Cybersécurité : la confiance des clients n’a pas de prix

La transformation numérique expose l’industrie à des risques de cybersécurité accrus. L’industrie investit des sommes considérables pour se protéger des attaques des pirates et des fraudes commises à l’interne. Cependant, il reste beaucoup à faire pour assurer la sécurité des opérations partout et en tout temps.

Ce sont quelques-uns des constats émis par les responsables de la sécurité de l’information de quatre grandes institutions canadiennes et américaines, réunis à l’occasion du Forum international de la cybersécurité 2022, au début du mois à Montréal.

En 2021, le Boston Consulting Group estimait que les entreprises des services financiers étaient 300 fois plus susceptibles d’être la cible de cyberattaques que celles d’autres secteurs. La transformation numérique corse le tableau, a indiqué Dimitry Shvarstman, responsable de la cybersécurité de Pay Pal, estimant que la confiance des clients dans les institutions financières est au cœur de cette lutte avec les pirates informatiques.

« Le développement des transactions en temps réels requiert une nouvelle segmentation des règles de contrôle des risques pour maintenir la confiance des clients », a-t-il déclaré lors d’un panel consacré aux coûts de la cybersécurité.

Sunil V. Badlani, responsable principal du risque de cybersécurité chez BNY Mellon, a souligné pour sa part que les institutions ont « la responsabilité de protéger les données des clients et du personnel par tous les moyens et en tout temps ».

Dans ce contexte, comment parviennent-elles à assurer la sécurité et la stabilité financière de leurs opérations ? La réglementation joue un rôle important dans l’équilibre entre la sécurité des opérations et la confiance des clients, au même titre que l’observation des meilleures pratiques de l’industrie en matière de cybersécurité, ont rappelé les participants au panel.

Un des défis consiste cependant à harmoniser les règles et les pratiques, qui diffèrent entre les pays et entre les acteurs de l’industrie. Aux États-Unis, par exemple, certaines règles sont communes à l’échelle du pays et d’autres varient selon les états, a illustré Dimitry Shvarstman. Il juge essentiel que ces règles soient harmonisées pour éviter de fonctionner en silo.

Pour trouver sa voie, Mellon regroupe toutes les règlementations et recherche leur dénominateur commun le plus élevé afin de s’en servir comme étalon. « Ce sont certes des contraintes importantes, mais cela nous pousse à mieux faire », estime Sunil V. Badlani.

L’intégration des diverses règlementations est aussi une étape indispensable aux yeux d’André Boucher, qui a dirigé pendant plusieurs années le Centre canadien pour la cybersécurité avant de devenir chef de la sécurité de l’information à la Banque Nationale.

Il estime qu’il revient aux institutions d’assumer le leadership dans ce domaine. « Nous devons nous entendre sur un niveau minimal de règles, car nous ne pouvons pas attendre les régulateurs pour le faire. Le cadre réglementaire doit notamment pouvoir s’appliquer si les acteurs d’une attaque ne sont pas établis dans le pays où ils le commettent.

FAIRE FRONT COMMUN CONTRE LES PIRATES

Car il y a urgence d’agir pour faire front commun contre les pirates, dont les stratagèmes se raffinent sans cesse. Les institutions luttent à armes inégales avec des fraudeurs qui les prennent de vitesse. « Les attaques restent une question non résolue. Nous avons des technologies pour mitiger le risque, mais nous ne sommes pas en mesure de le réduire à zéro », signale Jean-Sébastien Pilon, vice-président et chef de la sécurité de l’information chez Desjardins. L’institution a connu en 2019 une faille majeure de sécurité qui a compromis les données personnelles de près de trois millions de ses membres.

La rapidité d’action des cyberpirates oblige les institutions à réagir en temps réel, alors qu’elles peinent déjà à suivre la cadence imposée par la transformation numérique, ce qui les met sous pression, constate André Boucher.

Dans cette bataille, il faut être aussi bon à l’offensive qu’à la défensive, et bouger au même rythme que l’attaquant, rapporte Jean-Sébastien Pilon. Il faut aussi être plus imaginatif que ses adversaires. « Vous devez innover, sinon vous risquez d’être éjectés ! » lance Sunil V. Badlani.

ÉDUCATION ET FORMATION

Dans cette lutte, le client ne doit pas être oublié. L’éducation des consommateurs pour les aider à éviter les pièges tendus par les pirates est essentielle, alors que près de 90 % des attaques passent aujourd’hui par les courriels et les messages vocaux, signale Jean-Sébastien Pilon.

Les messages de sollicitation frauduleux invitant les clients à cliquer sur un lien pour recevoir une somme ou mettre à jour leurs données personnelles se sont développés au cours des dernières années. « Toutes les personnes qui reçoivent ces messages n’ont pas le même niveau d’éducation. On ne peut donc pas appliquer la même solution pour tous. Il faut comprendre où se dirige la réflexion des pirates pour agir avant eux », note Dimitry Shvarstman.

Dans cette bataille, les cyberpirates utilisent des technologies dernier cri reposant sur l’intelligence artificielle. « Nous devons être plus futés et nous tourner nous aussi vers la technologie pour pouvoir bloquer les attaques », estime Sunil V. Badlani

COMBIEN INVESTIR ?

Pour se protéger, les firmes sont portées à investir massivement dans la cybersécurité. Est-ce toujours le bon choix ? Jean-Sébastien Pilon estime qu’il faut avant tout viser l’efficacité, prioriser certaines actions, par exemple en se concentrant sur la sécurité des courriels, et réduire les paramètres à traiter. Car plus ils sont nombreux, plus l’investissement nécessaire risque d’être élevé.

En conclusion, les spécialistes de la cybersécurité ont donné quelques conseils aux entreprises pour se protéger des cyberfraudes et du vol d’informations à l’interne, comme vérifier les antécédents des nouveaux employés, réglementer strictement l’accès aux données des clients, effectuer des analyses de l’utilisation des données pour chaque poste de travail et mettre en place des alertes efficaces pour signaler tout manquement aux règles.