Les institutions financières à l’affût des cyberrisques

Les institutions financières estiment mettre en place des actions concrètes pour se protéger contre les cyberrisques, tout en reconnaissant que des efforts doivent être faits pour rehausser leurs pratiques.

Ces constats découlent d’un exercice d’autoévaluation que l’Autorité des marchés financiers (AMF) a mené au cours de l’été 2015 auprès de quatre-vingt institutions de dépôt et assureurs exerçant au Québec afin d’évaluer l’état de leurs actions de cybersécurité, ainsi que leur niveau d’adhésion aux bonnes pratiques en la matière.

Les bonnes pratiques présentées dans le questionnaire s’inspiraient de celles qu’ont mises de l’avant divers organismes internationaux reconnus et reprenaient des principes énoncés dans les lignes directrices de l’Autorité. Parmi eux : la gouvernance, le risque et la conformité en cybersécurité; les ressources, la formation et la sensibilisation; la prévention et la détection des cyberincidents; la gestion et recouvrement des cyberincidents.

LA CYBERSÉCURITÉ PRÉOCCUPE

Les institutions financières font état de grandes préoccupations concernant le cyberrisque et la cybersécurité.

Non sans raison. Le mois dernier, l’interface Swift, un réseau de messagerie international utilisé par 11 000 institutions financières et par lequel elles transmettent des instructions de paiements interbancaires, mettait en garde tout ses clients. En cause, les pirates informatiques, qui parviendraient à manipuler le système.

La banque centrale du Bangladesh en a fait les frais en février dernier. Après avoir pénétré le système informatique de l’organisme, les cybercriminels ont réussi à envoyer des ordres de transactions pour un montant proche du milliard de dollars, sans éveiller le moindre soupçon. L’argent devait transiter du compte détenu par la banque du Bangladesh à la Fed, à New York, vers les Philippines et le Sri Lanka. Finalement, les Américains ont relevé une anomalie et stoppé le processus… trop tard. Les voleurs ont terminé leur opération avec un magot de 81 millions de dollars.

L’interface Swift a lui-même été piraté pour la deuxième fois la semaine dernière. Les malfaiteurs ont pris pour cible une banque commerciale, dont l’identité n’a pas été dévoilée, et sont parvenus à s’en approprier les codes pour envoyer, via le système, des messages au nom de l’établissement bancaire.

RESPONSABILISER LA HAUTE DIRECTION

L’AMF est bien consciente de ne pouvoir faire disparaître totalement le risque. Elle compte cependant tirer profit des informations recueillies dans le cadre de l’autoévaluation pour adapter ses interventions auprès des institutions financières. Elle continuera également à conscientiser les instances décisionnelles des banques à l’importance d’en tenir compte et les incitera à l’intégrer à la liste des autres risques qu’elles gèrent.

Des conseils que toutes les institutions financières ne devraient pas prendre à la légère. Toutes, y compris la Banque du Canada. Car si jusque-là, les fraudeurs s’attaquaient surtout aux banques commerciales, l’affaire du Bangladesh démontre qu’elle peut désormais aussi être une cible.

La rédaction vous recommande :

• L’industrie financière de nouveau la ciblée par des cyberpirates
• Insolite : la faute d’orthographe qui a empêché un vol de 1 G$
• Des cyberpirates iraniens ciblent BMO