A A A
Techno

Êtes-vous une passoire?

21 avril 2014 | Jean-François Venne | Commenter

  • commenter
  • envoyer
  • imprimer

<<<<< Page précédente

D’où vient le risque?

« Le comportement général envers la sécurité des données dans notre domaine ne s’est pas ajusté aux nouvelles réalités, il y a des failles tout au long de la chaîne de transmission des données, soutient Daniel Guillemette », président d’iGeny, une entreprise qui élabore des applications Web pour les conseillers en sécurité financière. « Pourtant, dans le domaine des assurances, nous collectons à la fois des données sur les finances des gens, leur santé, leur médication… C’est très privé. »

L’assurance fait face à deux problèmes majeurs en ce qui concerne les données conservées sur des serveurs. Selon KPMG, la fraude et les erreurs humaines seraient respectivement responsables de 33 % et 25 % des pertes de données en 2012. Du côté de l’industrie financière, la cause principale de ces pertes demeure les attaques informatiques (35 %), suivies de près par la fraude (30 %).

On le voit, le facteur humain joue un rôle crucial. « Tout part de la gouvernance de l’entreprise », croit François Levasseur, vice-président technologie chez Kronos Technologie, qui offre notamment les solutions informatiques de gestion de clients et de vente Kronos Finance et Kronos ABF. Selon lui, aussi bien dans les grandes institutions que dans les cabinets ou chez les indépendants, la négligence et le manque de connaissances sont des fléaux.

Une opinion à laquelle souscrit totalement Stefano Tiranardi. « Les attaques informatiques qui font régulièrement les manchettes ont sensibilisé les dirigeants, dit-il. Beaucoup d’entreprises ont adopté des politiques de sécurité très complètes. Toutefois, elles peinent à les mettre en œuvre. Les employés sont souvent mal formés et leur comportement par rapport à la circulation de l’information demeure la plus grande faille de sécurité de l’entreprise. »

Faille, vous dites? En 2006, un employé de la firme Talvest (devenue Investissements Renaissance), une filiale de gestion d’actifs de la Banque CIBC, a égaré le disque dur d’un ordinateur portable pendant son transport de Montréal vers Markham. Or, il contenait les renseignements personnels (dont les numéros d’assurance sociale) de 470 000 clients. À l’époque, Talvest avait mis 24 jours avant d’avertir ses clients. L’entreprise a fait face à un recours collectif, qu’elle a finalement réglé hors cour.

Chez Mérici Services Financiers, on déploie beaucoup d’efforts pour s’assurer que les pratiques des conseillers sont adéquates. Cela commence avec un contrôle très strict des documents papiers. « Les originaux ne sortent que très rarement de la voûte et peu de gens ont le droit de les manipuler », explique le chef de la conformité Maxime Gauthier. Les conseillers sont aussi invités à adopter des comportements prudents, parfois très élémentaires, comme éviter de quitter son poste de travail en laissant, sur son ordinateur, un dossier ouvert ou encore des liens vers les bases de données. « En fin de compte, concède Maxime Gauthier, une partie de la responsabilité incombe à l’individu. »

Quand le ver est dans la pomme

Va pour les erreurs de bonne foi. Mais dans certains cas, les employés sont carrément mal intentionnés ou se trouvent contraints d’agir contre leur gré. En 2010 et 2011, au Québec, un représentant en services financiers de la Banque TD a accédé à 12 dossiers clients, et quelques jours après, des fonds (environ 100 000 $ au total) ont été retirés ou transférés frauduleusement de ces comptes. Il a été radié à vie par la CSF. Dans une autre décision rendue en 2011, un représentant de courtier en épargne collective avait, sous la menace, divulgué à des tiers des informations confidentielles sur une vingtaine de clients de Desjardins.

« Bien qu’un seul cas en soit un de trop, on peut dire que les manquements à l’obligation de confidentialité de la part de ses membres ne sont pas fréquents à la Chambre de la sécurité financière, soutient Bruno Leblanc, coordonnateur-analyste aux relations publiques. Ce type de manquement ne figurait pas dans le top 10 des manquements disciplinaires établi par la Chambre pour 2011 et 2012 ».

Et ne croyez pas que votre petite taille vous permet d’échapper complètement au risque. « Certains pensent que parce qu’ils sont petits, les criminels ne s’intéresseront pas à eux, mais c’est faux, conclut Jean-François Saint-Pierre, président de Kronos Technologie. Ils ont les mêmes défis et les mêmes moyens de se protéger que les grands, mais à une plus petite échelle. La taille de l’entreprise ne la rend ni plus ni moins sécuritaire. Ça dépend vraiment du souci accordé à la sécurité dans la gouvernance. »

Il faut donc éviter de jouer à l’autruche, et faire face aux risques en développant des pratiques sécuritaires et en évitant les imprudences.

Ce texte est paru dans l’édition d’avril 2014 de Conseiller. Cliquez ici pour consulter l’ensemble du numéro.

À consulter :

À lire également : Recours collectif de 52 M$ contre l’OCRCVM

Loading comments, please wait.