Courriels, textos, … : comment assurer la conformité?

Les rencontres virtuelles et l’utilisation d’autres outils technologiques ont explosé durant la pandémie. Et il semble bien qu’ils soient là pour rester dans votre pratique même dans l’après-COVID-19. Leur usage soulève toutefois des enjeux en matière de conformité et de sécurité des informations entre les conseillers et leurs clients. Comment vous assurez que vous êtes conforme à ce niveau ?

Protéger les renseignements personnels de ses clients fait partie des obligations professionnelles des conseillers. Il est donc essentiel d’avoir des outils de travail et des supports de communication sécurisés.

« Il faut utiliser plusieurs moyens de protection. Et il est bon de se rappeler que les failles les plus importantes viennent d’erreurs humaines », souligne Annik Bélanger-Krams, avocate aux affaires juridiques et réglementaires à la Chambre de la sécurité financière (CSF).

Parmi les conseils de base, il faut bien sûr s’assurer d’utiliser un réseau sans fil privé et accessible avec un mot de passe (qui n’est pas celui proposé par le fournisseur de service Internet). « Il faut aussi changer le nom du réseau fourni par ce dernier pour réduire les risques d’intrusion, conseille Mme Bélanger-Krams. Plusieurs omettent de le faire. Il est aussi important de procéder aux mises à jour du routeur. »

Attention aux connexions par Bluetooth. Pour les pirates informatiques, c’est un jeu d’enfant de s’immiscer dans les ordinateurs grâce à cette technologie. Il est non seulement important d’effectuer les dernières mises à jour offertes par les fournisseurs, mais surtout de fermer son Bluetooth lorsqu’on ne l’utilise pas. Il suffit d’aller dans les paramètres de son appareil pour désactiver cette fonction.

QUESTIONS DE SÉCURITÉ

Le conseiller reçoit un courriel ou un message texte (ou texto) de son client. Comment peut-il s’assurer qu’il provient de la bonne personne ?

Une stratégie efficace est de convenir de trois questions dont lui seul connaît les réponses qui permettront de l’identifier en toute sûreté. « On peut être créatif dans le choix des questions pour ne pas répéter celles que l’on voit habituellement. Les réponses seront notées à son dossier », suggère Annik Bélanger-Krams.

Pour l’envoi de renseignements personnels, il est avisé d’utiliser un logiciel de compression/décompression des fichiers qui ne pourront être ouverts qu’à l’aide d’un mot de passe. Il vaut mieux également éviter l’utilisation de certaines messageries (Hotmail, Live et autres) qui sont faciles à percer pour un pirate.

Cela dit, il vaut mieux éviter les messages textes pour communiquer des informations sensibles. Le niveau de sécurité est variable sur ces technologies et aucune n’est infaillible. Le message apparaît sur l’écran du cellulaire ou de l’ordinateur et peut être lu par des yeux indiscrets. En plus, des tiers peuvent avoir accès à ces applications. Les textos conviennent bien pour avertir d’un retard ou confirmer un rendez-vous, sans plus. Il est bon de rappeler à ses clients qu’ils ont aussi la responsabilité de protéger leurs renseignements personnels.

DES VIDÉOOCONFÉRENCES SÉCURITAIRES

La vigilance est également de mise dans le cadre de vidéoconférences. La règle est d’utiliser l’application autorisée par le cabinet. À défaut, il faut s’assurer de télécharger la solution (Zoom, Teams et autres) depuis un site officiel. Des pirates ont réussi à piéger des utilisateurs en jouant avec des ressemblances dans les noms de domaine des fournisseurs. La vigilance est de mise.

La fonction salle d’attente est particulièrement utile pour contrôler l’accès à la rencontre virtuelle et éviter le zoom-bombing, soit une intrusion par des personnes qui ne sont pas concernées par la réunion, un phénomène qui serait en plein essor. Afin d’éviter la présence d’intrus, il faut s’assurer de transmettre les liens de la visioconférence par un moyen sécuritaire. Des solutions offrent également l’option de connexion avec un mot de passe, qui assure une protection supplémentaire.

Enfin, ne pas oublier de sensibiliser le personnel de soutien aux risques de fraudes informatiques. « Ils sont aussi responsables d’assurer la confidentialité des informations de la clientèle », rappelle Mme Bélanger-Krams.

Sylvie Lemieux

Sylvie Lemieux est journaliste pour Finance et Investissement et Conseiller.ca. Auparavant, elle a notamment écrit pour Les Affaires.