La plateforme des transactions monétique mise en place par le GIM-UEMOA est basée sur la technologie VSAT (Very Small Aperture Terminal). La technologie VSAT permet de mettre en place des réseaux multi technologies à très grande échelle et, elle relie le GIM-UEMOA à l'ensemble des banques et des commerçants ayant adhéré au système à travers un Hub central (station terrestre principale) à partir duquel est interconnecté à distance l'ensemble des autres membres (banques et commerçants). Les données sont transmises par satellite. Cependant, le hub du GIM-UEMOA est le point central de tout le réseau, et en assure la gestion complète. Ceci permet donc de gérer et superviser l'ensemble du réseau d'un seul et même point. Cela limite le risque de dispersion des données, ainsi que le risque de défaillance due à une non maîtrise du système des participants (membres) au réseau.

La technologie VSAT garantie au GIM-UEMOA des services à valeur ajoutée comme la visio conférence, l'enseignement à distance et la diffusion de données multimédia (vidéo, émissions radiophoniques, messagerie, etc.). D'autres services peuvent être mentionnés comme l'interconnexion de réseaux, la gestion de réseaux caractérisés par un nombre important de transactions sur un domaine très étendu (applications liées à l'administration des postes de commerces ou des terminaux de paiement entre autres), la mise en place de canaux haut débit pour le réseau Internet, la création ou l'extension de réseaux Intranet etc.

Le système VSAT est la solution en matière de service IP large bande. Aussi, au-delà de permettre la connectivité entre sites distants régionaux ou interrégionaux, il offre des débits couvrant largement les besoins de l'activité et garantie la sécurité des données et des équipements. En revanche, on peut noter des avantages tels que : les coûts d'utilisation relativement faible, les communications peu coûteuses, la haute performance réseau, l'indépendance des compagnies locales de télécommunication, les applications audios, vidéos et données avec leur sécurité, ainsi que la connectivité permanente. Quant aux inconvénients, il s'agit le plus souvent de l'asymétrie de la liaison, de la couverture fixe mais aussi parfois de quelques temps de latence (volume de transaction important). Toutefois, la technologie VSAT est la plus fiable dans son domaine.

Par ailleurs en cas de défaillance du réseau VSAT, le GIM-UEMOA a prévu la reprise automatique des transactions par la technologie VPN (Virtual Private Network), qui est une solution technique permettant à GIM-UEMOA de connecter à distance et en toute sécurité via internet, les réseaux informatiques de ses différents membres représentés par l'ensemble des banques adhérentes à la plateforme de transactions monétique du GIM-UEMOA.

Pour la sécurité des données, la technologie VPN prévoit un algorithme cryptographique des données privées afin d'obtenir un texte chiffré appelé « ciphertexte ». Il existe deux types de chiffrement des données, le premier est un chiffrement symétrique utilisé par les algorithmes, et le deuxième est un chiffrement asymétrique ou par clé publique incluant des signatures numériques.

La prévention des risques de fraude est également prévue par la technologie VPN qui contrôle également l'intégrité des données durant le transfert. On distingue deux types d'intégrité : le premier en mode non connectée permet de détecter les modifications d'un datagramme (plage de données) individuel mais pas sur l'ordre du datagramme et le deuxième en mode connectée permet d'authentifier l'origine des données.

En outre pour la sécurité et la gestion du risque informatique, le GIM-UEMOA a souscrit à une assurance multi risque professionnel avec la compagnie d'assurance NSIA Sénégal, pour garantir son patrimoine informatique, ainsi que les risques de dommages y afférents. Aussi le GIM-UEMOA a mis en place un site de back-up qui récupère les données en temps réel pour les répercutées au niveau du site qui se trouve dans un certain pays (confidentiel).

Toutefois, il convient de noter que le GIM-UEMOA considère ses réseaux comme étant très fiable, au regard des technologies utilisées, mais aussi du fait qu'il y ait depuis sa création une absence d'incidents majeurs sur les réseaux. En effet, GIM-UEMOA n'a jamais subit une (01) heure ou une journée sans que le système ne soit fonctionnel. C'est donc un sentiment de satisfaction en matière de gestion du risque des systèmes de paiement qu'elle juge fiable et à un niveau maximal. En revanche, GIM-UEMOA a mis en place une Cellule d'Intégration chargée de gérer les risques d'incidents technologiques ou de dysfonctionnements de ses logiciels. Cette cellule se charge également de la veille technologique en matière de logiciels. Cela permettra au GIM d'être en phase avec l'évolution technologique des logiciels à terme.

2.2. Sécurisation des moyens de paiement et gestion du risque opérationnel

v Sécurité des moyens de paiement

La sécurité des moyens de paiement concerne la sécurisation des cartes prépayées, du mobile banking et de l'internet. En ce qui concerne les cartes prépayées, il s'agit des cartes utilisant la technologie EMV (Europay, Mastercard, Visa). L'introduction du standard EMV a pour but d'augmenter le niveau de sécurité et d'offrir des fonctionnalités supplémentaires aux porteurs de cartes et aux commerçants. La carte EMV standard cache une mine d'informations et son utilisation est la clé d'une meilleure sécurité. Le Serveur d'autorisation EMV met en oeuvre des règles sécuritaires permettant une meilleure gestion du risque par l'émetteur ; en effet, outre la validation des conditions d'acceptation, de la pérennité de la carte, des artifices sécuritaires (cryptogramme, code secret) et des limites d'utilisation et du disponible (argent disponible sur le micro processeur), le serveur d'autorisation est également capable de modifier à distance le comportement de la carte (script processing). Il permet aussi le traitement de tout type de cartes à piste magnétique (moins sécurisé) ou à puce (EMV ou autres). Il est à même de traiter des opérations (retrait d'argent ou paiement auprès d'un commerçant) réalisées tant sur le territoire Sénégalais que partout ailleurs dans le monde et de valider celles-ci sur la base d'un algorithme spécifique.

Cependant, l'examen précis des données EMV permet aux analystes GIM -UEMOA d'établir un profil détaillé de l'utilisateur, susceptible de faciliter l'identification des fraudes. Et seules les données EMV peuvent aider à déceler les nouvelles formes d'attaques :

· Elles indiquent par exemple le nombre de tentatives manquées de saisie hors ligne du code secret, ce qui doit faire l'objet d'un contrôle si les tentatives se répètent ;

· Elles permettent également de déterminer si la bande magnétique d'une carte a été modifiée pour laisser croire qu'elle ne contient pas de puce (réécriture du code de service).

Aussi, ces données peuvent identifier les modèles de fraudes et les crédits à risque, et donc améliorer le service aux clients. L'étude des données EMV des transactions aide les analystes GIM -UEMOA à déterminer le risque associé à une carte. S'ils le jugent trop élevé, ils peuvent intervenir de différentes façons pour le réduire, par exemple en abaissant le plafond pour cette carte.  La fraude principale n'est plus celle à la carte perdue ou volée, avec fausse signature. La méthode privilégiée consiste désormais à voler l'identité d'une personne, pour accéder à ses comptes. En effet à partir des données personnelles d'un individu, il est possible de dupliquer sa carte prépayée et de procéder à des transactions frauduleuses, sans que le propriétaire de la carte ne s'en rende compte.

Par ailleurs, les tentatives de fraudes que le GIM a pu constater ne sont pas des fraudes locale (Sénégal) ou domestique (UEMOA) mais plutôt importé (étrangères notamment Européenne).Elle est constaté sur les cartes prépayées VISA et MASTERCARD issues de l'Europe et non sur le réseau GIM-UEMOA. En effet, les détenteurs de ces cartes viennent tester des opérations frauduleuses sur les TPE GIM-UEMOA, en voulant profiter du fait que GIM soit interfacé (C-A-D possède un compte) sur le réseau VISA et MASTERCARD pour ses opérations à l'internationale. GIM a à chaque fois enregistré des alertes et à pu réagir en bloquant les transactions. Toutefois, il convient de noter que les cartes à puces classiques (adossées à un compte bancaire réel) sont aussi sécurisantes que les cartes prépayées (adossées à un compte virtuel). La différence c'est que la première peut faire un retrait d'espèce dans une banque, alors que la seconde ne peut le faire que sur un DAB, ou GAB du réseau GIM.

En outre, la sécurité du mobile banking est plus ou moins assurée. En effet, le type de connexion est divers. Il s'agit du General Packet Radio Service ( GPRS) qui est une norme pour la  téléphonie mobile dérivée du  GSM permettant un débit plus élevé et plus adaptée à la transmission des données ; le WIFI qui a la possibilité d'être crypté, le SMS cryptées, SMS clair, et l'Unstructured Supplementary Service Data (USSD) sont autant d'applications qui ont des protocoles de sécurités de dernières générations.

Quant à la sécurité des transactions sur internet, le GIM-UEMOA respecte les normes de sécurité internationale, notamment avec l'application PayPal. Le service que propose PayPal est de payer en ligne sans communiquer ses données financières, en s'identifiant simplement avec son  adresse électronique et un mot de passe. La source d'approvisionnement que l'on choisie (carte de paiement ou compte bancaire) est automatiquement débitée au moment de la transaction. Les destinataires sont avertis par  courriel dès que l'argent leur est envoyé. Aussi, le GIM-UEMOA envisage de signer des contrats avec des commerçants de la sous région dans un premier temps pour démarrer le GIM-Online, avant d'en faire autant avec des commerçants extérieurs (Europe, Amérique, Asie), pour ouvrir les commerçants sous régionaux aux marchés internationaux et dynamiser ainsi les échanges, et partant les économies nationales et sous régionales.

v Gestion des risques opérationnels

Des puissants groupes criminels organisés peuvent investir les ressources nécessaires pour pénétrer des réseaux monétaires parce que les gains potentiels sont énormes. En inoculant des virus ou en saturant de faux messages, afin de transférer des montants illimités de fonds à des destinations frauduleuses.

Aussi pour lutter contre les risques opérationnels, aussi bien internes qu'externes, le GIM-UEMOA a mis en place la Cellule Backoffice qui est chargée de gérer les risques opérationnels après les avoirs dûment identifiés. En effet, la Cellule a mis en place des points de contrôle qui permettent de déceler et de limiter la fraude. Un exemple de point de contrôle est le fait qu'une carte prépayée qui n'a pas effectuer des transactions depuis 2 ans et qui subitement en fait plusieurs déclenche un mécanisme d'alerte, tout comme une carte qui effectue à l'instant des transactions à Dakar et qui deux minutes après en effectue à Barcelone, déclenche également un mécanisme d'alertes. Il convient de noter que les exemples ne sont pas exhaustifs. Toutefois, à côté de ce genre de mécanismes, il y a des mécanismes classiques tels que l'avalement de la carte sur un GAB au bout de trois (3) tentatives de codes d'accès erronés, ou la désactivation de celle-ci en cas de perte ou de vol.

Cependant, il convient de noter que le GIM-UEMOA utilise la base de données (liste noir) des fraudeurs identifiés par la CIP-UEMOA dans le cadre de la gestion interne de la fraude. Cela lui permet de les identifier (commerçants, tiers...) et d'en tenir compte dans les transactions effectuées.

Par ailleurs, les systèmes du GIM sont également exposés au risque opérationnel émanant de leurs propres employés qui peuvent de manière frauduleuse acquérir des données d'authentification pour accéder aux comptes des clients et/ou voler des cartes de stockage de valeur monétaire (carte prépayée). A ce titre le GIM -UEMOA est en train de migrer sur la nouvelle norme PCI-DSS (Payment Card Industry Data Security) qui est une norme de sécurité internationale demandée par VISA et MASTERCARD.

La norme PCI-DSS liste un ensemble de points de contrôles relatifs aux systèmes d'informations qui capturent, transportent, stockent et traitent des données de cartes bancaires. Les points de contrôles sont relatifs à des techniques informatiques mais également à des procédures et à des contrôles organisationnels sur ces systèmes. En un mot, elle permet par la mise en place de certains outils, de savoir qui fait quoi et à quel moment aussi bien au niveau interne qu'externe. Elle permet de vérifier les intrusions dans le système aussi bien au niveau interne qu'externe, que ce soit sur des données gérées au niveau interne qu'externe. Ces intrusions sont vérifiées tout les 3 mois par un scan général du système. Au demeurant, la mise en place d'une cartographie de risques est en cours au niveau du GIM-UEMOA.