Cybercriminalité: «Le risque zéro n’existe pas»

La direction d’UNI le reconnaît sans détour: en matière de cybercriminalité, le risque zéro n’existe pas. La multiplication des attaques ciblant des institutions financières oblige le mouvement coopératif acadien à renforcer ses défenses.

Plusieurs cas de piratages dans le secteur de la finance ont fait les manchettes au cours de l’année.

Au mois de juin, le Mouvement des Caisses Desjardins révélait avoir été victime de la pire fuite de données confidentielles de son histoire. Un employé est soupçonné d’avoir volé et vendu les renseignements personnels de 2,7 millions de particuliers membres de la coopérative (noms, date de naissance, numéro d’assurance sociale, adresse, numéro de téléphone, courriel, habitudes transactionnelles et produits financiers utilisés).

En mars, Capital One a été la cible d’un des plus importants piratages informatiques visant une grande banque américaine. Les renseignements personnels de 106 millions de ses clients nord-américains, dont 6 millions de Canadiens, ont été dérobés par un pirate informatique. Pas plus tard qu’en octobre, l’agence de crédit TransUnion dévoilait avoir subi une brèche ayant exposé jusqu’à 37 000 comptes de Canadiens.

Cette succession de cyberattaques est prise très au sérieux par UNI Coopération financière.

«Le risque a augmenté. Uni et toutes les autres organisations ne sont pas à l’abri», constate le PDG de la fédération, Robert Moreau.

«On ne prétendra jamais être à l’épreuve d’une éventualité semblable. Chaque fois qu’un événement touche une organisation, ça nous permet de prendre du recul. On constate que les attaques sont des plus en plus sophistiquées, il faut toujours être à l’affût des nouvelles façons de faire.»

Investissements massifs

Face à cette nouvelle donne, UNI a dû investir massivement dans la sécurité numérique et la protection des informations personnelles.

Julie Francoeur, directrice de l’expérience client, explique que l’institution réexamine en permanence l’évaluation des risques, la formation du personnel et les plans d’intervention en cas d’incident.

«Nous sommes prêts à réagir rapidement pour contenir la faille si ça arrive. Nos employés sont formés aux techniques d’hameçonnage, au blanchiment d’argent et apprennent à contenir toute tentative de fraude, qu’elle soit faite au point de service ou de façon virtuelle. Ils sont ceinture noire de côté là», mentionne-t-elle.

L’accès aux données sensibles est restreint à certains membres du personnel. Règles de confidentialité, connexions sécuritaires, pare-feu, détection de courriels frauduleux, chiffrement des transactions, simulations de piratages, les contrôles de sécurité sont à la fine pointe.

La tendance est générale. D’après une étude de Statistique Canada, les entreprises canadiennes ont dépensé 14 milliards $ en 2017 afin de protéger leurs systèmes, prévenir et détecter des incidents de cybersécurité.

«Comme institution financière, on n’a pas le choix. On protège l’avoir des clients et leurs renseignements personnels, c’est notre plus grande priorité», souligne Julie Francoeur.

Elle l’assure, le mouvement coopératif ne souffre pas de la comparaison avec ses concurrents.

«Le risque zéro n’existe pas, ni pour la CIA, ni pour la NASA. Mais on croit être solides, les clients chez UNI ne sont pas moins en sécurité que dans une autre institution financière. On rencontre les mêmes standards».

«La sécurité informatique est l’affaire de tous»

Sur ces plateformes, l’institution acadienne invite sa clientèle à sécuriser son activité en ligne et l’alerte des stratagèmes utilisés par les fraudeurs. Certains n’hésitent pas à se faire passer pour un employé d’une institution financière pour voler vos informations personnelles ou installer un logiciel malveillant sur votre ordinateur. C’est ce qu’on appelle l’hameçonnage.

«Vous recevez l’appel d’un fraudeur qui prétend qu’une nouvelle manière d’améliorer vos services bancaires est maintenant disponible, ou qu’une mise à jour des informations de votre entreprise est requise. Le fraudeur vous met en confiance et vous propose de vous envoyer par courriel un logiciel à télécharger et de demeurer en ligne pour vous aider. En réalité, ce logiciel permettra au malfaiteur d’accéder à votre ordinateur et donc à vos informations personnelles (identifiants et mots de passe) pour faire des transferts de fonds», peut-on lire sur le site d’UNI.

«Il n’est pas dans nos pratiques de solliciter nos membres, par courriel ou autrement, pour obtenir des renseignements confidentiels les concernant.»

Ces efforts de sensibilisation sont intensifiés depuis le mois de juin, affirme Julie Francoeur.

«On ne sait jamais par quelles portes on va être fraudé. La sécurité informatique est l’affaire de tous.»