La microfinance africaine est encore peu cyber-résiliente

Le marché mondial de la microfinance pèse lourd : évalué à environ 187 milliards de dollars (168 milliards d’euros) en 2022, il devrait dépasser 488 milliards de dollars (438 milliards) d’ici 2030. Par définition, la microfinance est un service bancaire fourni à des micro-entrepreneurs ayant besoin d’un soutien économique pour lancer leur activité. Considérés comme trop risqués par les banques traditionnelles, ils n’ont pas accès aux services financiers.

La majorité des opérations de microfinancement a lieu dans des pays en développement. En Afrique, « seuls 10 ou 15% des 1,3 milliard d’habitants sont bancarisés », estime Jean-Louis Perrier, directeur de programmes de l’Africa Cybersecurity Resource Centre (ACRC). Fondé en 2020, l’ACRC se consacre à la création d’un groupe de travail d’experts africains visant à fournir des services de cybersécurité et de partage d’informations, à échelle mondiale, en matière de microfinance. C’est un consortium à but non lucratif de partenaires publics et privés établis au Luxembourg et en Afrique, rassemblant plus de 365 experts de haut niveau.

Objectif : protéger le secteur (services financiers, fournisseurs de services numériques, banques centrales, régulateurs, superviseurs…) et ses clients, et de contribuer à la stabilité et l’inclusion financière sur le continent. Pour Jean-Louis Perrier, la grande majorité des acteurs financiers est loin d’être cyber-résiliente. Et les cyber risques auxquels ils sont confrontés pourraient mettre en péril l’inclusion financière des populations.

Dans un entretien accordé à inCyber, il dresse un état des lieux des déficits et défis cyber de la microfinance africaine et revient sur les solutions préconisées par l’ACRC pour y remédier.

À quels défis cyber les organismes de microfinance sont-ils confrontés ?

Jean-Louis Perrier : Aux mêmes problèmes de cybersécurité que les banques. Car gérer les dépôts de personnes moins riches ne protège pas des cyberattaques. Ces entités ont un niveau de défense encore très insuffisants et un degré de maturité très faible voire extrêmement limité. Et peu s’intéressent à la cybersécurité. Les dépenses dans ce domaine sur le continent africain sont d’environ 1,4 à 1,5 milliard de dollars (1,25 à 1,34 milliard d’euro) par an. C’est ce que déboursent chaque année les quatre premières banques américaines.

Les services et solutions financières doivent donc être robustes. Car si les organismes de microfinance octroient des prêts de petits montants, ils comptent en moyenne plus d’un million de clients. Ils restent donc des acteurs systémiques. Et si ces millions de clients perdent leurs économies, leurs espoirs dans la finance inclusive disparaît.

Quelles sont les cyberattaques les plus courantes dans ce domaine ?

Jean-Louis Perrier : La plupart portent sur les comptes clients, en tout cas dans le secteur financier : vols, détournement d’argent par ransomware ou transactions frauduleuses. Les fraudeurs proposent des faux prêts sous un faux nom aux populations qu’ils se font ensuite rembourser. Il s’agit d’une criminalité organisée et internationale.

Quels sont les déficits cyber majeurs de cet écosystème ?

Jean-Louis Perrier : Il existe très peu de soutien institutionnel national comme nos CERT nationaux. Le continent n’en compte qu’une quinzaine. Et leur efficacité réelle reste encore à un stade de développement peu mature voire embryonnaire. Le premier vrai défi est le manque de ressources financières. Comme il y peu d’argent en jeu et comme la sensibilisation à la cybersécurité est faible, les organismes de microfinance n’investissent pas dans ce domaine.

Le deuxième défi réside dans le manque de ressources humaines. Il existe environ 10 000 experts en cybersécurité en Afrique, alors qu’il en faudrait 300 000. En comparaison, les États-Unis en comptent environ 700 000 avec environ de 300 000 postes ouverts.

Dans ce contexte, difficile de progresser durablement si un énorme effort n’est pas mené pour renforcer les capacités existantes et pour mettre en place des cursus de formation professionnelle, d’éducation supérieure et de doctorants. L’objectif étant de créer des nouveaux profils d’experts qui deviendront ensuite des enseignants de Master par exemple. Toute une ingénierie est donc à mettre en place.

Quelles sont les solutions prioritaires pour pallier ces déficits ?

Jean-Louis Perrier : La première porte sur le développement des capacités et d’éducation, un point très important. La seconde est la sensibilisation de tout cet écosystème : accompagner 3 à 4 000 institutions financières sur 54 pays est un défi considérable en soi.

Le troisième axe concerne le partage d’informations et de bonnes cyber-pratiques. Aujourd’hui, les acteurs financiers communiquent peu entre eux et sont donc assez isolés face aux cyber risques. Leur intérêt serait pourtant de partager ces informations, notamment sur les tentatives d’intrusion des pirates informatiques, leur mode opératoire et sur la façon dont la tentative a pu être détectée et déjouée.

Quelle est l’approche de l’ACRC face à ces déficits ?

Jean-Louis Perrier : Rendre les institutions africaines plus matures en apportant des compétences en cybersécurité. Nous développons pour cela un partenariat avec des associations professionnelles de la microfinance, de la micro-assurance et des FinTech.

Nous nous intéressons en priorité à l’Afrique de l’Ouest, centrale et de l’Est. Mais notre vocation est de couvrir, à terme, l’ensemble du continent.

L’ACRC est absente du Cyber Africa Forum mais organise sa propre conférence. De quoi s’agit-il ?

Jean-Louis Perrier : L’ACRC est une association à but non lucratif. Notre conférence annuelle propose des sujets orientés sur la cyber-résilience. Elle vise à développer une communauté africaine de cybersécurité pour le secteur financier. La prochaine se tiendra à Lomé au Togo en octobre 2023, durant la semaine africaine de la microfinance.