La révolution numérique en Afrique a permis une transformation rapide et profonde des modes de paiement, avec une adoption croissante des solutions digitales. Parmi celles-ci, GIMPay une plateforme innovante du GIM-UEMOA. Elle se positionne comme un levier essentiel pour accélérer l’inclusion financière dans la région. Conçue pour offrir simplicité et accessibilité, cette plateforme offre une solution technologique complète pour surmonter les défis de bancarisation et de fragmentation des services financiers.
Cependant, comme toute innovation technologique, GIMPay n’échappe pas à la problématique majeure que pose la sécurité des données et la protection des utilisateurs. À une époque où les cyberattaques se multiplient, garantir la sécurité des transactions et préserver la confidentialité des informations personnelles deviennent une priorité.
Pour en discuter, nous recevons Luc ADJAHO, Architecte en Chef pour le GIM-UEMOA. Il est instrumental dans la mise en œuvre opérationnelle de la vision de la Direction Générale pour le repositionnement de l'institution au cœur de l'écosystème régional des paiements.
Africa CyberSecurity Mag : Parlez- nous de l’application GIMpay et de ses objectifs.
Luc ADJAHO : Gimpay, est une infrastructure de marché B2B de services digitaux et financiers, par la mise en relation des acteurs, qu'il s'agisse de producteurs ou de consommateurs de services. GIMpay vise par ailleurs à accompagner la transformation digitale, assez structurante pour les institutions, impliquant des investissements considérables en capacités opérationnelles (technologies, compétences…). À titre d’illustration, dans le monde physique, l'usage des services digitaux et financiers pose plusieurs défis, notamment le KYC, l'identification/authentification des usagers, la sécurité des moyens et des transactions, la lutte contre la fraude, le blanchiment des capitaux, etc. Ces enjeux s'amplifient avec le mouvement vers l'univers digital, nécessitant des investissements conséquents que les institutions, prises individuellement, ne peuvent endosser de façon efficiente. Gimpay répond donc à ce besoin de mutualisation dans les infrastructures de paiement.
Enfin, GIMpay promeut une expérience client augmentée à travers la proposition de nouveaux cas d’usage pour combler les écarts de complétude de l’expérience client attendue par les consommateurs dans les offres existantes des acteurs.
Africa CyberSecurity Mag : Avec la croissance des paiements numériques, les cyberattaques ciblant les applications financières augmentent également. Quelles sont les principales mesures de sécurité que GIMPay intègre pour protéger les données des utilisateurs et sécuriser leurs transactions ?
Luc ADJAHO: Sans s’étaler dans les détails, nous dirons que pour une infrastructure comme GIMpay, la sécurité a été au cœur des différents composants technologiques et adressés depuis la phase de conception. Ces composants technologiques ont été conçus à partir de frameworks sécurisés, avec des revues de code régulières. Nous travaillons avec des partenaires de référence comme Huawei pour garantir la sécurité de l'infrastructure cloud. Les données des utilisateurs, qu'il s'agisse de données de paiement ou d'autres données sensibles, sont protégées grâce à une infrastructure de tokenisation. De plus, tous les mécanismes et dispositifs d'authentification sont en place pour garantir que les usagers accèdent en toute sécurité à leurs interfaces et valident leurs transactions.
Africa CyberSecurity Mag: Comment GIMPay anticipe et répond aux cybermenaces, telles que les attaques de phishing ou les violations de données ?
Luc ADJAHO: Au niveau de GIMpay, dès le développement de cette infrastructure, nous avons veillé à respecter scrupuleusement les législations et réglementations sur la protection des données à caractère personnel, inspirées notamment des directives de la CEDEAO. Sur le plan technique et opérationnel, des solutions ont été mises en place pour renforcer la cybersécurité de l'organisation. L'intégration d'un écosystème élargi d'acteurs, producteurs ou consommateurs de services, a nécessité un processus d'enrôlement rigoureux répondant à des spécifications et des exigences de sécurité, conforme à l’état de l’art. Cela inclut des audits réguliers de la plateforme, des évaluations de performance et des mécanismes de supervision à travers des SOC (Security Operation Center) pour surveiller l'activité et réagir en cas de défaillance.
Africa CyberSecurity Mag : À quelle fréquence l’application est-elle soumise à des audits ou des tests de pénétration ?
Luc ADJAHO : De manière régulière, à chaque changement significatif des composants. Les audits commencent dès la phase de développement avec des revues de code. En cas de modifications importantes, des tests sont systématiquement effectués pour s'assurer que la solution reste robuste.
Africa CyberSecurity Mag : La sécurité numérique ne repose pas uniquement sur les technologies, mais aussi sur la vigilance des utilisateurs face aux menaces potentielles. Quelles initiatives GIMPay met-elle en place pour sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité numérique et éviter les comportements à risque ?
Luc ADJAHO : Effectivement, l'humain est au cœur de la sécurité et reste souvent le maillon faible. En cohérence avec son positionnement, GIMpay adresse des clients institutionnels. Mais il est crucial de sensibiliser ces derniers ainsi que leurs consommateurs finaux. Nous mettons en place des sessions de formation et des actions de sensibilisation, ainsi qu'une assistance disponible 24h/24. Un cloisonnement strict des accès aux différents espaces de la plateforme a également été mis en œuvre, conformément à notre politique de sécurité.
Africa CyberSecurity Mag : L’application Gimpay couvre la zone UEMOA, dites-nous est-elle conforme aux différentes réglementations des pays ?
Luc ADJAHO : La plupart des réglementations nationales dans la zone UEMOA s'appuient sur la directive de la CEDEAO ou s'alignent sur les directives européennes en matière de protection des données. Le GIM-UEMOA se conforme pleinement à ces principes pour assurer la protection des usagers. D’une manière générale, GIM-UEMOA qui joue un rôle crucial dans l’exploitation des infrastructures et la fourniture de services aux institutions financières, est certifié dans les différents États de la zone en matière de protection des données personnelles. Pour certains pays, cette certification est encore en cours, mais pour la majorité, elle est déjà acquise.
Africa CyberSecurity Mag : Quel est votre mot pour conclure cette interview
Luc ADJAHO : Je tiens à rassurer nos partenaires et les usagers. Le GIM-UEMOA existe depuis plus de 20 ans et a construit une solide expérience en matière d’exploitation monétique. Depuis 2012, nous sommes certifiés PCI DSS, un standard international garantissant la sécurité des transactions monétiques. Cette certification est renouvelée en continu chaque année, pour répondre aux évolutions du secteur. Aujourd'hui, avec GIMpay, nous étendons nos offres de services dans le domaine digital. Nous capitalisons sur notre expérience pour renforcer la sécurité et l’efficacité des infrastructures de paiement, tout en mettant un accent particulier sur la sensibilisation des utilisateurs finaux. Il est important de rappeler que la sécurité est l’affaire de tous. Elle ne peut reposer uniquement sur un acteur ou une entité isolée. Cela passe par une collaboration étroite entre les différents acteurs, une mutualisation des moyens et des efforts, le tout favorisé par une standardisation et normalisation des pratiques.
Propos recueillis par Christelle HOUETO, journaliste digital
