Le projet de cybersécurité, de développement des capacités et d'inclusion financière, ou Cyberfi, rassemble une communauté robuste et transparente de praticiens et de chercheurs travaillant sur l'inclusion financière numérique.Cette série se concentre sur la compréhension des écosystèmes d'inclusion financière à leurs propres termes - ce que font les pays, ce qui fonctionne et ce qui n'est pas.Six études de cas de pays aident à saisir la diversité des marchés financiers sur le continent africain: Afrique du Sud, Nigéria, Cameroun, Ouganda, Ghana et Zimbabwe
Introduction
L'écosystème financier numérique nigérian a connu une croissance remarquable au cours des dernières années.Selon McKinsey, le Nigéria abrite plus de 200 organisations fintech, sans compter les solutions fintech fournies par les banques et les opérateurs de réseaux mobiles.1 New service providers range from mobile money operators and payment service providers to fintech firms and other financial services providers, a trend that is increasing the need to ensure consumer security and trust.Ces services sont livrés avec de nombreux composants numériques importants, notamment des applications mobiles, des jetons numériques, des données de service supplémentaires non structurées et des livres numériques, qui impliquent tous des vulnérabilités potentielles.Il est de plus en plus important que le secteur financier du pays priorise la cybersécurité car il s'agit du secteur le plus ciblé pour les cyberattaques.2
Elizabeth Kolade
Elizabeth Kolade is a Nigeria-based multidisciplinary cybersecurity professional with experience spanning the private sector, gouvernementernment service, and nonprofits. She is adept at helping organizations make sound decisions on risk management, policy development and implementation, forestalling cyber attacks, and handling and recovering from cyber incidents.La Banque centrale du Nigéria (CBN) est le principal régulateur national des services financiers, chargé de superviser et d’administrer les règlements sur la politique monétaire et le secteur financier du gouvernement fédéral.Il émet des licences aux banques et autres institutions financières.Le CBN, conformément à ses pouvoirs réglementaires et ses fonctions de surveillance en vertu de sa loi sur l'établissement (la loi CBN) et de la loi sur les banques et autres institutions financières, a pris des mesures saillantes pour réglementer cet espace en s'efforçant de renforcer les défenses de la cybersécurité des banques et des institutions non financières.
Les instruments à le faire comprennent des documents tels que le cadre de cybersécurité basé sur les risques et les directives pour les banques de dépôt en argent et les fournisseurs de services de paiement, le cadre de cybersécurité basé sur les risques et les directives pour d'autres institutions financières (OFI), le cadre réglementaire des services de monnaie mobile au Nigériaet le cadre du système de paiement du système de paiement nigérian et de la sécurité de l'information.3 The CBN also collaborates with relevant stakeholders such as the Securities and Exchange Commission to develop market regulations for cryptocurrencies and the Nigerian Communications Commission—the telecommunications sector’s regulator—to regulate mobile money operations.
La cybersécurité est un pilier crucial dans la politique et la stratégie nationales de l'économie numérique du Nigéria, qui décrit une vision de la diversification de l'économie du pays.4 The 2021 Nigerian National Cybersecurity Policy and Strategy (NCPS) identifies the banking, finance, and insurance sector as one of its thirteen critical information infrastructure sectors.5 The NCPS presents the Nigerian gouvernementernment’s approach to protecting these kinds of critical information infrastructure.Les PNF, comme indiqué au chapitre 6.2, vise également à protéger l’économie numérique du Nigéria en renforçant le cadre juridique et réglementaire du pays et en harmonisant la législation liée aux entreprises électroniques et aux protections des consommateurs en ligne entre autres sujets.
Le CBN a créé le Département de la protection des consommateurs en avril 2012 pour développer et mettre en œuvre un cadre efficace de protection des consommateurs et promouvoir la confiance des consommateurs dans le système financier.Le département remplit trois fonctions principales, à savoir la gestion des plaintes, la conduite et le développement du marché et l'éducation des consommateurs et la littératie financière.De plus, en janvier 2019, la National Information Technology Development Agency a publié le Règlement du Nigéria sur la protection des données visant à protéger le droit des Nigérians à la confidentialité, à favoriser le bon environnement pour les transactions numériques, à créer des emplois et à améliorer les pratiques de gestion de l'information au Nigéria au Nigéria.
La diversité de l'espace financier numérique du Nigéria
L'espace financier numérique du Nigéria est fourni avec une gamme de produits financiers numériques, de services et de prestataires de services (voir figure 1).6 It features more than thirty deposit money banks, about 200 fintech firms, more than 900 microfinance banks, and numerous other financial institutions.L'enquête sur les services financiers du Nigéria 2020 par une organisation appelée améliorer l'innovation financière et l'accès rapporte que 45% de la population adulte du Nigéria utilise des banques et que 33% utilisent des services financiers informels tels que les groupes d'épargne, les associations villageoises et les coopératives.7 The CBN recognizes informal payment systems as drivers of financial inclusion and the need to incorporate these tools into formal systems.
Historiquement, le CBN Framework sur Mobile Money Services au Nigéria a bloqué les opérateurs de réseaux mobiles tels que MTN Nigeria et Airtel Africa, d'opérateurs de l'argent mobile, même s'ils sont des principaux fournisseurs d'infrastructures.En novembre 2021, cependant, le CBN a émis une approbation en principe de MTN Nigeria et Airtel Africa pour exploiter les banques de services de paiement.8 They are allowed to provide financial services to Nigeria’s unbanked population through subsidiaries, which they are required to set up.Bien que similaires aux banques traditionnelles, ces prestataires de services ont une licence qui les empêche de s'engager dans le risque de crédit et de mener des opérations de change.
Le 25 octobre 2021, le gouvernement nigérian, par le biais de la CBN, a dévoilé la monnaie numérique de la banque centrale du Nigéria, connue sous le nom d'Enaira.9 The eNaira serves as both a medium of exchange and a store of value, offering better payment prospects in retail transactions compared to cash payments.Sa fonction prévue est de donner aux clients des outils de trading rapides, sûrs et simples pour des transactions financières.
Son lancement a cependant provoqué des réactions mitigées des Nigérians.Alors que certificatains ont applaudi l'initiative, d'autres ont remis en question sa nécessité et si des efforts suffisants ont été consacrés à la sensibilisation du grand public.À peine quarante-huit heures après le lancement et un appel aux citoyens à utiliser la plate-forme d'Eaira, l'application a soudainement disparu de Google Play au Nigéria, ce qui augmente le scepticisme parmi les utilisateurs.L'application a finalement été restaurée, et le CBN a expliqué plus tard qu'il avait disparu car il devait subir un peu de maintenance.10 Early users of the platform complained of glitches and raised concerns about why the platform was asking them to input details on their existing bank accounts.La nécessité de créer un lien vers les comptes bancaires existants montre également que la plate-forme d'Enaira ne dessert pas encore la population non bancarisée du Nigéria.11
Un instantané des cadres de réglementation des cyber-financiers du Nigéria
Une augmentation du nombre et de la sophistication des menaces ciblant les banques monétaires de dépôt, les fournisseurs de services de paiement et les institutions financières en général ont conduit à la promulgation du cadre de cybersécurité basé sur les risques du CBN et des directives pour les banques de dépôt et les fournisseurs de services de paiement.Les directives, qui sont entrées en vigueur le 1er janvier 2019, décrivent les exigences minimales pour améliorer la cybersécurité des banques et des prestataires de services de paiement afin qu'ils restent résilients et cherchent de manière proactive à sécuriser leurs actifs d'information critiques et leurs informations sur les clients en ligne.12 This document also outlines the responsibilities of various entities within deposit money banks and payment service providers to achieve this goal.Le cadre, entre autres directives, les ordonne d'intégrer la cybersécurité dans leurs fonctions commerciales et les processus globaux de gestion des risques.Il dirige également les banques d'argent de dépôt et les fournisseurs de services de paiement pour effectuer des évaluations régulières des risques, des évaluations de vulnérabilité et une analyse des menaces pour détecter et évaluer les risques de leurs actifs d'information et déterminer la pertinence des contrôles de sécurité pour la gestion de ces risques.Ces institutions sont également tenues d'évaluer leur posture de cybersécurité et de travailler à la réalisation d'un profil de cybersécurité cible comme indiqué dans le cadre.
Le projet de version du cadre de cybersécurité basé sur les risques et des directives pour d'autres institutions financières a été publiée le 13 août 2021 pour des commentaires du public et des commentaires.Il vise à aider à prévenir et à lutter contre les cybercrimes dans le sous-secteur OFI, à promouvoir l'adoption et la mise en œuvre des meilleures pratiques de cybersécurité, à créer un environnement de cybersécurité plus sûr et plus sûr pour soutenir les opérations de l'OFI et, finalement, promouvoir et maintenir la confiance du public dans l'OFI Subsctory.13
Le cadre du système du système de paiement nigérian et de la gestion de la sécurité de l'information aborde le risque de sécurité de l'information entre autres.Ce cadre dirige les fournisseurs de services de paiement et les opérateurs pour mettre en œuvre des politiques de sécurité de l'information conformément aux normes ISO 27001 sur la gestion de la sécurité de l'information et pour assurer la confidentialité, l'intégrité et la disponibilité de toutes les informations, systèmes et réseaux essentiels au succès opérationnel.Il ordonne également aux fournisseurs de services de paiement de procéder à des évaluations annuelles de la sécurité de l'information, y compris des tests de pénétration et des évaluations de vulnérabilité, afin de garantir la sensibilisation et la mise en œuvre d'étapes adéquates pour résoudre les problèmes actuels et continus.
La confiance des consommateurs est essentielle dans les services financiers, et il est donc important que les prestataires de services gagnent non seulement une telle confiance, mais s'efforcent également de le conserver.Grâce à son département de protection des consommateurs, le CBN a publié le Règlement sur la protection des consommateurs, qui ordonne à toutes les institutions financières d'élaborer des politiques internes afin de se conformer aux efforts réglementaires pour renforcer la confiance des consommateurs dans l'industrie des services financiers et promouvoir la stabilité, la croissance et l'innovation financières.14 Clause 3.2.6 Dans la deuxième partie du Règlement sur la protection des consommateurs, oblige les banques à répondre aux demandes des clients dans les cinq jours ouvrables suivant la réception des demandes et la clause 5.4 Dans la partie, la quatrième partie met en évidence les mesures visant à assurer la protection et la confidentialité des utilisateurs.En conséquence, le règlement du Nigéria sur la protection des données, émis et appliqué par la National Information Technology Development Agency, prévoit des dispositions pour les droits des consommateurs des sujets de données, de la sécurité des données et de la conduite sûre des transactions impliquant des données personnelles.15
L'article 19 (3) de la loi de 2015 sur les cybercrimes (interdiction, prévention, etc.) fait une forte déclaration pour les institutions financières pour lutter contre la fraude dans le but de protéger les informations sur les consommateurs.16 Additionally, Sections 30 and 33–36 of the act outline guidelines and related sanctions for abuse of electronic transactions and related fraud.Les articles 37 à 40 mettent en évidence les fonctions des institutions financières pour identifier leurs clients, conserver des dossiers et protéger les données des clients, entre autres.Certaines de ces tâches incluent l'application des principes de votre client avant d'exécuter des transactions électroniques et de vérifier les identités des clients.17 These sections also outline penalties for individuals or organizations who fail to verify the identity of a customer before executing electronic instructions and for unauthorized debits and a failure to reserve such debits within the specified period.Dans le cadre des mesures conçues pour garantir la responsabilité et atténuer les menaces, l'article 21 de la Loi exige que les opérateurs de systèmes informatiques ou de réseaux, soient publiques ou privés, pour signaler les incidents au centre national de coordination de l'équipe d'intervention d'urgence informatique pour une action appropriée.Les banques et les OFI sont également tenus d'avoir une résilience opérationnelle pour aider à réduire la cybercriminalité et à renforcer les défenses de cybersécurité dans le secteur financier.
Grâce aux PCN, le Nigéria s'efforce en outre de créer un environnement en ligne sûr, résilient et de confiance par les utilisateurs et les entreprises à l'intérieur et au-delà de ses frontières.Une économie numérique florissante pour le Nigéria signifierait un environnement numérique transformé et convivial où la sécurité des informations personnelles et sensibles est assurée;La sécurité des activités en ligne est garantie;et les droits des utilisateurs, des entreprises et des fournisseurs de services sont protégés.Cela peut être réalisé lorsque la confiance et la confiance sont construites.La force de tout système ou institution financière est dans la confiance et la confiance que les clients et les gens ordinaires y placent;Ainsi, il est essentiel que les systèmes et les institutions gèrent correctement les risques et les défis auxquels ils sont confrontés.18
Toutes ces directives, cadres et réglementations ont décrit les mesures destinées à garantir un environnement numérique sûr et sécurisé afin que les citoyens nigérians puissent utiliser efficacement et systématiquement des outils en ligne, y compris les services financiers.Une tendance importante à la mise en œuvre peut être observée dans le secteur financier.Bien que les organisations soient à différents niveaux de mise en œuvre de mesures de cybersécurité, les fournisseurs de services financiers numériques et les banques ont désormais des équipes, des unités ou des départements de cybersécurité, et le CBN fonctionne activement comme l'agence principale du secteur financier.Le CBN abrite également l'équipe d'intervention d'urgence informatique sectorielle pour identifier et répondre aux risques, menaces et tendances impliquant le secteur financier.
Même avec toutes ces mesures, les consommateurs manquent toujours de confiance dans ces institutions, en particulier les banques commerciales.Malgré l'existence du Département de la protection des consommateurs et des bureaux d'aide, par exemple, certificatains clients ont plutôt recours à des entités privées en cas de litiges financiers avec les banques.Une conversation avec une entité privée individuelle qui aide les clients à rechercher Redress a révélé que, depuis qu'il a commencé à travailler sur des incidents, le Département de la protection des consommateurs n'a jamais répondu aux e-mails ou plaintes signalés via son adresse e-mail officielle, malgré son copiation sur la correspondance avec les banques.19 However, banks seem to be responsive and take action when the Consumer Protection Department is copied in such email correspondence—a signifier of banks’ compliance with legal provisions.Un représentant CBN a déclaré que 22 173 plaintes, soit 94% du total des plaintes, des clients de la banque avaient été résolus en juin 2021.Selon ce représentant, «le CBN a [également] veillé à ce que les banques aient [un] remboursement d'un total de 89.2 milliards [naira] à divers clients en fonction des plaintes résolues, depuis 2012.”20
Bien que les consommateurs présentent une faible confiance dans les banques de brique et de mortier, il semble que les utilisateurs de services financiers préfèrent s'en tenir aux nouvelles incertificatitudes familières que fortuites.Les tentatives de fraude et de phishing fréquentes, les frais peu clairs, les frais cachés et les mauvais antécédents sur les litiges de réparation ont également un impact direct sur la décision des clients d'utiliser les services financiers numériques, selon une récente enquête sur la protection des consommateurs dans le pays.21 These perceived threats may also be responsible for Nigerian customers having reservations about readily adopting emerging digital financial service products.D'autres ont également décidé de ne jamais posséder de carte ATM ou d'activer les services bancaires numériques en raison d'expériences personnelles ou de comptes d'occasion d'escroqueries.
Bien qu'il y ait eu des progrès significatifs au Nigéria pour renforcer la cybersécurité traditionnelle (en particulier pour les services financiers numériques), il existe également des défis notables.Il s'agit notamment de défaillances répétées pour signaler les incidents de cybersécurité, la capacité inadéquate des équipes de cybersécurité dans les institutions financières et les faibles niveaux de conscience des consommateurs, qui affectent tous directement et indirectement la confiance et la confiance des consommateurs dans ces systèmes.22 Such challenges can be tied to the need to better gauge how cybersecurity guidelines, frameworks, and regulations in the financial sector are being implemented.
Une voie à suivre
Le secteur financier nigérian a fait des progrès louables pour améliorer la résilience de la cybersécurité dans les services financiers numériques.Cependant, il faut faire davantage pour mettre en œuvre efficacement ces instruments associés pour améliorer et conserver la confiance et la confiance des consommateurs dans l'écosystème des services financiers numériques du pays.Certains domaines d'amélioration sont décrits ci-dessous.
Remarques
1 Topsy Kola-Oyeneyin, Mayowa Kuyoro, and Tunde Olanrewaju, “Harnessing Nigeria’s Fintech Potential,” McKinsey, September 23, 2020, https://www.McKinsey.com / insights en vedette / moyen-oriental et africa / exploitation-Nigéria-potentiel-potentiel.
2 Limor Kessem, “Threat Actors’ Most Targeted Industries in 2020: Finance, Manufacturing and Energy,” Security Intelligence, March 31, 2021, https://securityintelligence.com / poteaux / menace-acteurs-ciblées-industries-2020-finance manufacturing-Energy.
3 “Risk-Based Cybersecurity Framework and Guidelines for Deposit Money Banks and Payment Service Providers,” Central Bank of Nigeria, June 25, 2018, https://www.cbn.gouvernement.ng / out / 2018 / bsd / risque% 20 basé% 20 cybersécurité% 20framework% 20 exposition% 20Draft% 20 juin.PDF;«Cadre de cybersécurité basée sur les risques et directives pour d'autres institutions financières», Banque centrale du Nigéria, 13 août 2021, https: // www.cbn.gouvernement.ng / out / 2021 / ofisd / exposition% 20Draft% 20of% 20the% 20-basés sur le% 20cyber-security% 20framework_august% 202021% 20pdf.PDF;«Cadre réglementaire pour les services monétaires mobiles au Nigéria», Banque centrale du Nigéria, juillet 2021, https: // www.cbn.gouvernement.ng / out / 2021 / ccd / framework% 20and% 20guilines% 20on% 20mobile% 20money% 20Services% 20in% 20nigeria% 20-% 20 juillet 202021.PDF;et «Nigérian Payments System System Risk and Information Security Management Framework», Central Bank of Nigeria, 2020, https: // www.cbn.gouvernement.ng / out / 2020 / psmd / nigérian% 20payments% 20Système% 20Risk% 20and% 20Informations% 20security% 20MANSHIGATION% 20framework.pdf.
4 “National Digital Economy Policy and Strategy (2020 – 2030),” Nigerian Federal Ministry of Communications and Digital Economy, https://www.NCC.gouvernement.ng / docman-main / industrie-statistique / politiques-rapports / 883-national-numérique-économie-policy-and-strategy / fichier.
5 “National Cybersecurity Policy and Strategy,” Nigerian Government, February 2021, https://certificat.gouvernement.ng / ngcertificat / ressources / national_cybersecurity_policy_and_strategy_2021.pdf.
6 “List of Deposit Money Banks as at September 30, 2021,” Central Bank of Nigeria, September 30, 2021, https://www.cbn.gouvernement.NG / OUT / 2021 / FPRD / Deposit% 20Money% 20banks% 20300921.PDF;Kola-Oeneyin, Kuyoro et Olanrewaju, «exploiter le potentiel fintech du Nigéria»;«Liste des institutions financières - banques de micro-finances», Banque centrale du Nigéria, https: // www.cbn.gouvernement.ng / supervision / inst-mf.aspicicic;et «Institutions financières», Banque centrale du Nigéria, https: // www.cbn.gouvernement.ng / supervision / finstitions.aspicic.
7 “EFInA Access to Financial Services in Nigeria 2020 Survey Report,” Enhancing Financial Innovation and Access, June 3, 2021, https://a2f.NG / WP-CONTENT / Télécharges / 2021/06 / A2F-2010-Final-Report.pdf.
8 Uto Ukpanah, “The Central Bank of Nigeria Grants Approval in Principle for the Proposed Momo Payment Service Bank Limited,” MTN Nigeria Communications, November 5, 2021, https://doclib.ngxgroup.com / financier_newsdocs / 34548_mtn_nigeria_communications_plc% 20the_central_bank_of_nig.PDF;Simon O’Hara, «Approbation en principe pour la licence de banque de service au Nigeria», Airtel Africa, 5 novembre 2021, https: // doclib.ngxgroup.com / financial_newsdocs / 34549_airtel_africa_plc% 20approval_in_principle_for_payment_se.pdf; Adegoke Oyeniyi, “MTN and Airtel Get “Approval in Principle” to Launch Mobile Money Services in Nigeria,” Tech Cabal (blog), November 5, 2021, https://techcabal.com / 2021/11/05 / mtn-and-ael-get-approval in-princeple-to-launch-mobile-mony-service en-Nigeria.
9 Osita Nwanisobi, “President Buhari To Unveil eNaira on Monday, 25 October 2021,” Central Bank of Nigeria (press release), October 23, 2021, https://www.cbn.gouvernement.ng / out / 2021 / ccd / enaira% 20LaUnch% 20press% 20release% 20% 20231021.pdf.
10 Ogochukwu Anioke, “Breaking: Why e-Naira Went Missing on Google Playstore, by CBN,” Nation Online, November 2, 2021, https://thenationonlineng.net / rompre-why-e-naira-went-missing-on-google-playstore-by-cbn.
11 Nzekwe Henry, “The Inside Story of How Nigeria’s eNaira Digital Currency Vanished for 24 Hours,” WeeTracker, November 2, 2021 https://weetracker.com / 2021/11/02 / Nigeria-enaira-glitches.
12 “Risk-Based Cybersecurity Framework and Guidelines for Deposit Money Banks and Payment Service Providers,” Central Bank of Nigeria.
13 “Risk-Based Cybersecurity Framework and Guidelines for Other Financial Institutions,” Central Bank of Nigeria.
14 “Consumer Protection Regulations,” Central Bank of Nigeria, December 20, 2019, https://www.cbn.gouvernement.ng / out / 2019 / ccd / cbn% 20Consumer% 20Protection% 20RÉGULATIONS.pdf.
15 “Nigeria Data Protection Regulation,” Nigerian National Information Technology Development Agency, January 25, 2019, https://ndpr.nitda.gouvernement.ng / contenu / doc / nigeriadataprotectionreglement.pdf.
16 “Cybercrimes (Prohibition, Prevention, Etc) Act, 2015,” Nigerian Computer Emergency Response Team, https://www.certificat.gouvernement.ng/ngcertificat/resources/CyberCrime__Prohibition_Prevention_etc__Act__2015.pdf.
17 James Chen, “Know Your Client (KYC),” Investopedia, April 17, 2021, https://www.investigation.com / termes / k / knowyourclient.aspicic.
18 Oludare Senbore, “CBN Issues Draft Guidelines to Address Cybersecurity in Financial Sector,” Aluko and Oyebode, December 2018, https://web.archive.org / web / 20210422104648 / https: // www.Aluko-Oyebode.com / insights / cbn-issues-draft-guidelines-to-address-cybersecurity-in-financial sector /.
19 Author interview with private individuals who assist consumers with financial disputes seeking redress (via Zoom), November 3, 2021.
20 Catherine Agbo, “Bank Customers Get N89bn Refund on Failed Transactions in 9 Years – CBN,” Twenty-First Century Chronicle, August 6, 2021, https://21stcenturychronicle.com / Banks-Customers-get-n89bn-refondu-onde-transactions en 9 ans-CBN.
21 William Blackmon, Rafe Mazer, and Shana Warren, “Nigeria Consumer Protection in Digital Finance Survey,” Innovations for Poverty Action, March 2021, https://www.révolutionnaire.org / sites / par défaut / files.pdf.
22 Abubakar Idris, “Why Some of Nigeria’s Worst Cyberattacks Are Not Reported,” Tech Cabal (blog), July 21, 2020, https://techcabal.com / 2020/07/11 / pourquoi-des-Nigériars-worst-cyberattaques-n'est pas signalé.
23 “Fraud in the Nigerian Financial Services,” (2nd edition), Nigerian Inter-Bank Settlement System, https://nibss-plc.com.ng / média / pdfs / post / nibss% 20Insights% 20fraud.pdf.
24 “CBN, Stakeholders Launch Cybersecurity Campaign #NoGoFallMaga,” Punch, July 20, 2021, https://punchng.com / cbn-takevolers-launch-cybersecurity-campaign-nogofallmaga.
25 Tim Maurer, Kathryn Taylor, and Taylor Grossman, “Cyber Resilience and Financial Organizations: A Capacity-building Tool Box” Carnegie Endowment for International Peace, December 2020, https://carnegieendowment.org / spéciaux spéciaux / fincyber / guides.
