Piratage informatique : personne n’est à l’abri

Les nouvelles technologies permettent de transporter ou d’échanger aisément des tonnes d’information avec ses clients et partenaires. Cependant, elles présentent plusieurs risques, contre lesquels les conseillers ne sont pas toujours assez préparés.

Les dernières années ont été marquées par de nombreux piratages spectaculaires. Equifax a par exemple vu la confidentialité des données de plus de 147 millions de personnes être compromise, dont plus de 100 000 Canadiens.

« En plus de faire très mal à la réputation d’une entreprise, ce type d’attaque peut lui coûter cher, souligne Charles-Etienne Prévost, directeur principal, services-conseils en sécurité à Mandiant, firme spécialisée dans la gestion d’incidents de sécurité informatique. Elle doit parfois payer une rançon, comme Uber l’a fait en envoyant 100 000 dollars à des pirates en 2016, débourser pour remettre ses systèmes en état, dédommager des clients ou se défendre contre des poursuites judiciaires. » Mandiant est intervenu lors de plus de 350 incidents dans le monde l’an dernier.

Si de tels problèmes peuvent faire mal aux Equifax et Uber de ce monde, ils peuvent se révéler dévastateurs pour un conseiller indépendant ou un petit cabinet. Les données bancaires attisant la convoitise des pirates, l’industrie des services financiers fait tout particulièrement l’objet d’attaques. Dans sa pratique, le conseiller affronte ainsi trois types de menaces informatiques majeures : le vol ou la perte de données confidentielles, leur endommagement ou un accès soudainement bloqué.

Ce dernier cas est de plus en plus fréquent en raison des attaques de type « rançongiciel » (ransomware), c’est-à-dire lorsque des pirates réussissent à chiffrer (crypter) les données d’un conseiller. Ils exigent une rançon en échange de la clé de décryptage. Et même s’ils redonnent parfois au conseiller un accès à ses données après le paiement (ce n’est pas toujours le cas), rien n’indique qu’ils n’ont pas copié ces informations. Ils pourront ensuite les utiliser pour voler des identités ou simplement les vendre au plus offrant sur le web invisible (dark web).

« Les pirates informatiques n’utilisent pas nécessairement des moyens aussi technologiquement avancés que l’on pourrait croire. Ils sont plutôt maîtres dans l’art d’entretenir une relation avec quelqu’un et de le convaincre d’envoyer de l’argent. »

– Charles-Etienne Prévost

ENTRÉE PAR EFFRACTION 

Le rançongiciel peut être déclenché en ouvrant un courriel contenant le programme malveillant. Il peut aussi être installé de manière plus ciblée. Dans ces cas-là, les pirates s’immiscent dans le système, fouillent les serveurs et contaminent ceux qui semblent contenir des informations de valeur. Le conseiller n’a plus accès à ces données et doit choisir entre les perdre ou payer une rançon.

Certains pirates préfèrent l’extorsion. Ils volent des informations confidentielles et envoient ensuite à l’entreprise une preuve de leur piratage, menaçant de rendre les informations publiques à moins que la firme leur verse de l’argent. D’autres ne se donnent même pas cette peine, vendant simplement l’information sur le web. Très souvent, l’entreprise ne réalisera même pas qu’elle s’est fait subtiliser des données jusqu’à ce que certains de ses clients commencent à avoir des problèmes.

En 2016, 51% des 1 000 sociétés inscrites sondées par les Autorités canadiennes en valeurs mobilières (ACVM) avaient été l’objet d’une cybermenace. La plus courante était l’hameçonnage (43%). Suivaient les logiciels malveillants (18%) et les tentatives de se faire passer pour un client par courriel (15%).

Source : ACVM

L’imagination des cybercriminels ne s’arrête pas là, malheureusement. Certains utilisent les boîtes courriel des clients pour les frauder. Ils y accèdent, lisent les échanges entre, par exemple, l’épargnant et son conseiller, puis envoient un courriel au conseiller en prétendant être le client. Ils peuvent ainsi demander que soit retirée une certaine somme de leurs placements pour un besoin urgent. Ils indiquent qu’ils ont un nouveau compte où l’argent devra être envoyé. Si le conseiller s’exécute, ils encaissent.

« C’est le genre de subterfuge que je vois en majorité chez les plus petits professionnels des services financiers, indique Charles-Etienne Prévost. Il faut comprendre que les pirates informatiques n’utilisent pas nécessairement des moyens aussi technologiquement avancés que l’on pourrait croire. Ils sont plutôt maîtres dans l’art d’entretenir une relation avec quelqu’un et de le convaincre d’envoyer de l’argent. Ça ne coûte rien de s’infiltrer dans un compte Gmail ou Hotmail, mais ça peut être payant. »

« En termes de protection des renseignements personnels ou confidentiels, les entreprises n’ont pas une obligation de résultat, mais de moyens. »

– M^e Jean-François De Rico

VOS OBLIGATIONS

On le voit, les informations conservées par les conseillers sont la cible de bien des convoitises. Ils ont donc la responsabilité de les protéger. Mais qu’est-ce que les autorités de réglementation et la loi exigent d’eux, au juste?

Le Code de déontologie de la Chambre de la sécurité financière (CSF) impose au représentant le devoir de respecter « le secret de tous renseignements personnels qu’il obtient sur un client et les utiliser aux fins pour lesquelles il les obtient » (art. 26). Il ne peut les divulguer « autrement que conformément aux dispositions de la loi » (art. 27). Des dispositions très générales, peu disertes quant aux obligations concrètes de protection des systèmes informatiques. Le deuxième cours de formation obligatoire ProDéonto contient, lui, un module entier sur la sécurité des renseignements personnels à l’ère numérique. Il vise à la fois à conscientiser les représentants aux cyberrisques et à les outiller pour qu’ils adoptent les meilleures pratiques.

Quant à l’Autorité des marchés financiers (AMF), son guide sur la gouvernance et la conformité des inscrits comporte un volet sur les cyberrisques. Elle « n’impose aucune règle spécifique aux cabinets en matière de cyberrisques, admet Sylvain Théberge, directeur des relations médias de l’AMF. Elle a toutefois des attentes claires envers les différents intervenants du secteur des services financiers. Ils doivent mettre en place les mesures d’atténuation qui s’imposent ».

Mais comment savoir si, légalement, le conseiller répond à ses obligations de cybersécurité? « En termes de protection des renseignements personnels ou confidentiels, les entreprises n’ont pas une obligation de résultat, mais de moyens », explique Me Jean-François De Rico, associé du cabinet Langlois avocats, qui travaille notamment en droit des technologies de l’information.

Même en prenant des mesures importantes, personne n’est à l’abri d’un incident. « En cas de problème, le conseiller doit pouvoir démontrer qu’il a pris tous les moyens raisonnables, en fonction des outils technologiques existants et des pratiques de cybersécurité, pour protéger les données », ajoute Me De Rico.

Les ordinateurs étaient-ils dotés d’un antivirus à jour? Certaines données étaient-elles chiffrées? Le conseiller évitait-il de transmettre des informations sur un réseau sans fil public? Protégeait-il adéquatement celui de son entreprise? Désactivait-il rapidement les comptes des anciens employés? Au contraire, se baladait-il avec une clé USB non chiffrée contenant des dizaines de dossiers clients remplis de données confidentielles?

« La cybersécurité, c’est purement comportemental. Il faut adopter des pratiques prudentes. »

– Eric F. Gosselin

SIMPLICITÉ c. SÉCURITÉ 

Cette obligation de moyens n’est malheureusement pas toujours respectée, déplore Eric F. Gosselin, planificateur financier à Services Financiers Eric F. Gosselin. Il voit régulièrement des conseillers qui ne protègent pas leur ordinateur avec un mot de passe ou en utilisent de trop simples, qui n’ont pas de copie de sauvegarde à jour, qui n’utilisent aucun chiffrement pour leurs systèmes ou leurs courriels, etc. « La cybersécurité, c’est purement comportemental, avance-t-il. Il faut adopter des pratiques prudentes. »

Pour sa part, François Levasseur, PDG de Kronos Technologies, constate que les conseillers recherchent un équilibre entre la convivialité et la sécurité. « Plus c’est convivial, moins c’est sécuritaire et vice-versa, indique-t-il. L’être humain étant ce qu’il est, il a tendance à vouloir se simplifier la vie. S’imposer des mesures de sécurité qui réduisent la convivialité au quotidien est toujours un défi. »

Le fait de devoir entrer à répétition des mots de passe, d’être obligé de procéder à une double authentification (mot de passe et code par texto, par exemple), de ne pas utiliser la connexion Internet sans fil des endroits publics peut en effet sembler aller à l’encontre du principal atout des nouvelles technologies : la rapidité et la simplicité d’accès et d’échange des données.

François Levasseur croit que l’utilisation de ressources comme celles de la suite Kronos permettent au conseiller, en quelque sorte, d’externaliser le risque en s’assurant de s’outiller de manière sécuritaire et conforme.

Kronos Finance permet, par exemple, d’envoyer des courriels chiffrés avec SecureMail. De la même manière, un conseiller qui centralise ses données dans un nuage n’a pas à les trimballer sur une clé USB ou à les héberger sur son poste de travail. Elles sont sur un serveur sécurisé. Il croit que cela peut convenir à bien des professionnels, dans un contexte où ils sont souvent assez sensibilisés aux cyberrisques, mais ont peu de connaissances quant aux approches et outils pour s’en prémunir.

En 2017, le spécialiste de la cybersécurité Kaspersky Lab a détecté plus d’un milliard d’attaques malveillantes en ligne.

Source : Kaspersky Lab

PROTÉGER LA CONFIANCE 

Le conseiller en sécurité financière François Laporte juge que les conseillers doivent s’adapter à ce nouvel aspect de leur relation avec leurs clients. « Autrefois, la richesse, c’était seulement l’actif. Maintenant, c’est aussi les informations, dit-il. Leur partage s’appuie sur la confiance. Le conseiller doit gérer la sécurité des données et le client doit constater que ce travail est bien fait. »

Il déplore que certains conseillers se croient à l’abri en raison de la petite taille de leur cabinet. « La taille n’a pas d’importance. Un professionnel en services financiers qui se rend vulnérable peut devenir victime d’une attaque s’il a de mauvaises pratiques. Il peut aussi faire une erreur bête, comme perdre une clé USB ou un portable rempli d’informations personnelles. »

Cette relation de confiance est souvent ébranlée à la suite d’un incident, lorsque le conseiller ou l’entreprise manque de transparence. Lorsqu’une brèche survient, certains professionnels peuvent être tentés de garder le silence plutôt que de prévenir les clients. « Certains ont honte, car ils n’ont pas bien protégé les données. D’autres redoutent les répercussions d’une telle admission sur leur pratique et préfèrent attendre de voir si l’incident aura de réelles conséquences », note Eric F. Gosselin.

Selon lui, peu importe ce que disent les règles, la procédure devrait être assez facile à suivre. D’abord : informer promptement les responsables de la conformité du cabinet, puis les régulateurs. Ensuite, se doter rapidement d’un plan de communication et aviser les clients.

« Rester muet ou tarder à révéler l’incident risque de leur créer de plus gros ennuis encore, surtout si leurs clients vivent des problèmes, comme un vol d’identité ou un détournement de fonds. La transparence est cruciale. »

Cinq mesures de protection

Charles-Etienne Prévost propose cinq façons concrètes de protéger les données des clients.

• Recenser et classer les données. Il faut savoir lesquelles sont conservées, pourquoi et quelles lois s’appliquent.
• Utiliser le chiffrement. Des outils comme TrueCrypt permettent de chiffrer les données. Toutes les informations personnelles ou confidentielles enregistrées sur un ordinateur, un téléphone portable ou une clé USB devraient l’être. Mieux vaut aussi le faire pour les courriels mentionnant de telles informations, par exemple avec SecureMail. Et surtout, éviter d’envoyer les mots de passe ou clés de chiffrement par courriel. Il est préférable d’utiliser les textos. Les sauvegardes aussi devraient être chiffrées.
• Adopter l’authentification à facteurs multiples. Par exemple, pour ouvrir un document ou accéder à un compte, votre client devra entrer un mot de passe. Il recevra ensuite un code par message texte, qu’il devra aussi entrer pour confirmer son identité.
• Utiliser des mots de passe complexes. Chaque année, on constate que les « 123 456 », « Letmein » (let me in) ou « motdepasse » restent parmi les plus fréquents.
• Informer les usagers. Le conseiller devrait suggérer à ses clients de faire attention à certaines pratiques, comme l’utilisation de réseaux sans fil publics, les courriels non sécurisés, etc.

---

• Ce texte est paru dans l’édition de juin 2018 de Conseiller.