Une exposition croissante

En 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI-CI) a enregistré 12 100 dossiers relatifs à des actes d’incivisme et de cybercriminalité, pour un préjudice total évalué à 6,9 milliards FCFA (contre 8 132 dossiers en 2023). Les entreprises représentent 4 % des affaires traitées par l’ANSSI-CI, mais subissent 48 % du préjudice financier total.

 

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle désigne toute information permettant d’identifier une personne physique, directement ou indirectement (nom, adresse e-mail, adresse IP, photo, données bancaires, données professionnelles, etc.). La numérisation croissante de ces données engendre une masse d’informations particulièrement vulnérables aux cyberattaques.

Pourquoi ces données sont ciblées par les cybercriminels ?

La forte valeur stratégique, économique et émotionnelle de ces données en fait une cible privilégiée pour la cybercriminalité. Les cybercriminels les exploitent principalement à des fins financières : revente sur le « dark web », fraudes bancaires ou extorsion de rançons.

Ces informations leur permettent également de commettre des usurpations d’identité, d’infiltrer des systèmes informatiques ou de personnaliser leurs attaques pour tromper plus facilement leurs victimes. Dans certains cas, les données sont utilisées pour du chantage, du sabotage ou à des fins idéologiques, notamment contre des entreprises ou des institutions publiques lors de cyberattaques.

Moyens utilisés

Les cybercriminels emploient diverses techniques :

- le phishing (faux courriels, appels ou SMS frauduleux, etc.) ;

- les malwares, programmes conçus pour espionner, voler, bloquer ou détruire des données ;

- l’intrusion dans les systèmes (exploitation de failles, vol d’identifiants ou de mots de passe, etc.) ;

- le vol et le détournement de données ;

- l’imitation d’adresses mail, la création de faux profils, etc.

Comment prévenir ces risques ?

De nombreuses entreprises, même celles estimant ne pas manipuler beaucoup de données, sont en réalité exposées (données RH, coordonnées clients, informations internes, etc.). Le comportement humain, plus encore que les failles techniques, est souvent le maillon faible.

La formation et la sensibilisation des employés sont donc indispensables  : reconnaître les tentatives de phishing, les liens ou pièces jointes suspectes, et adopter de bonnes pratiques comme les mots de passe complexes ou l’authentification à deux facteurs (2FA).

Il est aussi crucial de protéger l’infrastructure informatique avec des outils adaptés : antivirus à jour, pare-feu, anti-spam, VPN, mises à jour régulières et sauvegardes automatiques des données sensibles.

Les entreprises doivent établir une politique de sécurité claire, un plan de réponse aux incidents, assurer une veille sur les menaces, et se conformer à la loi n°2013-450 sur la protection des données personnelles, notamment en déclarant leurs fichiers à l’ARTCI.

Enfin, souscrire à une assurance cyber permet de bénéficier d’une assistance spécialisée en cas d’attaque.

Rappelons que la loi n°2013-451, relative à la cybercriminalité, prévoit jusqu’à 5 ans de prison et 10 millions de FCFA d’amende en cas d’infraction.