«NOUS SOMMES LA CLE DE NOTRE PROPRE VULNERABILITE»

 Cet ancien gendarme, devenu expert en cybercriminalité et crimes organisés, revient dans cet entretien sur les contours de ces fléaux.

«La Cybercriminalité découle du concept de fraude de haute technologie, en ce sens que les activités criminelles qui sont engendrées par cette criminalité là sont réalisées avec le support de l’ordinateur et de l’internet mais aussi avec le téléphone intelligent», a confié d’emblée, Mamoudou Ndiaye, qui nous a rendu visite. Spécialiste de la cybercriminalité et du crime organisé, il a expliqué :«Le fait de se mettre à la toile pour travailler, un choix qui n’est pas d’ailleurs discuté puisque maintenant tout le monde se met à la toile, mais il faut savoir comment s’y mettre, sinon vous êtes la clé de votre propre vulnérabilité. Car, le tronc commun de la cybercriminalité est la fraude». «Quels sont les risques de fraudes au niveau interne, au niveau externe ? Quelles sont les mesures préventives ?», interroge cet ancien fonctionnaire expert des Nations Unies, en notant que «ce tronc commun de la cybercriminalité qui est la fraude peut provenir à l’interne, comme de l’externe. Sur le plan interne, moi je l’orienterai au niveau organisationnel». «La cybercriminalité et l’état civil vont de pair» «Dans les risques internes, on a les types de fraudes qui existent dans la cybercriminalité, c’est la manipulation de l’opérateur. Les entreprises sont victimes de leur propre système, parce qu’ils ne mettent pas le contrôle qu’il faut», dit ce gendarme de formation qui insiste sur «le lien entre la cybercriminalité et le crime organisé. Car c’est des données. Parce que,si vous avez l’identité de l’individu, vous pouvez choisir les affinités dans le cadre du crime organisé. Donc la cybercriminalité et l’état civil vont de pair, parce qu’il s’agit des données personnelles».

Selon lui, «la conduite à tenir pour minimiser les dégâts s’articule autour de sept étapes: alerter la sécurité et le département de la gestion de l’information ; sécuriser les preuves ; diligenter une enquête ; informer la clientèle ; atténuer des dommages ; se conformer à la réglementation en vigueur et déterminer les causes profondes». Poursuivant, M. Ndiaye indique : «Si on en vient aux facteurs externes, il faut sortir de l’entreprise pour parler des pirates. Et c’est parce que, je le répète, nous sommes la clé de notre propre vulnérabilité. C’est nous qui manipulons l’ordinateur, c’est nous qui maintenons notre position de vulnérabilité très ouverte. Parce que, quand on se connecte sur des sites qui ne sont pas sécurisés, on va vers la gueule du loup. Car, si vous ouvrez un email ou un site et vous voyez qu’il y a un cadenas qu’on appelle en anglais le (badlock), quand il y a un https, le site est sécurisé. Voilà comment on reconnait un site sécurisé, mais on ne peut pas aller au-delà de ça».

«Quand on se connecte sur des sites qui ne sont pas sécurisés, on va vers la gueule du loup»

D’après lui, «le contenu le plus grave, c’est ce qu’on appelle les appels à la charité. C’est à dire que vous pouvez recevoir un message d’une compagnie téléphonique qui fait appel à la charité. Ça, c’est de l’escroquerie pure et dure. Parce que ça ressemble à la fraude de télémarketing, la fraude des consommateurs». Mamoudou Ndiaye préconise, en outre, que les mesures préventives peuvent être mises à deux niveaux. «Que ce soit pour le pirate qui nous vient de l’intérieur ou de l’extérieur, c’est la formation qui permet de faire face. Il faut sensibiliser les gens, l’individu doit aller à la cherche des connaissances dans ce domaine-là pour savoir reconnaître les pirates, savoir quant est-ce que le site est bon», renseigne-t-il. «Mais il faudra aussi former les employés à accéder aux informations et à leur stockage. Aussi, faire comprendre aux employés de ne jamais enregistrer en ligne les données personnelles, à moins que l’entreprise prenne les mesures nécessaires pour éviter ces genres de pratiques. Pour les utilisateurs, il faut supprimer les courriers électroniques non sollicités. Il ne faut pas aussi utiliser les appareils personnels aux lieux de travail. Parce que votre téléphone n’est pas équipé comme l’appareil de l’entreprise. Ça aussi, c’est des formations que les employés doivent savoir», informe-t-il. Il souligne qu’en dehors de la formation, «le service informatique doit jouer un rôle important pour prévenir ce genre de violation des données personnelles. Il doit empêcher les utilisateurs d’accéder aux sites qui ne sont pas sécurisés et mettre des systèmes de protection pour que les pirates ne puissent entrer».

«La fraude dans notre système judiciaire est comprise dans les manœuvres frauduleuses

S’agissant du système judiciaire du Sénégal, l’ancien fonctionnaire des Nations-Unies dira qu’il n’est pas outillé en matière de cybercriminalité. «La fraude ici on le met dans les faux et usage de faux, c’est des catalogues qu’on donne qui sont parfois difficiles à comprendre, même pour un juriste. Donc, l’approche que nous sommes en train de faire est différente de l’approche du Code pénal. Le faux est un acte trompeur, l’acte peut être positif ou négatif, on le fait dans le but de gagner des avantages personnels. Alors que l’infraction, c’est la violation d’une loi d’un Etat et qui est puni. Donc, la fraude est beaucoup plus subtile que l’infraction», éclaire-t-il. Alertant, il ajoute : «On va vers l’exploitation des ressources pétrolières. C’est déjà beau, mais je crois qu’il faudra se préparer, renforcer certaines institutions dans ce cadre-là. Il y a des activités criminelles qu’il faudra considérer vraiment comme des crimes organisés. Il faut que le crime organisé soit intégré dans le droit positif sénégalais. Parce qu’il ne l’est pas encore et qu’il ne peut pas être remplacé par l’association des malfaiteurs. Avec l’exploitation du pétrole, on peut s’attendre à beaucoup d’autres fraudes qui ont existé dans les autres pays qui ont connu le pétrole. En fait, ce sont les opportunités qui créent les fraudes. Par ce les fraudeurs sont tout le temps en avance sur les autres».