«Dorénavant, la prémisse est que toute entreprise, quelle qu’elle soit, peut être compromise et qu’elle l’est probablement déjà», souligne ce consultant qui compte plus de 20 ans d’expérience, et qui réalise des mandats pour des banques au Canada.
Selon lui, «l’arsenal gouvernemental» mis au jour par Edward Snowden ne fait que faciliter la mise en oeuvre des mêmes méthodes par le crime organisé.
«Les prochaines années s’avéreront cruciales. Et j’anticipe un saut important dans le degré de sophistication de toutes les attaques, que ces dernières soient physiques, locales ou à distance.»
Michel Juneau-Katsuya, chef de la direction de The Northgate Group, une firme spécialisée dans l’analyse des risques pour les entreprises, affirme lui aussi que les menaces (employés malveillants, activistes, crime organisé, États) sont de plus en plus évoluées.
Être proactif
Cette sophistication pose tout un défi pour les institutions financières au Canada, affirme cet ancien agent du Service canadien du renseignement de sécurité (SCRS).
«Aujourd’hui, il faut être plus proactif pour détecter les menaces. Il ne faut pas seulement réagir à des attaques», dit-il.
Le système bancaire mondial est une des principales cibles des cyberattaques. Et les banques canadiennes n’y échappent pas, révélait en novembre Finance et Investissement (FI), à partir de documents du Ministère des Finances à Ottawa.
Par exemple, les institutions financières du pays ont été attaquées à huit reprises au cours du premier trimestre de 2013 (la période sur laquelle se concentrait l’information obtenue par FI), selon le Centre canadien de réponse aux incidents cybernétiques (CCRIC), une agence fédérale.
Pour des raisons évidentes, les institutions financières avec lesquelles nous avons communiqué ont refusé de se prononcer quant aux menaces de sécurité qui planent sur elles.
Or, lors d’un discours prononcé en février devant le Cercle canadien de Montréal, le président et chef de la direction de la Banque Nationale, Louis Vachon, a indiqué que l’institution estimait être en mesure d’empêcher le vol ou la destruction des données personnelles de ses clients.
«Nous sommes tous conscients des développements à l’échelle mondiale dans ce domaine, a déclaré le patron de la première banque québécoise, dont les propos étaient rapportés par La Presse canadienne. Nous avons fait beaucoup d’investissements en sécurité.»
L’Association des banquiers canadiens (ABC) affirme pour sa part que «les banques ont prévu des systèmes de sécurité de pointe et des équipes de lutte contre la fraude pour protéger les clients contre une myriade d’activités frauduleuses, notamment les menaces cybernétiques».
Si l’hameçonnage est une menace constante pour les institutions financières canadiennes, celle que représente le crime organisé est de plus en plus préoccupante et dangereuse, affirme Éric Parent, fondateur et directeur général de Logicnet, une firme spécialisée en sécurité informatique.
«Le crime organisé infiltre désormais les banques pour apprendre leur mode de fonctionnement. On ne parle pas ici d’un grand vol fait d’un seul coup, mais plutôt de transferts d’argent effectués sur une base régulière, qui peuvent s’échelonner sur plusieurs années avant qu’une banque ne s’en rende compte !»
Fraudeurs persévérants
En février, la firme russe de sécurité informatique Kaspersky Lab a d’ailleurs révélé que des hackers avaient infiltré plus de 100 banques dans 30 pays – y compris des banques canadiennes, non identifiées – pour y voler près de 1 G$ US, et ce, depuis la fin de 2013.
«L’infiltration qui a été faite démontre une persévérance de fou, dit Éric Parent. Les gens se sont bien installés à l’intérieur des banques pour comprendre les processus d’affaires, comment on fait l’attribution des différents processus de paiement. Ils sont même allés jusqu’à reprogrammer des guichets automatiques pour les vider.»
Guillaume Clément, associé principal chez Egyde, une firme-conseil spécialisée dans la sécurité de l’information, affirme que le cybercrime organisé qui cherche à voler et à revendre des renseignements personnels (nom, adresse, bilan financier personnel, données médicales, numéro d’assurance sociale, etc.) est une autre menace importante.
«Éliminez cette menace et le risque disparaît», précise-t-il.
Selon lui, les institutions financières peuvent déployer quatre stratégies contre ce type de menace :
Sensibiliser le personnel aux attaques de type social engineering, notamment le spear phishing (harponnage).
Déterminer quels systèmes informatiques contiennent ces informations et s’assurer d’une sécurité et d’une surveillance accrues contre les intrusions et les comportements suspects.
Utiliser les technologies de dernière génération pour la protection contre les logiciels malveillants (malwares).
Installer les correctifs de sécurité sur toutes les composantes technologiques et sur tous les logiciels (PC, serveurs, réseau, BD, etc.) de l’organisation, et ce, sans attendre.
Si les banques canadiennes sont encore vulnérables à des cyberattaques, elles semblent en revanche être au nombre de celles qui comprennent le mieux l’ampleur de la menace de la cybercriminalité dans le monde, du moins si on se fie au Banking Banana Skins 2014, publié en mai 2014 par PwC.
Ainsi, l’industrie canadienne estime que la cybercriminalité est la quatrième cible la plus importante parmi une trentaine d’enjeux, notamment le risque de crédit, la réglementation et le risque technologique. L’industrie mondiale classe cet enjeu au neuvième rang.
Et cette préoccupation en matière de cybercriminalité est apparue rapidement sur l’écran radar des banquiers du Canada : en effet, elle n’était qu’au 21e rang en 2012 (au 24e rang dans le monde, cette même année).