La banque doit avant tout se protéger contre les intrusions informatiques malveillantes via internet ou les messageries.
La banque peut fixer des conditions et limiter les connections des agents et, préconiser des systèmes de filtrages de sites non autorisés.
Généralement, deux types d’outils sont déployés pour sécuriser un réseau : les pares-feux et les sondes de détection/ prévention d’intrusion.
Les banques peuvent fixer des limites par un souci de sécurité, telles que les interdictions de télécharger des logiciels, de se connecter à un forum ou d’utiliser “le chat“ d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de propagation de virus.
Ces systèmes de protection contre les intrusions numérisées doivent être portés à la connaissance de l’ensemble du personnel de la banque. Ceux-ci doivent connaitre la finalité du dispositif et la durée pendant laquelle les données de connexion sont conservées.
Lorsque la banque met en place un dispositif de contrôle, assorti d’un relevé de connexion ou des sites visités, poste par poste, celui-ci doit être déclaré à l’APDP sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire.
Pour prévenir les cyberattaques, la banque doit mettre en place des outils de contrôle de la messagerie, par exemple les outils de mesure de la fréquence, la taille des courriels et ceux analysants les pièces jointes (détection de virus, filtres, anti-spam destinés à réduire les messages non sollicités).
Mais la mise en place du dispositif de contrôle de la messagerie doit être portée à la connaissance de l’ensemble du personnel de la banque individuellement, et leur préciser la finalité du dispositif,
Il en est de même ; de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées, les modalités d’archivage, la durée de conservation des messages et les conditions d’exercice de leur d’accès. Une fois le dispositif de contrôle mis en place, il doit être déclaré à l’APDP.
L’information du personnel joue un rôle fondamental dans la prévention des attaques du système informatique et dissuade le personnel d’y participer à ce type de délinquance informatique.
Cependant, pour être efficace, la mise en garde doit revêtir une forme contraignante, ce qui lui confère un caractère disciplinaire. Sa diffusion doit respecter les procédures internes de la banque.
Il faut dire que la mise en place d’un système de protection ne suffit pas à elle seule, la banque doit pouvoir lancer des investigations en cas de suspicions, de soupçon de cybercriminalité et, déterminer les conditions dans lesquelles celles-ci doivent être menées. Et, tout cela dans le respect des libertés individuelles, tout en se protégeant efficacement.
Un courrier électronique émis ou reçu par un personnel de la banque peut relever du secret des correspondances privées dont la violation est pénalement sanctionnée. Mais les fichiers qui ne sont pas identifiés comme “personnel” sont considérés comme professionnels, donc le service des systèmes d’information peut y accéder librement, y compris en présence de la personne. Par exemple le message dans lequel n’est pas mentionné le terme “personnel” ou “privé”.
Par contre, le fichier classé dans le dossier “personnel” n’est pas accessible à la banque sans l’accord de la personne (l’agent en question).
C’est pourquoi, il est important d’en informer les personnels afin qu’ils différencient leurs courriers professionnels et personnels. Voir un répertoire spécifique dédié au contenu privé.
Si la banque décide de procéder à des investigations, celles-ci doivent être incontestables sur le plan de la preuve, c’est pourquoi, il est conseillé de n’accéder aux données numérisées du personnel qu’en présence de témoin ou d’huissier qui en dressera un procès-verbal constat.
En cas de forts soupçons, de cybercriminalité justifiée, la banque peut demander au juge l’autorisation d’ouvrir les fichiers et les courriels personnels de l’agent, même hors sa présence.
Pour l’usage d’internet, le juge par exemple estime que la banque (employeur) a aussi le droit de surveiller les connexions internet de ses agents grâce à l’historique des sites visités durant le temps de travail à l’aide de l’ordinateur professionnel.
En cas de soupçon de cybercriminalité de la part du personnel, la banque peut recourir à des dispositifs de contrôle et de surveillance de son personnel, à conditions que le procédé ne soit mise en place à leur insu.
Ainsi, la Direction du Contrôle Interne peut observer le travail au quotidien du personnel, dès lors que cette surveillance est limitée dans le temps de travail et qu’elle ne porte pas atteinte à la vie privée des intéressés. Ce contrôle interne ne constitue pas même en absence d’information et de consultation préalable l’APDP, un moyen de preuve illicite.
S’il y a un cyber alerte, la banque peut lancer immédiatement des investigations internes et fouiller les ordinateurs et portables professionnels du personnel pour y chercher des indices d’attaque :
La jurisprudence en France n’admet pas que de telles enquêtes puissent être soumises à l’avis du comité syndical ou délégué du personnel, mais la consultation participe à une diffusion de l’information auprès du personnel et donc à la dissuasion.
Les moyens de surveillance électronique vont permettre de détecter l’existence d’indices de délinquance informatique. Ainsi, le contrôle interne en charge de l’enquête doit se mobiliser pour déployer rapidement des investigations et prendre immédiatement des mesures pour la sauvegarde des intérêts de la banque.
Son objectif est double à ce niveau : préserver immédiatement l’ensemble des outils informatiques et les données qu’ils contiennent et identifier les cybercriminels.
La première chose à faire, s’est d’isoler le secteur attaqué en coupant tout accès à l’internet, les messageries et les ordinateurs susceptibles d’être visés par l’agression numérique. Donc interrompe tous les accès informatiques externes.
La deuxième chose à faire, le contrôle interne en charge de l’enquête doit intervenir auprès du moteur de recherche afin d’en effacer les données sensibles. Mais attention, pendant ce laps de temps, l’activité de la banque doit pouvoir continuer même en partie. On peut réutiliser les supports de communication traditionnels tels que le téléphone fixe, la prise de rendez-vous et la prise de notes papiers.
Le contrôleur doit analyser ensuite les différentes traces laissées par les cybercriminels, étudier l’historique du système informatique afin d’identifier les dysfonctionnements, les failles et les auteurs et complices internes.
Cette méthode d’enquête permet de lister et analyser les processus numériques en cours, afin de cerner les applications suspectes sur le système d’information. Cette phase peut se dérouler souvent sans qu’il soit nécessaire d’organiser une rencontre physique des protagonistes.
Cependant, une fois, le système protégé, les premiers indices relevés, qu’il va être possible de s’entretenir avec le personnel de la banque.
Mais par contre, l’enquête ne doit pas prendre un caractère trop contraignant, rigoureux et formel, au risque d’être assimilée à une sanction disciplinaire.
Par exemple en France, la Cour de Cassation a en effet jugé qu’une demande d’explication écrite faite à un salarié, à la suite de faits considérés comme fautifs, constitue une sanction disciplinaire, dès lors : que l’intéressé avait dû réponde seul et immédiatement, aux questions qui lui étaient posées,
Le procès-verbal, consignant les demandes formulées par l’employeur et les réponses écrites du personnel, avaient été conservées dans son dossier individuel.
Au cours de l’audition du personnel, le contrôleur enquêteur doit être prudent, au vu des éléments rassemblés, une mise à pied à titre conservatoire peut être notifiée à celui sur lequel pèsent des graves soupçons.
Faire intervenir la Brigade d’Investigation judiciaire (Bij) : L’enquête interne permet d’évaluer la gravité de l’attaque ou de l’infraction et son caractère malveillant.
Dès que ceux-ci sont avérés, la banque doit saisir la police en charge des questions de cybercriminalité ou le Procureur du Pôle judiciaire spécialisé. Ces services assurent la surveillance des activités sur internet en cherchant les infractions portant atteinte aux personnes et aux biens, ainsi que les connections ou téléchargements à caractère illicite.
Il est très facile de devenir cybercriminel, quelques clics seulement suffisent, la banque doit aujourd’hui mieux se protéger, y compris à l’égard de son personnel. Mais cela doit se faire dans les règles de droit et les respects des libertés individuelles.
Abdoulaye Amara Touré
Président AJBEF-MALI
Juriste banque
Cyberjuriste
L’article est intéressant. Néanmoins l’hypothèse retenue par l’auteur est assez rare voir anecdotique dans l’histoire de la cybercriminalité particulièrement bancaire. Les attaques proviennent en effet plus des tiers que des salariés en interne. Pour la jp de la Cour de cassation en matière disciplinaire, une mise à jour s’impose.
…C EST BIEN DE CHERCHER LES CYBER CRIMINELS ..
IL Y A BIEN PIRE A BAMAKO ..
EN TOUT CAS …. NOUS , BIEN QU AYANT GAGNE NOTRE PROCES AVEC BHM SA REMPLACEE PAR BMS SA …APRES 7 ANS OU NOS AVOCATS N ONT PU APPARAITRE A ABIDJAN , CE QUI VAUT D AILLEURS A L ANCIEN PRESIDENT DE LA CCJA DE SE RETROUVER DEVANT UN JUGE SUR PLAINTE DE LA MEME CCJA …
JE DISAIS DONC QUE NOUS AVONS ENFIN GAGNE , MALGRE TOUTE LA MELASSE ET L ARGENT DEPENSE PAR L AVOCAT DE BHM SA …QUI SUIT MAINTENANT L AFFAIRE POUR BMS SA ..
…REVENONS A L AFFAIRE A BAMAKO ..
Voila le détail de ce que la Banque n’a jamais pu justifier sur les écritures qu’elle a portée au débit de notre compte :
Agios : 1 849 millions
Cheques :127 millions
Commissions : 298 millions
Débours :117 millions
Opérations diverses :416 millions
Pièces douteuses :1 142 millions
Régularisations : 8 396 millions
Remboursements : 327 millions
Transferts : 12 millions ……………….
total des dépenses non justifiées par BHM-Sa sur les relevés de comptes émis par elle :
12 688 millions , soit 12 ,688 milliards !
Résultat des comptes de l’expertise, Balance : la BHM-Sa nous doit 1,707 milliards ( en 2009) .
(Non compris les dommages et interets ,etc ….
L AFFAIRE A ETE PORTEE DEVANT LA CCJA A ABIDJAN LE 19 OCTOBRE 2010 …
ELLE A ETE JUGEE IRRECEVABLE PAR DEUX FOIS …CE QUI VAUT A L EX PRESIDENT DE LA CCJA …DE SE RETROUVER MAINTENANT DEVANT UN JUGE SUR PLAINTE DE LA MEME CCJA …
ET MAINTENANT , L AFFAIRE A ETE JUGEE …LE 14 MARS 2019 …
…ET LE RESULTAT DONNE PAR LES EXPERTS EN 2008 A ETE REDONNE EN 2019 …EXACTEMENT LE MEME …1, 707 MILLIARD …+ LES INTERETS …
MAINTENANT C EST DONC EN DEFINITIVE 23 MILLIARDS QUE DOIT BMS SA ..+ …+ ….
ET CURIEUSEMENT , ALORS QUE BEAUCOUP DE GENS SAVENT ET CONNAISSENT LES COUPS DE MAITRE BASSALIFOU SYLLA ..QUI SOIT DIT EN PASSANT A FAIT SAISIR LES HALLES DE BAMAKO ALORS QU IL SAIT TRES BIEN QUE LES HALLES DE BAMAKO N ONT JAMAIS APARTENU A LA SOCIETE A LAQUELLE IL LES A SAISIES … ( JE LUI AI FAIT REMETTRE LE 22 AOUT 07 L ACTE DE PROPRIETE DES HALLES PAR HUISSIER ) ET LE LENDEMAIN A LA BANQUE …DONC ..LA BMS SA ..HERITIERE DE BHM SA DEVRA EGALEMENT LES HALLES … ( ! ) ….
…EH BIEN MAITRE BASSALIFOU SYLLA … AVOCAT … ( ! ) SE SERAIT ENCORE DEBROUILLE AVEC SA SOEUR DEVENUE MINISTRE DU BUDGET POUR “”ENGAGER”” …ET CERTAINEMENT A L INSU DU GOUVERNEMENT … L ETAT DANS DES TENTATIVES DE REGLEMENTS AMIABLES DE L AFFAIRE …ALORS QUE L ETAT N A RIEN A VOIR DANS LE TRAITEMENT D AFFAIRES COMMERCIALES !
ET LE PIRE …
C EST QUE SELON LA BANQUE …SEPT MILLIARDS AURAIENT ETES SORTIS A CES FINS !
…EXTRAORDINAIRE NON ?
Comments are closed.