Êtes-vous préparés contre les cyberrisques?

Les Autorités canadiennes en valeurs mobilières (ACVM) suivent de près les mesures prises dans les services financiers pour protéger les firmes et leurs clients des attaques informatiques. Elles publiaient récemment à ce sujet les résultats d’un intéressant sondage.

Ce sondage sur les pratiques en matière de cybersécurité et de médias sociaux a été mené du 11 octobre au 4 novembre 2016. Plus de 630 sociétés inscrites à titre de gestionnaires de fonds d’investissement, de gestionnaires de portefeuilles et de courtiers sur le marché dispensé y ont répondu.

DES ATTAQUES FRÉQUENTES

La donnée la plus frappante du rapport est sans contredit le nombre élevé de sociétés qui ont été l’objet d’un cyberincident au cours de l’année sondée. En effet, plus de la moitié (51 %) ont vécu au moins une expérience de ce type. Des cas d’hameçonnage ont été rapportés par 43 % des sociétés, alors que 18 % avaient été la cible de maliciels et 15 % d’une tentative frauduleuse de se faire passer, par courriel, pour un client afin de faire transférer des fonds ou des valeurs mobilières.

MIEUX VAUT PRÉVENIR…

Face à ces risques croissants, la plupart des firmes ont adopté des politiques et des procédures de cybersécurité. Toutefois, moins de six sur dix (57 %) ont clairement défini comment procéder pour assurer la continuité de leurs activités pendant un cyberincident.

Une proportion semblable (56 %) ont des politiques et des procédures encadrant la formation de leurs employés au sujet de la cybersécurité. Pour celles qui en ont, les formations mettent surtout l’accent sur les courriels ou liens douteux (70 %), les saines pratiques en matière de mots de passe (68 %) et l’utilisation sécuritaire du matériel et des logiciels (60 %). Fait à noter, seulement un tiers émet des sanctions contre un employé qui omettrait de se conformer aux politiques et aux procédures de la firme en matière de cybersécurité.

LES RISQUES? QUELS RISQUES?

Les sociétés sont-elles bien au fait des risques qu’elles encourent en cas de cyberincident? Pas toutes. Plus d’une sur dix (14 %) ne fait jamais d’évaluation de ces risques, alors que quatre sur dix (39 %) le font une fois par année. À l’autre bout du spectre, un tiers le fait en continu ou très fréquemment, alors que 5 % le font une fois par semaine. Les ACVM enjoignent les sociétés inscrites à procéder à de telles évaluations au moins une fois par année, notamment pour faire l’inventaire des données confidentielles et sensibles et pour identifier les vulnérabilités de la firme.

Par ailleurs, quelques petites sociétés ont émis l’idée que leur petite taille les plaçait passablement à l’abri des risques de cybersécurité, et n’élaborent donc pas de politiques ou de procédures sur ce sujet. Elles n’offrent pas non plus de formations à leurs employés sur les cyberrisques. Une vision des choses erronée, selon les ACVM, qui rappelle que le secteur financier est une cible fréquente des cybercriminels.

Plus de six firmes sur dix (66 %) ont un plan d’intervention en cas de cyberincident et le testent au moins une fois par année. Cependant, une société inscrite sur quatre ne teste jamais son plan. Elles n’y décèleront donc pas d’éventuelles défaillances avant de subir une attaque, au moment où il sera trop tard pour les corriger.

DONNÉES SANS PROTECTION

La protection des données des clients laisse aussi à désirer dans de trop nombreuses firmes. Ainsi, 30 % d’entre elles n’utilisent aucun chiffrement ni aucune autre mesure de protection des données, comme les mots de passe. Environ 44 % protègent les données comme les dossiers des clients, alors que la même proportion chiffre les communications par courriel et les pièces jointes. Toutes les sociétés sondées, sauf quatre, sauvegardaient les données périodiquement, dont 73 % chaque jour et 17 % plusieurs fois par jour. Près de neuf sur dix ont mis leurs processus de récupération des sauvegardes à l’essai.

COUVERTS OU PAS?

Étonnamment, peu de sociétés détiennent des assurances couvrant les cyberincidents. C’est le cas de seulement 41 % des entreprises sondées. Et encore, les types d’incidents couverts et les niveaux de couverture varient grandement. Pour les ACVM, « les sociétés devraient revoir leurs polices d’assurance actuelles (par exemple, les assurances d’institution financière) pour connaître les types de cyberincidents couverts. Elles devraient envisager de souscrire une assurance supplémentaire si des éléments ne sont pas couverts par leurs polices actuelles ».

ATTENTION AUX MÉDIAS SOCIAUX

Les médias sociaux, qui peuvent servir de points d’ancrage à des tentatives d’hameçonnage ou d’autres tentatives de fraude, prennent de plus en plus de place dans l’industrie des services financiers. Environ 59 % des sociétés sondées ont des lignes directrices quant à leur utilisation, mais seulement 36 % ont des politiques et des procédures sur la formation de leurs employés dans ce domaine. À peine deux sur dix (21 %) ont des politiques propres à la tenue des dossiers de communication sur les réseaux sociaux. Encore moins nombreuses sont celles qui surveillent en temps réel l’activité sur les médias sociaux (14 %). Environ 6 % ne le font jamais.

En raison de l’importance des cyberrisques, les ACVM continueront d’évaluer périodiquement les pratiques des sociétés en cybersécurité et de médias sociaux dans le cadre de leurs examens de conformité.

La rédaction vous recommande :

• Une firme québécoise combat la fraude fiscale
• Les start-ups contre la cybercriminalité
• La lutte contre les cyberattaques plus intense que jamais