Les conseillers en placement (CP) du Québec sont satisfaits de la cybersécurité que leur offre leur courtier, montre le sondage mené pour le Pointage des courtiers québécois 2024.
À cette occasion, ils ont évalué si leur courtier déployait des efforts suffisants pour renforcer la sécurité et lutter contre les cyberattaques. Les CP ont donné une note moyenne de 9,14, ce qui signifie que l’écrasante majorité juge que c’est le cas. Pourtant, les risques de fraudes sont encore bien présents, préviennent deux experts en cybersécurité. « Je les crois quand ils se disent en sécurité, commente Alain Constantineau, vice-président pour l’Amérique du Nord de Hornetsecurity.
Mais ils font possiblement preuve de naïveté. Ce ne sont pas des experts dans le domaine. »Les commentaires des répondants laissent percevoir un manque de connaissances de la part des CP. « Je l’ignore, mais j’imagine qu’on est protégés », répond un CP d’iA Gestion privée de patrimoine. « Je ne vois pas grand-chose de ce qu’ils font, mais je suis sûr qu’ils ont mis en place des mesures de sécurité pour lutter contre les cyberattaques », renchérit un autre de Valeurs mobilières Desjardins. « On a des équipes qui travaillent là-dessus sans relâche », promet un troisième de la Financière Banque Nationale. Alain Constantineau relève également que ces conseillers doivent en faire toujours plus, comme leurs clients, ce qui donne une impression de sécurité.
Des courtiers forment leurs conseillers, testent leur réaction en leur envoyant de faux courriels d’hameçonnage, forcent le cryptage des courriels, notent des CP interrogés.
Nombre de sondés parlent aussi de l’identification multifacteur, un système de sécurité qu’Alain Constantineau estime « tout à fait nécessaire ». « Pour l’information sensible, nous avons un système de vérification en deux étapes », indique un CP de ScotiaMcLeod.
Or, Alain Constantineau souligne que le problème est ailleurs. « On a créé tellement de logiciels que le maillon faible, c’est l’être humain ». Un point dont les pirates semblent s’être rendu compte, puisqu’ils sont revenus à une ancienne forme de fraude : le social engineering (piratage psychologique). « Avant, ils tentaient de trouver une brèche de la sécurité quelque part, maintenant, le vecteur d’attaque est revenu vers l’humain », constate l’expert.
Et ceci est vrai même pour l’identification multifacteur, assure Steve Waterhouse, conférencier et spécialiste en sécurité informatique. Sans s’en rendre compte, les réponses aux questions personnelles qui sont souvent complémentaires aux mots de passe se trouvent sur leurs médias sociaux. Et même les mots de passe eux-mêmes sont souvent bien trop simples. « “123 456 ’’ est encore le mot de passe le plus populaire sur la planète ! ‘Password’ est le numéro deux ! » rapporte-t-il.
La formation est nécessaire et beaucoup d’institutions en offrent, selon des sondés. « Nous avons des modules à faire régulièrement », confie un répondant de ScotiaMcLeod. « La firme fait très régulièrement des formations et des tests pour renforcer la sécurité », renchérit un autre de RBC Dominion Valeurs mobilières.
Sauf que même là, l’émotivité peut faire tout oublier au moment clé, notamment dans les fraudes par hameçonnage. « Vu la cadence du quotidien que l’on vit, on peut facilement être la victime de ces arnaques », estime Steve Waterhouse.
Les deux experts mentionnent que certaines institutions font le nécessaire en matière de cybersécurité, mais se limitent souvent à ce que requiert la législation.
« S’il n’y avait pas ces éléments imposés, ils ne le feraient sûrement pas », avance Steve Waterhouse, qui précise quand même qu’il existe des exceptions.
Alain Constantineau est bien conscient que certaines institutions allouent beaucoup d’argent à la cybersécurité. Toutefois, il constate un manque de cohésion dans leurs actions.
« Elles se procurent le meilleur pare-feu, le meilleur antivirus, mais l’un parle chinois, l’autre allemand et le troisième anglais », déplore-t-il. Les systèmes ont ainsi du mal à travailler ensemble, ce qui crée des brèches.
« Ce n’est pas un manque de volonté, mais un manque de cohésion », explique-t-il.
Problèmes internes
Le télétravail ajoute encore une couche de difficulté en multipliant le nombre de points d’accès. S’il est encore possible de gérer cela, le problème humain revient.
Quelqu’un pourrait ainsi décider d’imprimer des documents confidentiels ailleurs qu’à la banque, ou travailler dans un lieu public en utilisant une connexion wifi non sécurisée.
Les problèmes internes sont complexes à gérer. Les deux experts estiment qu’il faudrait intégrer des marches à suivre et des accès limités selon la sensibilité de l’information, comme en Europe avec le Règlement général sur la protection des données.
« Au Québec, on a la loi 25 qui s’en va vers ça, mais on a à peu près sept ans de retard », affirme Alain Constantineau.
Les experts rappellent qu’en cybersécurité l’important est de prévoir les mouvements des fraudeurs et non d’y réagir. Steve Waterhouse s’inquiète ainsi des nouvelles fraudes, comme celles par la voix ou par vidéo, qui pourraient faire beaucoup de dégâts. Un fraudeur se fait ainsi passer pour un client ou un dirigeant et lui demande d’effectuer un retrait ou un changement de compte de banque principal. Le CP, trompé par un logiciel d’intelligence artificielle qui imite sa voix ou son apparence, s’exécute sans vérifier au préalable son identité.
Les courtiers sauront-ils y faire face ? « Ils ont la connaissance pour le faire, mais ils n’ont pas nécessairement le vouloir », juge-t-il.