage, la durée de conservation des messages et les conditions d’exercice de leur d’accès. Une fois le dispositif de contrôle mis en place, il doit être déclaré à l’Autorité de protection des données personnelles..
3. La mise en garde du personnel :
L’information du personnel joue un rôle fondamental dans la prévention des attaques du système informatique et dissuade le personnel d’y participer à ce type de délinquance informatique.
Mais cependant, pour être efficace, la mise en garde doit revêtir une forme contraignante, ce qui lui confère un caractère disciplinaire. Sa diffusion doit respecter les procédures internes de la banque.
II. ORGANISATION DES CONTROLES
Il faut dire que la mise en place d’un système de protection ne suffit pas à elle seule, la banque doit pouvoir lancer des investigations en cas de suspicions, de soupçon de cybercriminalité et, déterminer les conditions dans lesquelles celles-ci doivent être menées. Et, tout cela dans le respect des libertés individuelles surtout le respect de la vie privée, tout en se protégeant efficacement.
Si la banque décide de procéder à des investigations, celles-ci doivent être incontestables sur le plan de la preuve, c’est pourquoi, il est conseillé de n’accéder aux données numérisées du personnel qu’en présence de témoin ou d’huissier qui en dressera un procès-verbal constat.
En cas de forts soupçons de cybercriminalité justifié, la banque peut demander au juge l’autorisation d’ouvrir les fichiers et les courriels personnels de l’agent, même hors sa présence
Pour l’usage d’internet, le juge par exemple estime que la banque (employeur) a aussi le droit de surveiller les connexions internet de ses agents grâce à l’historique des sites visités durant le temps de travail à l’aide de l’ordinateur professionnel.
- UTILISATION DES MOYENS DE SURVEILLANCE
En cas de soupçon de cybercriminalité de la part du personnel, la banque peut recourir à des dispositifs de contrôle et de surveillance de son personnel, à conditions que le procédé ne soit pas mis en place à leur insu.
Ainsi, la Direction du Contrôle Interne peut observer le travail au quotidien du personnel, dès lors que cette surveillance est limitée dans le temps de travail et qu’elle ne porte pas atteinte à la vie privée des intéressés. Ce contrôle interne ne constitue pas même en absence d’information et de consultation préalable l’Autorité de protection des données personnelles, un moyen de preuve illicite. S’il y a un cyber alerte, la banque peut lancer immédiatement des investigations internes et fouiller les ordinateurs et portables professionnels du personnel pour y chercher des indices d’attaque :
CONCLUSION
Il est très facile de devenir cybercriminel, quelques clics seulement suffisent, la banque doit aujourd’hui mieux se protéger, y compris à l’égard de son personnel. Mais cela doit se faire dans les règles de droit et les respects des libertés individuelles
Asingya Kule Gratia-Romeo
Merci beaucoup pour la réflexion, vous avez peint une réalité criminelle qui est en vogue.Ne vous limitant pas seulement au constat du problème, vous avez proposé aussi des pistes de solutions.
C’est un apport significatif dans la construction de la science juridique
Merci encore une fois !
KALIEU
Merci beaucoup.