Noah Billick se souvient de la fois où un conseiller en services financiers a accidentellement envoyé 120 000 $ de l’argent d’un client à un cybercriminel.
C’était la saison des REER et tout le monde était occupé, raconte Noah Billick, qui a été responsable de la conformité pour plusieurs institutions financières et qui est maintenant associé et directeur de la réglementation, des fonds et de la conformité pour le cabinet d’avocats Renno & Co., à Montréal.
Le criminel a piraté le courriel de la fille d’un client et a demandé un transfert d’argent en se faisant passer pour celle-ci. La fille du client vivait à l’étranger et ce dernier lui avait déjà transféré des fonds, de sorte que le conseiller a accédé à la demande du criminel. Ils se sont rendu compte de l’erreur lorsque le conseiller a essayé d’effectuer un deuxième transfert et qu’un membre du personnel l’a signalé.
Le conseiller a reçu une amende de la part d’un régulateur et de la société. Le client a été dédommagé, mais l’expérience a été négative pour le conseiller et l’entreprise.
Les sociétés de gestion de patrimoine mettent souvent en œuvre des politiques de sécurité strictes qui peuvent réduire la marge de manœuvre des conseillers. Mais il est « beaucoup moins gênant » d’avoir des mesures de cybersécurité que de subir une violation, tempère Noah Billick.
Et les atteintes à la cybersécurité peuvent causer des dommages durables à la réputation, prévient Maria Flores, présidente de Carte Wealth Management, à Mississauga, en Ontario. Par exemple, les gens parlent encore d’une faille de sécurité survenue en 2023 dans le service de partage de fichiers GoAnywhere, qui a affecté plusieurs entreprises canadiennes de services financiers.
Pour s’acquitter de leur obligation légale de protéger les données de leurs clients, les entreprises ont besoin de politiques adéquates, d’une formation de suivi et d’une installation technique sécurisée. Si les politiques telles que l’authentification multifactorielle sont courantes, certaines entreprises vont plus loin.
L’authentification à deux facteurs et l’obligation d’ouvrir une nouvelle session après un changement de lieu sont des pratiques courantes en matière de cybersécurité, rapporte Maria Flores. Chez Carte Wealth, le partage de fichiers entre les conseillers et les clients se fait à l’aide de Docusign et de SideDrawer, un service de partage de fichiers cryptés.
Les conseillers disent : « Vous savez quoi ? Je suis un peu fatigué de cette authentification à deux facteurs ». Et je leur réponds : « Vous savez quoi ? Désolé, mais c’est la politique. Je ne peux pas la supprimer », affirme Maria Flores.
L’authentification multifactorielle peut être mise en place pour minimiser les perturbations pour les conseillers, explique Larry Keating, PDG de NPC DataGuard, une société d’intervention en cybersécurité située à Markham, en Ontario. L’une des options consiste à demander moins de reconnexions entre les sessions si l’utilisateur reste actif. Carte Wealth est un client de NPC et utilise cette méthode pour ses courriels et ses appareils gérés par NPC.
Carte Wealth a également mis en place une méthode simplifiée pour signaler les courriels d’hameçonnage. Lorsque quelqu’un repère un courriel suspect, il peut en informer les autres via la plateforme de messagerie interne de l’entreprise, Microsoft Teams, et le transférer à une adresse électronique « phishing 911 », ce qui entraîne le blocage de l’expéditeur par le système de l’entreprise pour tout le monde.
Carte Wealth encourage également les conseillers à souscrire une assurance cybersécurité, et invite des tiers à fournir des formations aux conseillers. Maria Flores assure que son personnel avait trouvé les séances de formation utiles.
La société Sterling Mutuals, basée à Windsor (Ontario), impose également une authentification à deux facteurs et verrouille les comptes après un trop grand nombre de tentatives infructueuses, informe Nelson Cheng, fondateur et PDG de la société. Chaque fichier téléchargé dans la base de données de l’entreprise est analysé par un logiciel antivirus, et les utilisateurs ne peuvent télécharger que certains types de fichiers.
Cependant, Nelson Cheng souligne que les attaques par ingénierie sociale sont devenues plus fréquentes. Il exprime une plus grande préoccupation quant au risque que des conseillers cliquent sur un lien malveillant plutôt qu’un pirate informatique ne parvienne à contourner un pare-feu.
« Si je voulais m’introduire dans notre système, je vous enverrais un document avec un lien, et vous cliqueriez dessus au moment d’ouvrir un document, explique-t-il. C’est à peu près la seule façon de s’introduire dans le système. »
Pour réduire la vulnérabilité de Sterling Mutuals à de telles attaques, le personnel est tenu de participer à une formation en ligne sur différents types de cyberattaques, notamment l’ingénierie sociale et l’identification des courriels suspects.
Le personnel reçoit périodiquement des courriels simulant des hameçonnages, indique Nelson Cheng. Ces courriels sont plus ou moins difficiles à repérer et plus ou moins sophistiqués. Si un employé clique sur un lien, il est averti qu’il doit suivre une nouvelle formation.
De même, le personnel de Carte Wealth visionne chaque mois une courte vidéo sur un sujet différent relatif à la cybersécurité, suivie d’un quiz, explique Maria Flores. Le système envoie également des courriels simulant des tentatives d’hameçonnage. Les personnes qui cliquent sur le lien reçoivent une formation supplémentaire.
La simulation d’hameçonnage fait partie d’un bon programme de formation à la cybersécurité, dit Larry Keating. Il est important d’enseigner aux employés les erreurs qu’ils ont commises, mais cela ne doit pas être fait de manière punitive.
« Je ne pense pas qu’il soit nécessaire de donner à l’employé l’impression que vous essayez de l’attraper », souligne-t-il. Les responsables peuvent expliquer à leur personnel qu’« il vaut mieux découvrir que nous ne faisons pas ce qu’il faut lorsque nous le faisons, plutôt que lorsque les méchants le font », précise-t-il.
Si les sociétés de gestion de patrimoine sont victimes d’une infraction, elles font appel à des avocats comme Noah Billick, dont le travail consiste notamment à communiquer avec les régulateurs pour « faire baisser la température », déclare-t-il. Les régulateurs s’intéressent à la formation à la cybersécurité de l’entreprise, aux incidents antérieurs et à la manière dont elle gère les comportements problématiques.
Un examen aidera également l’entreprise à définir des politiques pour éviter qu’un tel incident ne se reproduise, rapporte Noah Billick. Par exemple, le conseiller qui avait envoyé 120 000 $ sur le compte d’un criminel à l’étranger avait enfreint plusieurs règles, mais l’entreprise n’avait pas interdit aux conseillers de recevoir des instructions de leurs clients par courrier électronique. (L’incident était antérieur aux exigences de l’Organisme canadien de réglementation des investissements en matière de cybersécurité).
La société exige désormais que les conseillers confirment verbalement les transactions avec les clients.
Mesures de prévention de l’ingénierie sociale
- Formation périodique à la cybersécurité
- Simulation de tentatives d’hameçonnage afin d’identifier les membres du personnel devant bénéficier d’une formation supplémentaire
- Rationalisation des rapports sur l’hameçonnage
- Politiques interdisant d’accepter les instructions des clients par courrier électronique
- Phrases de passe et questions de vérification
- Filtres anti-spam équilibrés pour réduire les faux positifs
- Authentification basée sur la localisation afin que les courriels ne puissent être lus qu’à partir des lieux où le conseiller exerce normalement ses activités.