Si l’OCRI obtient cette année des notes supérieures pour la grande majorité des critères d’évaluation par rapport au même sondage mené en janvier et février de 2025, deux indicateurs affichent toutefois un recul marqué, une baisse qu’Alexey Burakovski, chef de la conformité par intérim chez iA Gestion privée de patrimoine (iAGPP), attribue en partie à « l’incident de cybersécurité ».

Le premier recul concerne les communications. Au critère « le régulateur répond rapidement aux questions soulevées par les représentants et les organisations », les responsables de la conformité interrogés ont attribué une note de 7,5 sur 10 à l’OCRI en 2026, en baisse de 0,6 point sur 10 sur un an.

« Je reconnais que l’OCRI a subi d’importantes pressions au cours de la dernière année en raison de la cyberattaque. Cela a entraîné un léger ralentissement des délais de réponse, ce qui me semble tout à fait compréhensible compte tenu de la priorité accordée à la gestion de cet incident », confie l’un des répondants.

Le second critère d’évaluation touche le soutien de l’OCRI pour aider les organisations à faire face aux enjeux de cybersécurité et aux risques technologiques. Les répondants accordent une note moyenne de 5,1 à l’OCRI cette année, contre 6,9 l’an dernier.

Les avis des répondants sont partagés. « L’année 2025 a été un véritable fiasco pour l’OCRI. La faille de sécurité n’a pas été communiquée immédiatement aux personnes concernées, mais seulement plusieurs semaines plus tard, alors que les données compromises avaient déjà eu amplement le temps de circuler sur le web », reproche ainsi l’un d’eux. « Une faille s’est produite et aucune information n’a été communiquée aux personnes concernées », juge un autre.

Sur la question du soutien en cybersécurité, des répondants se montrent critiques. Certains estiment que l’OCRI est mal positionné pour offrir de l’aide après avoir été lui-même victime d’un incident. « Il n’y a presque aucun soutien. L’OCRI gère sa fuite du mieux qu’ils peuvent », désapprouve un sondé.

D’autres déplorent que les données de membres et de clients aient été touchées. « C’est très décevant que le régulateur ait été lui-même victime d’un événement de cybersécurité et que l’information de ses membres et celle de clients ait été touchée », commente un autre.

À l’inverse, certains estiment que la réponse de l’OCRI constitue un cas d’apprentissage afin de savoir comment communiquer en cas de cyberattaque. « Dans un contexte très difficile, l’OCRI a fait un bon travail de communication à cet égard », souligne un sondé.

Malgré ces baisses de notes de 2025 à 2026, certains courtiers membres saluent la réaction de l’OCRI à la découverte du cyberincident. « C’est malheureux, car nous n’avons reçu de questions que par un nombre limité de conseillers, d’employés, de clients quant à la portée de cet incident », commente Alexey Burakovski.

Selon lui, l’OCRI a réagi de façon très proactive. Il mentionne notamment la mise en place de conférences vidéo et de communications ciblées.

« Personnellement, j’ai reçu une lettre m’offrant deux ans de surveillance de mon crédit. Même si la situation est regrettable, les mesures prises par le régulateur démontraient bien qu’il était en mode solution, tant pour prévenir d’éventuels risques que pour rassurer la population », affirme-t-il.

« C’est malheureux ce qui est arrivé, mais ils ont bien géré la situation. L’OCRI a déployé les efforts, ils se sont rendus disponibles. La haute direction a eu des communications régulières. Ils ont mis des protections en place. Était-ce parfait ? Non. Mais ce genre d’incident nous guette tous », renchérit France Kingsbury, cheffe des affaires juridiques et de la conformité à PWL Capital.

Un point de vue partagé, mais nuancé par Maxime Gauthier, président de Mérici Services Financiers. Il souligne une volonté de leadership rassurant et une réaction rapide, tout en rappelant la complexité de la situation. « Je ne crois pas que les efforts ont été négligés pour prendre les mesures le plus rapidement possible, pour communiquer, pour se rendre disponible. J’ai senti une volonté d’exercer un leadership rassurant, de prendre le contrôle de la situation », dit-il.

Il estime toutefois que certains éléments, notamment le fait que 750 000 clients et anciens clients de courtiers membres avaient été touchés, ont mis du temps à émerger. L’OCRI a rendu cette information publique en janvier 2026 et commencé l’envoi des avis le 14 janvier 2026.

Jean-Paul Bureaud, directeur général à FAIR Canada, est aussi de cet avis. « Les indications aux investisseurs touchés sont arrivées plusieurs mois après la brèche, ce qui soulève des préoccupations légitimes », relève-t-il. Il se dit surpris et inquiet du délai que les Autorités canadiennes en valeurs mobilières (ACVM) ont mis avant de faire des annonces publiques sur ce plan, alors qu’elles supervisent l’OCRI.

« Les investisseurs sont en droit de s’attendre à recevoir des explications sur les mesures prises pour renforcer la surveillance, corriger les failles et éviter qu’une situation semblable se reproduise. C’est très important pour rétablir la confiance. » « Je suis surpris du peu de choses qui ont été dites publiquement (par les ACVM), compte tenu de la gravité de la faille », disait-il au début d’avril. Les ACVM ont toutefois abordé le dossier dans l’Avis 25-315 publié le 2 avril 2026.

Réponses des autorités réglementaires

L’OCRI dit avoir contré rapidement la menace. « Par mesure de précaution, l’OCRI a fermé de manière proactive certains de ses systèmes pour en assurer la sécurité et a immédiatement ouvert une enquête. Pendant toute cette période, les fonctions essentielles sont demeurées accessibles. »

Après avoir découvert que les renseignements d’inscription des sociétés membres et des personnes physiques inscrites avaient été compromis, le régulateur a agi : « Nous avons publié un communiqué de presse, suivi par les lettres, les webinaires pour les membres, et les courriels. Nous avons divulgué ces conclusions publiquement et les avons communiquées directement à nos membres et aux personnes inscrites touchées. »

À ce moment, l’OCRI a indiqué que l’enquête était toujours en cours. « Les données étaient très complexes et ont nécessité du temps afin de déterminer les répercussions ainsi que l’exposition individuelle des clients. Dès le départ, notre objectif a été de mener l’enquête la plus approfondie et la plus transparente possible afin d’assurer la protection des données qui nous sont confiées, de renforcer nos propres systèmes et de faire des recommandations visant à aider nos membres à améliorer leurs propres mesures de cybersécurité », lit-on dans une réponse écrite de l’OCRI.

Dès qu’elle a été avisée de l’incident de cybersécurité, l’Autorité des marchés financiers, de concert avec les autres juridictions canadiennes, « a supervisé de près les dispositions prises par l’OCRI pour soutenir les investisseurs. Elle considère aussi les mesures qui pourraient être nécessaires afin de rehausser l’encadrement de la cybersécurité par les OAR et autres participants au marché », indique l’AMF.

L’AMF souligne que l’OCRI a pris des mesures pour sécuriser ses systèmes et protéger les renseignements qui lui ont été confiés. « Une enquête a également été lancée avec le soutien d’experts en cybersécurité. L’OCRI a publié sur son site web les résultats préliminaires de cette enquête, et a offert aux personnes touchées des services de surveillance du crédit et de protection contre le vol d’identité », note l’AMF.

Leçons à tirer

Alexey Burakovski insiste sur la complexité inhérente à ce type d’incident. Selon lui, chaque communication doit reposer sur des faits solidement établis, dont l’analyse exige du temps.

Il estime ainsi que les délais étaient justifiables, dans la mesure où le régulateur cherchait à fournir dès le départ une information claire et fiable, tout en adoptant une approche préventive auprès des clients et des conseillers. L’incident a forcé les équipes d’iAGPP à réexaminer ses processus internes et contrôles afin d’en évaluer la solidité.

De son côté, Maxime Gauthier s’interroge sur les mesures mises en place à la suite de l’incident pour prévenir toute récidive. S’il reconnaît ne pas en être entièrement satisfait, il admet toutefois que certains éléments ne peuvent être divulgués. « Tu ne veux pas donner le plan aux voleurs, on s’entend », concède-t-il.

Il partage également une préoccupation quant aux employés de l’OCRI. Cet événement est arrivé alors que le cahier de charge de l’OCRI était, selon lui, déjà particulièrement rempli et ambitieux.

« Malgré le cyberincident, l’OCRI a mené à bien toutes ses priorités annuelles pour l’exercice 2026 », affirme l’OCRI.

Maxime Gauthier rappelle toutefois que personne n’est immunisé contre un incident de la sorte. « En 2026, qui peut se croire parfaitement à l’abri de ce risque-là ? La question n’est pas tellement si, mais plutôt quand cela va être notre tour, parce qu’aucun système n’est parfait. »

« Cet incident aura sûrement un impact sur l’étendue de l’information exigible par l’OCRI auprès des firmes quand, par exemple, ils viennent en inspection ou quand on leur fait des rapports. […] Peut-être que l’anonymisation des données est à réfléchir », soulève France Kingsbury. Selon elle, l’OCRI doit sérieusement évaluer la rétention de l’information et le calendrier de destruction des données.

Elle souligne que les firmes doivent être conscientes que ces informations peuvent réapparaître à tout moment et qu’il est donc essentiel de mettre en place des contrôles durables. Cela passe notamment par l’attribution d’accès ciblés, le recours à l’authentification multifactorielle ainsi que par des rappels réguliers et une formation continue, tant pour le personnel que pour les clients.

Maxime Gauthier soulève une réflexion plus large : la possibilité de mutualiser certaines ressources ou pratiques en matière de gestion d’incident de cybersécurité et de risques qui y sont liés.

Selon lui, une approche collective permettrait de renforcer la résilience du secteur et de tirer des leçons des expériences passées, plutôt que chaque entité ne gère ses risques de manière isolée.

Pour accéder au tableau, cliquez ici.

Avec la collaboration de Guillaume Poulin-Goyer et Carole Le Hirez

L’article OCRI : la cyberattaque nuit à sa perception est apparu en premier sur Finance et Investissement.

Lire la première partie de cette série de questions-réponses 2026 avec la Chambre de l’assurance: La ChA rassure l’industrie

FI : Les responsable de la conformité répondants du secteur de l’assurance accordent en moyenne une note faible au critère d’évaluation suivant : « Les frais imposés par le régulateur aux représentants sont justes et équitables par rapport aux actions du régulateur et à l’application de sa mission. » Qu’en pensez-vous?

Chambre de l’assurance (ChA) : La ChA n’est pas un régulateur, mais plutôt un organisme d’autoréglementation qui a pour mission première la protection du public. À cette fin, elle est autofinancée par la cotisation annuelle de ses membres, ce qui lui permet d’exercer son rôle en toute indépendance. Cette cotisation sert à mettre en place un écosystème de protection du public qui contribue à la confiance du public envers l’encadrement des membres.

Cet écosystème repose sur des mécanismes de prévention (dont les formations, les outils et les publications sur les bonnes pratiques professionnelles et déontologiques) et des mécanismes disciplinaires (les enquêtes et le comité de discipline). À cela s’ajoute une structure de surveillance par la gouvernance. La cotisation permet donc à la Chambre de remplir les exigences auxquelles elle est assujettie. De plus, elle finance des systèmes numériques fiables et sécuritaires, dont les plateformes d’apprentissages et de gestion des dossiers de formation des membres.

La Règle sur la cotisation est établie dans un esprit d’équité et de transparence. Elle a fait l’objet d’une consultation publique l’automne dernier. Une nouvelle consultation aura lieu prochainement pour établir les modalités de la cotisation 2027 et les membres seront invités à y participer en temps et lieu.

FI : Le fait que, dès juillet, plus de 20 000 représentants en épargne collective passeront sous l’OCRI risque d’ébranler les finances de la ChA, comme l’évoquait la CSF dans les consultations publiques menées par le ministère des Finances au printemps 2025. Sur le plan de votre tarification aux représentants, comment allez-vous composer avec ce manque à gagner tout en vous assurant de maintenir votre mission?

ChA : La fusion de la CSF et de la ChAD entraîne des opportunités de synergie qui participent à équilibrer le budget. Par exemple, le nombre d’administrateurs du conseil d’administration est passé de 23 à 15 membres et l’organigramme a été allégé : il n’y a plus de vice-présidence et on ne compte plus qu’un syndic et qu’une PDG. Des travaux sont également en cours pour que la Chambre tienne ses activités dans un seul local au lieu de conserver les deux emplacements hérités des chambres fusionnantes.

Considérant ces synergies et les actifs des anciennes chambres, la ChA est en bonne santé financière pour maintenir, voire optimiser ses façons de faire, sans aucun compromis sur la protection du public et sur l’encadrement des membres. Ce fait est démontré par les états financiers audités pour l’exercice 2025, disponibles à chambreassurance.ca.

Les modalités entourant la cotisation 2027 feront l’objet d’une consultation publique un peu plus tard cette année et la Chambre invitera les membres à y participer. Notre objectif est de proposer une cotisation indexée raisonnablement, nous permettant de remplir notre mission de protection du public efficacement. Toute modification envisagée sera expliquée de façon transparente, le cas échéant.

Sur les quelque 22 000 représentants en épargne collective qui seront encadrés par l’OCRI à partir du 4 juillet prochain, environ 7 000 détiennent au moins une autre certification en assurance de personnes ou en planification financière et demeureront membres de la Chambre.

Processus disciplinaire

FI : Par le passé, les délais de traitement de dossiers de demandes d’enquêtes ouverts ou fermés par le syndic à la Chambre de la sécurité financière ont été montrés du doigt par différents rapports d’inspection de l’AMF et par certains intervenants de l’industrie financière. Maintenant que la fusion de la CSF et la ChAD a eu lieu, comment prévoyez-vous que cette situation évoluera, sachant qu’il y a eu une hausse récente des délais moyens de traitement des dossiers d’enquête de 12 mois à 16 mois? Quels indicateurs clés allez-vous suivre et quels sont vos objectifs à atteindre sur ce plan?

NDLR: Dans ses derniers rapports annuels, la CSF publiait la proportion des enquêtes en cours qui dépassent 12 mois ainsi que le délai moyen des enquêtes. En 2025, « le délai moyen de traitement des dossiers s’est établi à 16 mois en raison de la complexité croissante des cas et de la stabilisation des effectifs ». En 2024, on lisait : « Au 31 décembre 2024, il y avait 114 dossiers d’enquête en cours depuis plus de 12 mois (30 %). Le délai moyen de traitement des dossiers d’enquête en cours, quant à lui, était d’environ 12 mois à la même date, ce qui est d’ailleurs similaire à la moyenne des quatre dernières années. »

ChA : La ChA reconnaît que les délais d’enquête sont un enjeu. Il s’agit de l’une de ses grandes priorités. En 2025, le bureau du syndic a solidifié les initiatives mises en place par la ChAD et la CSF pour permettre un traitement plus fluide et efficace des enquêtes. Entre autres, la structure d’équipe a été repensée et élargie pour améliorer la cadence des enquêtes, le partage des expertises et l’efficacité des tâches administratives.

On voit déjà des résultats encourageants à la suite de ces initiatives. Par exemple :

• le nombre de dossiers ouverts depuis plus de 12 mois a diminué de 20 % par rapport à mars 2025;
• le nombre de dossiers en traitement a diminué de 30 %.

De plus, notre plus récent rapport d’activité démontre une fulgurante amélioration du nombre de fermetures de demandes d’enquête. En assurance de personnes, épargne collective et planification financière, le nombre de demandes d’enquête fermées est passé de 283 à 387 de 2024 à 2025. En assurance de dommages, il est passé de 247 à 650 en 1 an.

Considérant que, depuis le début de l’année, le taux de rétention du personnel au bureau du syndic est de 100 % et que les efforts se poursuivent en 2026, nous sommes persuadés que les résultats continueront de s’améliorer dans les prochains mois.

FI : Un répondant critique les sanctions imposées à la suite d’audiences disciplinaires. Il dit : « Dans certains cas où des conseillers ont commis des manquements graves d’ordre éthique, tels que la falsification de documents ou des actes mettant en doute leur honnêteté, les sanctions imposées par les comités de discipline sont trop clémentes et protègent insuffisamment le public. » Que lui répondez-vous?

ChA: La nature des sanctions imposées par le comité de discipline de la ChA varie entre l’amende, la réprimande ou la radiation (temporaire ou permanente). Le comité de discipline est un tribunal quasi judiciaire indépendant. Il rend ses décisions sur sanction en fonction de plusieurs facteurs, dont la gravité des manquements, l’ampleur du préjudice subi, les avantages tirés de l’infraction et les circonstances aggravantes ou atténuantes relatives au dossier. Le comité de discipline rend aussi des décisions cohérentes avec la jurisprudence disciplinaire. Enfin, en droit disciplinaire, la sanction imposée a pour objectifs l’exemplarité et la dissuasion, et non la punition.

Cybersécurité

FI : Les conséquences et les risques liés aux cyberattaques sont une préoccupation constante des répondants du sondage. Comment contribuez-vous à expliquer aux conseillers leurs obligations à l’égard des cyberattaques, considérant leurs nombreuses obligations professionnelles?

ChA : Les bonnes pratiques entourant les cyberrisques et les cyberattaques sont intrinsèquement liées aux codes de déontologie des membres de la Chambre de l’assurance et à certaines lois, dont la Loi sur la protection des renseignements personnels dans le secteur privé. C’est pourquoi ces sujets sont régulièrement intégrés aux ressources que nous produisons.

Par exemple :

• Formation Cybersécurité : protégez vos clients et votre pratique | CSF
• Le deuxième module du cours obligatoire Déonto Plus se concentre sur l’importance de tenir à jour et développer ses compétences, tout particulièrement en lien avec la cybersécurité. Cours obligatoire (2023-2027) – Déonto Plus | CSF

Nous continuerons de promouvoir les bonnes pratiques à cet égard.

(Note : Nous n’avons pas inclus les initiatives en assurance de dommages, car elles s’appliquent moins aux lecteurs de Finance et Investissement)

Pour accéder au tableau, cliquez ici.

L’article Tarification et enquêtes : la ChA s’explique est apparu en premier sur Finance et Investissement.

Dans un courriel reçu par Finance et Investissement, l’OCRI affirme : « Rien n’indique que des données ont été utilisées à mauvais escient. » Harold Geller, défenseur des droits des investisseurs chez Geller Law, en doute, mais il ne peut démontrer le contraire. Il fait simplement le constat que deux recours judiciaires ont émergé très rapidement, sans être encore officialisés, un au Québec et un autre en Colombie-Britannique, après que l’OCRI a eu reconnu, dans un communiqué du 14 janvier 2026, que le cyberincident « a touché environ 750 000 investisseurs canadiens ».

Me Geller fait l’hypothèse que des poursuites ne se seraient pas matérialisées aussi rapidement après le communiqué du 14 janvier (survenu cinq mois après la première annonce du cyberincident), « si des dommages impliquant des investisseurs n’avaient pas surgi un certain temps avant le communiqué ».

Rappelons que le Mouvement Desjardins a accepté un règlement à l’amiable d’environ 200 millions de dollars (M$) pour clore les poursuites liées à une fuite de données survenue en juin 2019. Il n’est pas dit que l’OCRI s’en sortira indemne ; cependant il vaut la peine de se remémorer le cas Lamoureux c. OCRCVM, où un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) (maintenant l’OCRI) avait oublié un ordinateur non crypté dans un train. L’action collective a été rejetée par la Cour supérieure du Québec, jugeant les dommages non prouvés et la réaction de l’organisme appropriée.

Relativiser la perte de données

Me Geller juge que les investisseurs souffrent déjà des dommages puisqu’ils ont raison de s’inquiéter pour leurs actifs « Leur susceptibilité à des fraudes de toutes sortes a considérablement augmenté. » En revanche, aucun cas de vol d’identité ou de fraude financière lié au cyberincident à l’OCRI n’est encore documenté. « Je n’ai eu vent de rien, » affirme Maxime Gauthier, président de Mérici Services financiers, qui siège au conseil régional de l’OCRI.

Ce dernier tient à mettre les choses en perspective. « Si quelqu’un pense qu’aucune de ses informations personnelles ne se retrouve sur le Dark Web, il se raconte des histoires. » Alexandre Cormier, président de la société de sécurité informatique CyberShell, en dit autant. « À peu près tout le monde s’est fait voler ses données, dit-il. Qui irait chercher cette info pour l’utiliser contre moi ? Je crois que c’est de moins en moins important. Le numéro d’assurance sociale et la date de naissance ne sont plus des moyens suffisants de s’identifier. » De plus, les informations sur le

Dark Web « sont mal formatées et peu fiables », ajoutant que les informations subtilisées à l’OCRI sont « assez bénignes ».

Rappelons que, dans son communiqué, l’OCRI rapporte que les renseignements suivants pourraient avoir été compromis : date de naissance, numéros de téléphone, salaire annuel, numéro d’assurance sociale, numéros de pièces d’identité gouvernementales, numéros de compte de placement et relevés de comptes.

À quel type de cyberpirate a-t-on affaire ?

Ce n’est pas pour dire que le fait que des informations personnelles circulent dans le Dark Web est sans danger. « En soi, il est assez bénin de se faire voler son information personnelle, poursuit Alexandre Cormier, cependant le contexte dans lequel s’insère cette information peut faire la différence. Si elles s’inscrivent dans un contexte où on vise des gens fortunés, alors ce n’est pas anodin. »

La nature de l’attaque contre l’OCRI peut fournir des indices sur l’utilisation éventuelle des données : s’agit-il d’une attaque de circonstance effectuée par des pirates qui ont pénétré dans les systèmes de l’OCRI comme ils seraient entrés dans l’ordinateur du dépanneur du coin ? Ou s’agit-il d’une attaque systématique et concertée menée par des experts visant à obtenir des informations pour lesquelles ils envisagent déjà une utilisation lucrative ?

« Un expert en cybersécurité pourrait déterminer si l’attaquant est opportuniste ou déterminé », affirme Alexandre Cormier. Mais nous n’en savons rien pour l’instant. Dans le courriel qui répond aux questions de Finance et Investissement, l’OCRI se contente de dire que « cet incident a été le résultat d’un hameçonnage sophistiqué ».

Le proverbial maillon faible

Chose à peu près certaine, le cyberincident a joué sur une faiblesse humaine. Il ne s’agit pas d’une simple pénétration informatique. Un humain a été hameçonné : par exemple, un courriel l’a invité à cliquer sur un lien — et il est tombé dans le panneau, ouvrant tout grand son ordinateur aux pirates. Cela indiquerait que l’OCRI a peut-être failli dans la formation de son personnel contre les cybermenaces.

À la suite, on peut se demander si le système d’exploitation de l’ordinateur qui a servi de point d’entrée aux pirates était à jour. « L’ordinateur était-il passé de Windows 10 à Windows 11, questionne Alexandre Cormier ? Si ce n’est pas le cas, on se retrouve avec une grande porte béante. Les choses ont débuté avec un hameçonnage, mais toute une chaîne d’événements s’ensuit à partir de là. L’employé avait peut-être toute cette information sur son poste de travail, ce qui n’est certainement pas une bonne pratique. Sinon, d’autres barrières ont été pénétrées et, là encore, peut-être que des contrôles nécessaires n’étaient pas en place. »

Pour l’instant, on peut se perdre en conjectures, conjectures qui trouveront peut-être réponse si les recours collectifs au Québec et en Colombie-Britannique vont de l’avant.

Une controverse

Avant même que toute poursuite se matérialise, une question a suscité une controverse. Dans une chronique d’opinion parue le 24 février dans Investment Executive, Barbara Amsden, défenseur des droits des consommateurs, évaluait à 100 M$ les coûts découlant du cyberincident, qu’il s’agisse de dépenses de mise à jour des systèmes informatiques ou de pénalités légales. Elle proposait que, pour couvrir une partie de ces frais, l’OCRI recoure à son fonds de réserve de 25 M$. « Utiliser ce fonds pour couvrir les frais est la seule façon d’atteindre à une justice systémique », a-t-elle écrit.

« Ne touchez pas à ce fonds ! » a répliqué Ken Kivenko, défenseur des investisseurs, dans une réponse parue le 2 mars également dans Investment Executive, écrivant : « Un organisme d’autoréglementation qui ne peut protéger les fonds destinés à des initiatives dans l’intérêt des investisseurs et du public contre les intérêts manifestes de l’industrie doit rendre les clés aux ACVM, car à ce stade, il a cessé de fonctionner dans l’intérêt public. »

Maxime Gauthier est du même avis. « Ce fonds est pour la protection des investisseurs dans un cadre d’éducation. Je ne pense pas qu’il peut être détourné. C’est un fonds dédié ! » En même temps, il réclame une certaine indulgence à l’endroit de l’OCRI. « Je suis très réticent à leur lancer la pierre, dit-il. Ils sont à fusionner deux organismes et doivent gérer un calendrier très ambitieux. Je peux être très empathique. »

L’article Après la brèche à l’OCRI, l’heure des questions est apparu en premier sur Finance et Investissement.

Les données compromises pourraient inclure :

• des dates de naissance,
• numéros de téléphone,
• revenus annuels,
• numéros d’assurance sociale (NAS),
• numéros de pièces d’identité émises par un gouvernement,
• numéros de compte de placement
• et relevés de compte.

Les investisseurs concernés peuvent être des clients actuels ou anciens de sociétés membres du OCRI.

« Nous regrettons profondément que cet incident soit survenu et nous nous excusons pour tout inconvénient ou toute inquiétude que cela pourrait causer », assure l’organisme dans son communiqué.

L’OCRI a précisé avoir recueilli ces renseignements sur les investisseurs « dans le cours normal » de l’exécution de son mandat réglementaire, qui vise à protéger les investisseurs contre des comportements et pratiques de placement inappropriés, ainsi que dans le cadre de ses activités d’enquête, d’évaluation de la conformité et de surveillance des marchés.

À l’heure actuelle, aucune preuve n’indique que ces renseignements aient été utilisés de façon abusive, précise l’organisme.

L’OCRI a également précisé ne pas recueillir de données d’ouverture de session, comme les mots de passe, questions de sécurité ou NIP ; ces renseignements ne seraient donc pas à risque.

Sur sa page d’information destinée aux investisseurs touchés, l’OCRI indique supprimer les renseignements des investisseurs lorsqu’ils ne sont plus requis à des fins d’enquête, d’évaluation de la conformité ou de surveillance des marchés. « Nous ne sommes pas en mesure de traiter des demandes individuelles de suppression », indique-t-on.

L’OCRI communique actuellement avec les investisseurs concernés pour les informer de l’incident et leur offre deux années de services de surveillance du crédit et de protection contre le vol d’identité. Les investisseurs recevront des avis par courriel ou par la poste à compter du 14 janvier, selon le communiqué.

« Nous avons l’intention de faire ce qu’il faut pour les personnes directement touchées, affirme Andrew Kriegler, président et chef de la direction de l’OCRI, dans le communiqué. Nous prenons très au sérieux notre rôle d’intérêt public. Les questions de protection de la vie privée et de sécurité sont extrêmement importantes pour nous, tout comme nos valeurs organisationnelles fondamentales de transparence et de responsabilité. C’est pourquoi nous demeurons résolument engagés à renforcer davantage nos défenses en cybersécurité et nos pratiques de protection des données, et à appuyer les efforts continus de l’ensemble du secteur des placements. »

La faille de sécurité, attribuable à une attaque par hameçonnage, a été détectée le 11 août. L’OCRI avait d’abord indiqué que des données liées à l’inscription avaient été compromises, incluant des renseignements personnels tels que les adresses, numéros de téléphone, ainsi que la couleur des yeux et des cheveux des personnes inscrites. Selon l’organisme, l’ensemble des courtiers en fonds communs de placement et en valeurs mobilières, de même que les personnes inscrites, ont été touchés.

Les sociétés membres ont été avisées de l’incident le 18 août, et l’OCRI a commencé à envoyer des lettres aux personnes inscrites le 9 septembre pour les informer que leurs données avaient été compromises.

L’OCRI fait face à une éventuelle action collective découlant de cet incident. La demande d’autorisation d’exercer une action collective, déposée en octobre dernier devant la Cour supérieure du Québec, vise « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus » par l’OCRI « et ont été compromis lors de la fuite de données […] ou qui ont reçu un courriel ou une lettre de l’OCRI les informant de cette fuite ».

Dans un communiqué publié le 14 janvier, l’OCRI confirme que des centaines de milliers d’investisseurs ont également été touchés. L’organisme affirme toutefois avoir rapidement circonscrit l’incident et mis en œuvre des mesures immédiates afin de sécuriser ses systèmes et de protéger les données.

« Nous avons avisé les forces de l’ordre et toutes les autorités compétentes, y compris les commissariats à la protection de la vie privée, rapporte l’OCRI. Un important cabinet d’experts en informatique judiciaire indépendant a été retenu afin de déterminer précisément quelles données avaient été touchées. »

À la suite d’une enquête préliminaire, l’organisme a indiqué avoir partagé sans délai ses conclusions « publiquement et directement » avec les sociétés membres et les personnes inscrites. « À ce moment-là, nous avons précisé que l’enquête se poursuivait et nous nous sommes engagés à communiquer les conclusions du processus de découverte électronique une fois l’examen terminé, souligne l’OCRI. Après plus de 9 000 heures d’analyse, nous sommes maintenant en mesure de confirmer l’ampleur complète de l’incident. »

L’article Fuite de données à l’OCRI : l’ampleur réelle dévoilée est apparu en premier sur Finance et Investissement.

Selon le rapport de l’Internet Crime Complaint Center (IC3) du FBI, les coûts mondiaux de la cybercriminalité ont dépassé 16 milliards de dollars (G$) en 2024, dont 13,7 G$ attribuables à des fraudes numériques, tandis que les brèches de sécurité impliquant des tiers ont doublé entre 2024 et 2025.

Aux États-Unis, le coût moyen d’une brèche de cybersécurité s’élève à 10,2 millions de dollars, selon IBM. Ce montant n’inclut pas les pertes indirectes liées à l’atteinte à la réputation, à l’interruption des activités ou aux sanctions réglementaires. « Dans une industrie fondée sur la confiance, un incident de sécurité peut devenir une menace existentielle », indique Shawn Waldman, chef de la direction de Secure Cyber.

Les techniques utilisées par les cyberpirates évoluent rapidement. Le clonage de cartes SIM, par exemple, permet de contourner l’authentification multifacteur (MFA) lorsque celle-ci repose sur des messages texte. L’essor de l’intelligence artificielle complique la détection des attaques, avec la multiplication de faux courriels, de voix synthétiques et de vidéos truquées de plus en plus crédibles. Les cyberpirates passent de plus en plus par des fournisseurs ou des partenaires externes pour s’introduire dans les systèmes.

Selon le Verizon 2025 Data Breach Investigations Report, 68 % des incidents de cybersécurité comportent un élément humain. Une simple erreur, comme cliquer sur un lien frauduleux, peut suffire à compromettre un système. L’ingénierie sociale, incluant l’hameçonnage et les demandes de paiement frauduleuses, demeure la menace la plus fréquente.

Voici dix pratiques à adopter au bureau comme à la maison pour prévenir les cyberattaques, selon des experts :

• Mettre en place des défenses multicouches : aller au‑delà des pare‑feu de base, inclure la détection et la réponse sur les terminaux (EDR), le filtrage des courriels et la surveillance continue. Mettre régulièrement à jour et appliquer les correctifs sur tous les systèmes, y compris les serveurs et appareils mobiles.
• Former les utilisateurs: investir dans la formation continue pour permettre aux employés de reconnaître l’hameçonnage, l’ingénierie sociale et les menaces émergentes comme les deepfakes. Favoriser une culture de « zéro confiance » : toujours vérifier, ne jamais présumer que les communications sont sécuritaires, surtout pour les communications non sollicitées.
• Adopter l’authentification multifacteur (MFA): utiliser des applications d’authentification plutôt que les SMS pour l’authentification afin de réduire les risques liés au clonage de carte SIM. Appliquer cette approche à tous les comptes, professionnels et personnels.
• Gérer les mots de passe: adopter des gestionnaires de mots de passe plutôt que ceux intégrés au navigateur pour créer et stocker des mots de passe forts et éviter la réutilisation ou l’utilisation de mots de passe faibles.
• Renforcer le contrôle des fournisseurs: effectuer un contrôle approfondi et un suivi continu des fournisseurs et partenaires externes. Utiliser des outils spécialisés pour évaluer les actifs accessibles publiquement.
• Déclarer les incidents : se tenir informé des exigences réglementaires et s’assurer de la déclaration obligatoire des incidents lorsqu’elle s’applique.
• Partager les données de manière sécurisée: utiliser des passerelles de courriels chiffrés et des portails sécurisés pour transmettre des informations sensibles.
• Développer les bonnes pratiques à la maison: encourager les employés à appliquer les bonnes pratiques de cybersécurité à domicile, en contexte de télétravail.
• Vérifier les courriels : avant de cliquer sur un lien inclus dans un courriel, passer la souris dessus pour vérifier l’URL. Si elle semble suspecte, ne pas cliquer.
• Protéger les terminaux pour le télétravail: mettre en place des solutions EDR aux terminaux et chiffrer les appareils, en particulier ceux utilisés par les employés à distance.

La cybersécurité doit être traitée comme un processus continu plutôt que comme un projet ponctuel, indiquent les experts. Elle repose sur une combinaison de technologies, de formation et de vigilance quotidienne.

L’article Prévenir les cyberattaques émergentes : 10 pratiques à adopter est apparu en premier sur Finance et Investissement.

Des conseillers informés par l’OCRI que leurs renseignements ont été compromis dans la brèche, découverte le 11 août, rapportent que leurs données circulent désormais sur le dark web.

Par exemple, un conseiller indique que, dès son inscription aux services d’atténuation des risques offerts par l’OCRI en réponse à l’incident, il a reçu une alerte d’Equifax l’avertissant que son adresse courriel professionnelle était utilisée sur un site de négociation frauduleux.

L’OCRI offre deux ans de services d’atténuation des risques, soit de la protection contre le vol d’identité et de la surveillance des bureaux de crédit, en collaboration avec TransUnion et Equifax.

Le fait que des données mal acquises semblent déjà circuler renforce l’urgence pour les personnes touchées de s’inscrire aux services de protection proposés. L’ampleur de l’incident, qui touche toutes les firmes (passées et présentes) membres de l’OCRI, et la nature sensible des données en jeu exigent que les représentants prennent des mesures de protection immédiates.

Parmi les données potentiellement exposées, on trouve :

• les noms, adresses, adresses courriel,
• dates de naissance, caractéristiques physiques (couleur des cheveux et des yeux, taille, poids),
• des numéros de passeport,
• des informations financières personnelles exigées lors de l’inscription (divulgation sur les valeurs mobilières et les produits dérivés, solvabilité financière, activités extérieures),
• ainsi que des notes issues d’enquêtes réglementaires, et des divulgations civiles ou criminelles.

Comme certaines de ces données vont au-delà des informations habituellement visées lors d’une cyberattaque, certains représentants s’inquiètent de la réponse de l’OCRI, jugée potentiellement insuffisante.

L’OCRI défend toutefois les mesures en place. Dans une foire aux questions publiée sur son site web, l’organisme affirme que « ce [qu’elle offre] en matière d’atténuation des risques est considéré comme une pratique exemplaire ».

Concernant les numéros de passeport compromis, l’OCRI indique qu’il n’est pas nécessaire de remplacer les documents, mais recommande de signaler immédiatement toute utilisation frauduleuse aux autorités. Cela dit, il n’est pas clair comment un représentant pourrait savoir que son numéro de passeport est utilisé à mauvais escient, ce type d’abus ne figure pas sur un rapport de crédit.

Il reste donc à voir si d’autres répercussions découleront de cette attaque.

Le précédent de l’OCRCVM en 2013

En 2013, le prédécesseur de l’OCRI, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), avait subi une atteinte à la sécurité à la suite de la perte d’un ordinateur portable contenant des renseignements personnels sur des investisseurs. Une action collective avait alors été intentée, sans succès.

En 2021, la Cour supérieure du Québec a rejeté la demande de recours collectif. Elle jugeait que :

• les inconvénients subis (stress, inquiétude, désagrément) ne justifiaient pas une indemnisation,
• il n’y avait pas de preuve d’utilisation frauduleuse des données,
• l’organisme avait réagi avec diligence,
• et aucun dommage punitif ne s’imposait.

Cela dit, la brèche de l’OCRI est d’un autre ordre. Il ne s’agit pas d’un simple oubli humain, mais bien d’une cyberattaque externe, ce qui pose des questions plus profondes sur la cybersécurité des organismes de réglementation.

Ce piratage survient quelques mois seulement après que les autorités provinciales de réglementation ont délégué davantage de responsabilités à l’OCRI, notamment en matière d’enregistrement des représentants.

Dans le cadre de cette délégation, les autorités avaient promis de renforcer leur surveillance de l’OCRI. En vertu de son ordonnance de reconnaissance, l’OCRI devait assurer la sécurité et l’intégrité des données de ses systèmes, et signaler toute atteinte majeure à la sécurité aux régulateurs provinciaux.

Un bilan « positif » avant l’attaque

Dans leur plus récente évaluation, les autorités provinciales ont conclu que les systèmes informatiques de l’OCRI respectaient les exigences prévues dans son cadre de reconnaissance. Ce rapport, publié en juillet par les Autorités canadiennes en valeurs mobilières (ACVM), concluait que les systèmes critiques et les partenariats technologiques externes de l’OCRI étaient en règle, bien qu’une préoccupation ait été soulevée concernant la transmission de certaines données (non personnelles) via des serveurs situés aux États-Unis, pratique qui devait cesser en juillet.

Depuis la découverte de la brèche, les ACVM surveillent les démarches de l’OCRI. « Même si l’OCRI mène la réponse à l’incident, les ACVM continuent à superviser ses actions dans le cadre de notre rôle de surveillance. L’OCRI nous informe régulièrement des mesures prises et des progrès de son enquête », selon Ilana Kelemen, conseillère principale des communications et relations avec les parties prenantes aux ACVM.

Les ACVM ont aussi procédé à une vérification de leurs propres systèmes pour détecter d’éventuelles anomalies et aucune activité suspecte n’a été détectée.

À noter : la Base de données nationale d’inscription n’a pas été touchée par la brèche, selon les constats actuels.

Bien que l’OCRI n’ait pas signalé l’incident au Commissaire à l’information et à la protection de la vie privée de l’Ontario (IPC), ce dernier a contacté la Commission des valeurs mobilières de l’Ontario (CVMO) pour obtenir plus d’information.

Les OAR comme l’OCRI ne sont pas tenus de signaler les atteintes à la vie privée à l’IPC, mais les institutions provinciales, comme la CVMO, doivent le faire en cas de risque important de préjudice.

Or, les données compromises ont été recueillies en vertu des pouvoirs délégués par la CVMO à l’OCRI.

L’article Faille de sécurité de l’OCRI : les conseillers s’inquiètent est apparu en premier sur Finance et Investissement.

Les premiers résultats de l’enquête, dévoilés le 17 août, ont révélé que des renseignements personnels de courtiers membres et de leurs personnes inscrites avaient été touchés. Les données compromises pourraient inclure des identifiants professionnels et d’autres données personnelles en lien avec la conformité des membres.

Les données des investisseurs ne sont pas touchées à ce stade, selon l’OCRI. L’organisme indique qu’il détient un échantillon restreint d’informations sur les investisseurs dans le cadre de ses activités de conformité.

Pour cerner l’ampleur de l’attaque, l’organisme collabore avec des experts en cybersécurité, des conseillers juridiques spécialisés et les forces de l’ordre. L’organisme s’est engagé à aviser individuellement les personnes concernées et à leur offrir des mesures de protection, notamment en matière de sécurité d’identité.

« Étant donné les normes de sécurité élevées que l’OCRI attend d’elle-même et de ses membres, nous sommes profondément préoccupés par cette situation, et nous savons que nos membres le seront aussi », a indiqué l’organisme dans un communiqué.

L’article Cyberattaque à l’OCRI : des données de conseillers exposées est apparu en premier sur Finance et Investissement.

Anticiper les attaques grâce à l’IA

« Nous sommes confrontés à des attaques de plus en plus sophistiquées de pirates qui exploitent des vulnérabilités encore inconnues des fabricants de logiciels. Grâce à l’IA, il est possible de les détecter avant qu’elles soient exploitées à grande échelle », précise Marc Boyer, directeur de la division infonuagique de Google pour l’est et l’ouest du Canada.

L’IA permet d’identifier les menaces en assurant une surveillance continue des systèmes informatiques qui permet de détecter les failles de sécurité avant même que les hackers les repèrent. Elle permet également de corriger ces failles automatiquement.

Google a ainsi recours à des agents automatisés propulsés par l’IA pour détecter les « zero-day exploits » (attaques du jour zéro), des vulnérabilités inconnues des manufacturiers qui constituent une porte d’entrée de choix pour les cybercriminels dans les systèmes des organisations. Cette automatisation permet de réduire considérablement les risques d’intrusion et de renforcer la résilience des systèmes, signale Marc Boyer.

Le phénomène des cyberattaques prend une ampleur inédite dans l’industrie financière. Selon l’Autorité bancaire européenne (EBA), plus de la moitié des banques victimes d’une attaque en 2024 ont subi une violation de données. Le Canada n’est pas épargné. Une étude de FortiGuard révèle que le pays a été la cible de 17,8 milliards de tentatives de cyberattaques durant le premier semestre de 2023. De plus, près de 9 000 serveurs informatiques au pays seraient vulnérables.

Contrer les attaques des États-nations

Les équipes de cybersécurité ont fort à faire pour mettre en échec les pirates. Certains appartiennent à des groupes organisés basés à l’étranger, principalement en Chine, en Russie, en Iran, en Syrie et en Corée du Nord. À Montréal, une équipe spécialisée de Google traque en permanence les menaces émanant de ces groupes sur le dark web, en utilisant notamment des programmes de veille automatisée.

« Grâce à l’IA, si une entreprise financière québécoise est visée, cette équipe peut intervenir rapidement pour identifier la menace avant qu’elle ne cause des dommages », explique Marc Boyer.

Dans cette course contre la montre pour la protection des données, l’infonuagique offre une couche de protection supplémentaire. Le fait d’héberger les données et infrastructures critiques d’entreprises dans le nuage permet à celles-ci de bénéficier de systèmes de surveillance avancés qui peuvent détecter les tentatives d’intrusion en temps réel.

Les nouvelles technologies issues du mariage entre l’IA et l’infonuagique aident ainsi à renforcer la sécurité interne des entreprises en analysant de manière continue les droits d’accès des employés afin de détecter les anomalies. L’objectif : empêcher des cybercriminels d’exploiter des erreurs humaines pour s’introduire dans les systèmes.

« Ces outils sont capables de voir tous les droits d’accès d’un utilisateur dans un poste donné et de détecter que tel utilisateur ne devrait pas avoir accès à tel type de système. C’est beaucoup plus efficace que d’utiliser des processus manuels », dit Marc Boyer.

Dans ce cas, l’IA n’agit pas seulement comme un outil défensif. Elle permet également d’optimiser la gestion des accès aux systèmes critiques sans alourdir les processus internes.

Comment contrer les attaques

Face à la menace croissante qui plane au-dessus d’elles, les institutions financières redoublent de vigilance et adoptent des solutions technologiques avancées pour prévenir de nouvelles formes de cyberattaques, car les cybercriminels font preuve d’une imagination qui semble sans limites. Ils ne se contentent pas de cibler des organisations, mais visent désormais des infrastructures essentielles à leur fonctionnement, comme les réseaux électriques et les systèmes opérationnels.

« Nos équipes s’assurent de mettre en place une couverture de cybersécurité qui englobe à la fois les technologies de l’information et les opérations sur le terrain. C’est au sommet de notre liste de priorités ces temps-ci », dit Marc Boyer.

Pour se protéger, les institutions financières investissent déjà massivement dans la cybersécurité, mais elles doivent réinvestir continuellement dans des solutions technologiques pour reste à la fine pointe, signale Marc Boyer. Une approche multicouche, qui combine plusieurs outils de cybersécurité, dont des technologies d’IA, contribue à réduire les risques, car elle permet d’identifier les comportements suspects avant qu’une attaque ne soit déclenchée, d’automatiser les mises à jour de sécurité, de gérer les accès et d’assurer une veille constante pour repérer d’éventuelles fuites de données.

L’article L’IA, un bouclier contre les cyberattaques est apparu en premier sur Finance et Investissement.

Le secteur financier est une cible privilégiée par les pirates informatiques. Près de 70 % des cyberattaques ont un but financier, indique Dominique Villeneuve, directeur de la cybersécurité chez UV Assurance. L’expert a été un pirate informatique « éthique » dans une autre vie, avant de mettre ses connaissances au service des entreprises.

Les principales cyberattaques portent sur des demandes de rançons. Les pirates profitent d’une faille de sécurité pour voler les données de l’entreprise et ensuite les revendre. « Le milieu financier attire les cyberpirates, car il possède ce qu’ils recherchent : l’argent et les données », affirme Dominique Villeneuve.

Les cyberpirates sont opportunistes. Ils ciblent les failles de sécurité pour obtenir des gains financiers. « Leur modèle d’affaires évolue. Ils demandent une première rançon pour rétablir les systèmes, puis réclament un deuxième montant pour ne pas rendre publique l’information. », signale Alexandre Cormier, chef de la direction de Cybershell, une firme qui aide les entreprises à se protéger des attaques. Selon l’expert, payer la rançon ne garantit pas que les infos ne seront pas vendues et rendues publiques.

Les dommages causés par les logiciels de rançon (ransomwares) et les paiements de rançon à l’échelle mondiale se sont élevés à plus de 20 milliards de dollars (G$) en 2021. Ce chiffre devrait atteindre plus de 265 G$ d’ici 2031, selon une étude de Cisco.

Penser aussi vite que les pirates

Même avec le meilleur plan de cybersécurité, l’humain reste le « maillon faible ». Par exemple, un employé peut copier de l’information de son entreprise sur une clé USB pour aller travailler chez lui et la perdre en chemin ou se faire voler son ordinateur portable.

Pour prévenir les fraudes, on peut détruire en amont les données personnelles sur les clients lorsqu’on n’en a plus besoin, dit Alexandre Cormier. Cela limite les risques d’attaques et les dommages. Dans ce sens, la Loi 25, qui régit la protection des données personnelles, aura un effet positif pour protéger les clients, estime-t-il.

La vitesse de réaction est un élément crucial. Lorsque les pirates repèrent un point vulnérable dans les systèmes, ils l’attaquent immédiatement. Or, les processus informatiques mis en place par les entreprises ralentissent le déploiement de correctifs et d’actions. « Il faut être agile et rapide. Vous devez penser aussi vite que les pirates », lance Dominique Villeneuve.

Maîtres de l’illusion grâce à l’IA

Les attaquants emploient des techniques de plus en plus raffinées pour commettre leurs crimes. Maîtrisant l’art de la personnalisation et de l’illusion, ils se font passer pour d’autres personnes et s’immiscent dans des conversations privées afin de détourner des fonds.

Le spearfishing, qui consiste à organiser une cyberattaque basée sur l’usurpation d’identité, est en croissance. Les pirates utilisent l’intelligence artificielle pour écrire des courriels avec le vocabulaire et le ton adapté à leur cible. Ils ont recours aux « deepfakes » pour imiter la voix ou reproduire l’image d’une personne.

La fraude du président, qui consiste à provoquer un transfert de fonds non autorisé, est l’une des arnaques en croissance. Récemment, des pirates ont réussi à se faire transférer 40 M$ d’une firme de Hong-Kong, illustre Dominique Villeneuve. Une fausse vidéoconférence a ainsi été organisée où tous les membres du conseil devant approuver le transfert de fonds étaient en réalité des images générées par l’intelligence artificielle interagissant en temps réel.

D’autres pirates se sont fait passer pour un dirigeant d’une compagnie québécoise. En vacances à Cuba, le patron demandait à son adjointe de lui envoyer 40 000 $ en cartes cadeaux pour se tirer d’un faux pas. L’adjointe a eu la présence d’esprit de l’appeler sur son numéro de téléphone personnel pour découvrir qu’il était tranquillement à la maison.

Une carte à numéros

Pour éviter la fraude du président, Dominique Villeneuve suggère d’inscrire un numéro de 6 chiffres sur une carte et d’en donner une à chaque personne susceptible d’autoriser un transfert d’argent dans l’entreprise. « Si quelqu’un appelle pour demander un transfert d’argent, on lui demande son numéro. On peut aussi poser une question dont seule la personne qui appelle peut connaître la réponse. Par exemple : Où est la plante dans ton bureau? »

Une tentative de fraudes peut se produire lorsque le département des finances met à jour le numéro de compte d’un fournisseur ou lorsqu’un employé demande au département des ressources humaines de changer le numéro de compte sur lequel est versée sa paye. « Tous les employés qui ont un ordinateur entre les mains représentent un risque », mentionne Alexandre Cormier.

Les PME sont particulièrement vulnérables. Près de 60 % des cyberattaques réussies les concernent. Pour se protéger, elles peuvent faire appel à un spécialiste en cybersécurité, car les risques sont difficiles à repérer, les pirates changeant de stratégie régulièrement, selon l’expert.

Dans les grandes entreprises, la formation régulière des employés est incontournable pour s’assurer qu’ils respectent les mesures de sécurité mises en place. En effet, 83 % des piratages réussis passent par des humains. À quel rythme devrait-on tester la résistance des employés aux tentatives d’hameçonnage? On commence à obtenir des résultats à partir de 12 fausses campagnes d’hameçonnage par année, considère Alexandre Cormier.

Afin de limiter les coûts liés aux cyberattaques, plusieurs entreprises optent pour une cyberassurance, qui couvre en général la perte de données et leur récupération, la perte de revenus due aux interruptions d’activité liée aux cybercrimes et la perte de fonds transférés à la suite d’une extorsion.

En raison de l’augmentation du nombre de fraudes, les prix des cyber assurances ont augmenté et leurs conditions se sont resserrées. Plusieurs compagnies imposent une coassurance et le niveau de franchises est plus élevé. Cependant, en cas de cyberattaque, les compagnies d’assurance ont accès à un panel de spécialistes, par exemple pour aider à gérer la crise qui en découle. « Plus vous serez dans une meilleure posture, moins cela coutera cher », signalent les deux spécialistes.

Voici quelques conseils pour compliquer la vie des pirates qui voudraient s’attaquer à votre entreprise :

• Validez vos méthodes d’authentification. Privilégiez l’authentification multifacteurs.
• Sécurisez les postes pour les employés qui travaillent à l’étranger (ordinateur, téléphone, etc.)
• Adoptez un gestionnaire de mots de passe qui fonctionne sur toutes les plateformes.
• Si vous utilisez un réseau virtuel privé (VPN), privilégiez une solution offerte par le département TI de votre entreprise.

L’article Cybersécurité : Des solutions simples pour faire échec aux pirates est apparu en premier sur Finance et Investissement.

Bien consciente des besoins des petites entreprises à anticiper et se prémunir contre les cyberattaques, BOXX Insurance a mis au point une solution simple à utiliser.

« Les petites entreprises sont souvent confrontées à des difficultés importantes pour obtenir un soutien adéquat contre les cyberrisques, ce qui peut avoir des conséquences dévastatrices sur leurs activités, a déclaré Vishal Kundi, chef de la direction et cofondateur de BOXX Insurance. Animés par notre mission de rendre le monde plus sûr sur le plan numérique, nous avons mené des recherches approfondies pour comprendre les besoins spécifiques des petites entreprises. Les résultats de ces recherches soulignent l’importance non seulement de réagir aux cyberattaques et de s’en remettre, mais aussi de les anticiper et de les prévenir. »

Grâce à ce partenariat innovant avec AXA, les petites entreprises peuvent se procurer cette nouvelle solution qui se concentre sur l’atténuation des risques en améliorant leur capacité à prévenir les cyberattaques. Elle offre ainsi :

• une évaluation de l’analyse du périmètre externe : les entreprises reçoivent un score de cyberrisque en fonction de l’analyse de leur surface d’attaque externe, ainsi qu’une analyse des facteurs contributifs et un comparatif des offres des pairs du secteur ;
• des alertes en cas de risque pour les identifiants : les utilisateurs bénéficient d’une surveillance du dark web 24 heures sur 24 et 7 jours sur 7 qui identifie les risques pour les identifiants tels que les adresses courriel, les numéros de carte de crédit et les coordonnées bancaires, avec des conseils d’experts pour répondre aux violations de données ;
• sensibilisation et formation des employés : la solution fournit des évaluations des risques numériques et une formation sur la cybersécurité pour évaluer l’exposition aux risques critiques en fonction des activités de l’entreprise. Les modules de formation comprennent des informations à l’écran et téléchargeables, de courtes vidéos et des auto-évaluations ;
• et un portefeuille de réponse instantanée : en cas de piratage, les utilisateurs peuvent accéder à un portefeuille de réponse instantanée pour obtenir des conseils sur les mesures à prendre.

« Sachant que 80 % des cyberattaques sont dues à des mesures de sécurité inadéquates, cette nouvelle solution permet aux entreprises de lutter de façon proactive contre les cybermenaces. En fournissant des alertes en temps réel, des évaluations des risques numériques et une formation continue, nous sommes fiers de présenter cet outil indispensable pour soutenir nos clients commerciaux, en commençant par l’Espagne aujourd’hui, explique Alfonso Zayas Satrustegui d’AXA Seguros España. En proposant aux entreprises une liste de tâches actualisée de manière dynamique pour une protection durable et en dotant les chefs d’équipe d’un tableau de bord de suivi des progrès, nous fournissons un outil puissant qui garantit la protection numérique de nos précieuses entreprises clientes. »

L’article BOXX Insurance s’associe à AXA est apparu en premier sur Finance et Investissement.