L’innovation numérique transforme nos façons de faire, mais présente tout de même un risque pour notre système financier. Les cryptomonnaies semblent personnifier les risques des innovations financières non réglementées. Pour rendre cet environnement plus sain, il faut davantage de transparence, pouvoir comparer des données, ainsi qu’une discipline de marché, autant de choses possibles grâce à une bonne communication publique d’informations.

Alors que le Comité de Bâle sur le contrôle bancaire (CBCB) sollicite actuellement des commentaires de la part des multinationales bancaires dans le cadre de sa propre consultation, le BSIF estime que l’occasion est parfaite pour consulter les professionnels du milieu et les pousser à s’exprimer sur les propositions formulées par le CBCB afin de veiller à ce que les lignes directrices du BSIF soient adaptées au contexte canadien.

« La communication publique d’informations est déterminante dans la gestion des risques auxquels sont confrontés les banques et les assureurs, à plus forte raison quand il s’agit des expositions sur cryptoactifs. Nous vous invitons donc à formuler des commentaires à ce sujet en vue d’adapter les attentes en matière de communication au contexte canadien », encourage Peter Routledge, surintendant des institutions financières.

Le BSIF publiera des versions à l’étude des lignes directrices sur la communication publique d’informations d’ici à l’automne 2024. Une synthèse des commentaires reçus, sans mention de leur auteur, sera publiée au même moment.

Les versions finales seront diffusées au plus tard début 2025 et entreront en vigueur au quatrième trimestre de la même année. Veuillez faire parvenir vos commentaires à l’adresse Pillar3-Pilier3@osfi-bsif.gc.ca d’ici le 31 janvier 2024.

L’article Cryptoactifs : le BSIF sollicite des commentaires est apparu en premier sur Finance et Investissement.

Le lendemain, vous parlez de cet appel à votre patron qui vous assure n’avoir jamais donné votre nom à qui que ce soit pour recueillir ce type d’informations. Vous réalisez — trop tard — être tombé dans le piège d’un cyberpirate.

Bien que cela soit peu réconfortant, sachez que vous êtes loin d’être la seule personne dans cette situation. Vous avez été victime de l’ingénierie sociale, une méthode de manipulation efficacement utilisée par des pirates informatiques et qui est au cœur de nombreuses cybermenaces, dont l’hameçonnage par téléphone.

Cette réalité a été mise en évidence lors du Hackfest, une conférence dédiée au piratage informatique. L’événement d’octobre dernier a inclus un concours où les organisateurs ont simulé des attaques d’ingénieurs sociaux contre des entreprises sélectionnées aléatoirement.

Le concours a une fois de plus démontré que même les firmes dotées de systèmes de sécurité avancés peuvent être déjouées par un simple appel téléphonique. « Toutes les cibles ont cliqué sur un lien internet fourni par l’attaquant. Comme ce n’était pas de vrais pirates, il n’y a pas eu de conséquences, mais s’ils avaient eu affaire à un esprit malicieux, leur système aurait pu être infecté par un logiciel malveillant entraînant le vol de données sensibles », affirme Patrick R. Mathieu, cofondateur du Hackfest.

Les statistiques recueillies durant le concours sont alarmantes : dans une forte proportion (de 60 % à 100 %) les victimes ont révélé des détails compromettants qui pourraient être exploités lors d’attaques futures. La divulgation d’informations allait de détails sur le réseau Wi-Fi à des données précises sur les navigateurs internet et les systèmes d’exploitation utilisés.

« Ces statistiques sont similaires à celles des concours précédents. Force est de constater qu’il n’y a pas d’amélioration au sein des entreprises », se désole Patrick R. Mathieu.

Des méthodes bien huilées

Les tactiques utilisées par ces ingénieurs sociaux sont minutieusement élaborées. Loin de l’improvisation, leur plan d’action commence par une collecte approfondie d’informations sur les entreprises ciblées via des sources publiques — telles que le site Internet de l’entreprise, des articles de médias, des forums de discussion, des communiqués, etc. — exploitées pour préparer le terrain avant l’attaque. Patrick R. Mathieu souligne que, sans s’en rendre compte, les entreprises divulguent en ligne une multitude de données utiles à ces criminels.

Dans le cadre du concours, les faux pirates ont utilisé les mêmes façons de faire. Durant leur cueillette d’information, Ils devaient également trouver le numéro de téléphone d’employés de différents niveaux hiérarchiques des entreprises ciblées. Ce sont ces personnes qu’ils ont contactées le jour J. Comme astuce pour les faire parler, ils se sont présentés sous une fausse identité à l’apparence crédible et ont utilisé souvent un ton pressant.

Le type d’information demandée n’éveille pas tout de suite les soupçons de leurs cibles. Par exemple, en quoi se renseigner sur le déchiquetage des documents peut être utile aux cyberpirates ? « En connaissant le fournisseur et le calendrier de collecte, les pirates peuvent se présenter sur place, en portant un uniforme aux couleurs de ce fournisseur, pour récupérer le contenu des boîtes et mettre la main sur des données sensibles ou s’infiltrer dans le réseau de l’entreprise », explique Patrick R. Mathieu.

Ces méthodes démontrent la sophistication et la précision des attaques orchestrées par ces cybercriminels. Il devient impératif pour les entreprises de renforcer leur première ligne de défense en misant sur la formation et la sensibilisation des employés. Il leur faut développer une culture de la prudence où chaque appel suspect est immédiatement signalé. « Les employés doivent avoir le réflexe de raccrocher, de vérifier et de rappeler avant de fournir la moindre information », conseille Patrick R. Mathieu.

L’article Comment les pirates informatiques tentent-ils de déjouer votre vigilance est apparu en premier sur Finance et Investissement.

Diverses études, y compris celles menées par le FBI en 2022, ont mis en évidence une augmentation préoccupante du nombre de cyberattaques pendant les jours fériés, les fins de semaine ainsi que pendant les vacances.

Le CISA (Cybersecurity and Infrastructure Security Agency) rappelle donc aux entreprises, surtout celles qui ont des possèdent des sensibles, de demeurer vigilantes pendant les vacances, car « les adversaires ne prennent pas de repos eux-mêmes ».

La raison est évidente : les pirates informatiques profitent des périodes où les entreprises sont moins bien préparées pour se protéger, que ce soit en raison d’un manque de personnel ou d’une baisse de vigilance des utilisateurs.

La fraude au président, c’est quoi ?

Connaissez-vous la fraude au président ? Je vous explique…

La fraude au président est un type de tentative d’hameçonnage où le fraudeur se fait passer pour le président ou pour un autre supérieur hiérarchique en usurpant son identité. L’objectif est de miser sur ce lien hiérarchique – et souvent en mettant de l’avant un sentiment d’urgence pour accomplir une tâche donnée – afin d’inciter la victime à agir rapidement.

Le fraudeur met tout en œuvre pour gagner la confiance de la victime en lui demandant de réaliser une action donnée, par exemple un virement d’argent en ligne. De manière générale, le fraudeur ne frappe pas au hasard et sélectionne soigneusement sa cible, visant un employé qui possède les autorisations nécessaires pour être en mesure d’accomplir sa demande.

En résumé, la fraude au président repose sur la duplicité du fraudeur qui se fait passer pour une personne influente et utilise cette position supposée pour manipuler la victime et l’inciter à agir contre ses propres intérêts.

Comment le fraudeur choisit-il sa cible ?

• Il consulte le site Internet de l’entreprise et les comptes de médias sociaux afin de collecter de l’information
• Il peut tenter d’entrer en contact avec la personne ciblée via un réseau social spécifique, ou par courriel
• Il engage une conversation avec cette personne pour étayer sa mise en scène virtuelle et obtenir des informations de manière à rendre ses courriels frauduleux plus crédibles

Comme quoi, même en vacances, les cyberattaques et les fraudeurs ne prennent pas de repos !

L’article Connaissez-vous la fraude au président ? est apparu en premier sur Finance et Investissement.

En février, l’AMF terminait une consultation concernant l’assurance responsabilité professionnelle et les activités externes des représentants inscrits selon la Loi sur la distribution de produits et services financiers. Celle-ci vise à accroître la protection tant des consommateurs que des inscrits et en même temps à assouplir certains contrôles de suivi et de conformité des polices d’assurance de responsabilité professionnelle.

La « faute lourde » est explicitement exclue dans « certaines polices d’assurance », relève l’AMF, une telle faute dénotant « une insouciance, une imprudence ou une négligence grossière ». Le nouveau règlement demande « que la couverture d’assurance s’étende également à la faute lourde ».

La plupart des cinq mémoires soumis à l’AMF émettent des réserves à l’endroit de cette proposition. Le Bureau d’assurance du Canada (BAC) fait ressortir la proximité inconfortable entre « faute lourde » et « faute intentionnelle ».

En effet, « la jurisprudence a été très défavorable à l’endroit des assureurs; c’est pourquoi ils n’ont jamais voulu couvrir la faute lourde », rappelle Robert Plante, président de la firme d’experts en sinistres RPMXPERT. Selon ce spécialiste, dans de nombreuses causes célèbres (Norbourg, Thibault, Mount Real) où la « faute lourde » avait plutôt l’air d’une « faute intentionnelle », les tribunaux du Québec ont toujours forcé les assureurs à indemniser.

« Puisqu’une faute lourde, de par sa nature, est susceptible d’augmenter de façon considérable le risque à assumer par l’assureur, nous croyons que les primes à payer pour cette couverture augmenteront de façon [notable] et pourraient être excessives », appréhende MICA. C’est un jugement que partage Robert Plante : « Ce sont tous les conseillers qui font honneur à leur profession qui subiront presque inévitablement les augmentations de prime pour le risque accru par les assureurs. »

« Peu d’assureurs sont présents dans le marché québécois et les primes sont déjà élevées pour les cabinets de courtage hypothécaire, fait ressortir le mémoire des Professionnels hypothécaires du Canada. Déjà, pour s’assurer dans notre industrie, c’est compliqué et cher. Tout ajout au risque des assureurs ne peut que hausser les primes déjà élevées ou inciter les assureurs à se retirer de ce marché, ce qui serait une catastrophe pour l’industrie. »

Ayant mis de l’avant cette proposition, le document de l’AMF s’étend sur une série de considérations ayant trait à la période de protection des polices d’assurance dont la couverture devrait s’étendre sur cinq ans. Le document porte sur certaines considérations plus précises, par exemple l’idée que cette prolongation s’applique peu importe que la société ou le cabinet ait été dissous ou que la personne physique soit décédée. Ce sont des éléments auxquels aucun des mémoires ne s’objecte.

L’Autorité met de l’avant le 1er juin 2023 comme date d’entrée en vigueur pour l’inclusion de la « faute lourde » au libellé des contrats. Bien qu’il s’agisse d’une échéance très proche, elle ne suscite aucune objection; ni l’Association canadienne des compagnies d’assurances de personnes (ACCAP) ni le BAC n’y voit un problème. Par contre, il n’en est pas de même pour l’autre volet majeur de la consultation qui traite des activités externes de conseillers.

L’AMF introduit certains accommodements qui, sans susciter de commentaires en particulier, devraient eux aussi être reportés d’un an. Par exemple, les représentants et inscrits qui souscriraient ou renouvelleraient leur contrat d’assurance entre le 1er juin et le 30 septembre 2023 seraient tenus de se conformer aux nouvelles exigences seulement 12 mois après leur souscription ou renouvellement. Ultimement, affirme l’AMF, tout le monde devrait être conforme au plus tard le 1er juin 2024 – date ultime qu’il faudrait alors repousser d’un an.

La réglementation actuelle impose que, pour maintenir une inscription, l’inscrit doit transmettre annuellement à l’AMF une preuve de maintien de son assurance responsabilité; le cabinet doit aussi fournir une preuve. Le nouveau règlement prévoit que cette preuve serait remplacée par une déclaration de l’inscrit dans le formulairedemaintiend’inscription confirmant que la police est conforme.

L’AMF présente ce changement comme un « assouplissement » susceptible de « diminuer le nombre de rappels transmis, de demandes documentaires, d’échanges de documents et de suivis ». L’ACCAP salue cet aspect de l’initiative de l’AMF, qui « allégera grandement le processus, tant pour les inscrits que pour l’Autorité ».

Assurer les cyber-risques ?

L’avis de consultation profite de l’occasion pour mettre de l’avant l’idée de créer une couverture contre les cyber-risques à même l’assurance responsabilité des inscrits. À ce sujet, elle pose une série de questions, notamment sur le bénéfice d’une telle exigence.

Certains mémoires qui l’abordent s’y objectent, au premier chef MICA. Celle-ci fait ressortir que « plusieurs compagnies d’assurance qui offraient une couverture pour les cyber-risques ont décidé de se retirer de ce marché ». Les assureurs qui en offrent encore affichent « des coûts très élevés, avec des franchises très élevées et parfois des protections partielles qui ne couvrent pas tous les risques existants ».

C’est un constat que reprend Mathieu Dufresne, vice-président au développement des affaires à La Turquoise Cabinet en assurance de dommages. « Les conditions sont de plus en plus contraignantes ; les taux sont plutôt à la hausse, et les protections, à la baisse. L’accessibilité pourrait devenir un enjeu. »

L’ACCAP va dans le même sens. « Il existe peu de produits d’assurance contre les cyber-risques et ceux qui sont disponibles sont très coûteux, souvent trop coûteux pour une petite ou moyenne entreprise. Il faudrait d’abord s’assurer que des produits abordables sont disponibles et qu’ils sont suffisamment diversifiés pour répondre aux besoins des entreprises de différentes tailles. »

En fait, le besoin d’une assurance cyber-risques n’est peut-être pas nécessaire.

« Certains cabinets traitent avec des tiers en matière de technologie, note l’ACCAP. Ceux-ci peuvent détenir une assurance à l’égard des cyber-risques ou avoir adopté d’autres moyens pour gérer ces risques. »

Plutôt qu’une assurance cyber-risques, MICA propose la création d’un fonds de protection auquel contribueraient, d’une part, les intervenants du milieu financier et, d’autre part, le gouvernement du Québec. En cas d’incident informatique, les indemnités serviraient à payer, par exemple, les dommages liés à un événement de type rançongiciel ou extorsion, les frais d’experts ou les dommages accordés à un client par un tribunal.

L’article Hausse de primes crainte est apparu en premier sur Finance et Investissement.

Certains clients de Placements Mackenzie ont vu des renseignements personnels, mais pas des avoirs ou des soldes de comptes, être révélés à des pirates informatiques lors d’une cyberattaque plus tôt cette année, a déclaré la société le 2 mai.

En janvier, Fortra LLC, basée au Minnesota, a découvert que des pirates informatiques avaient créé des comptes d’utilisateurs non autorisés avec des clients de son service de transfert de fichiers géré, GoAnywhere, qui est présenté comme un moyen sécurisé d’envoyer des données sensibles. L’un de ces clients était le fournisseur de logiciels torontois InvestorCOM Inc., un fournisseur de Placements Mackenzie.

Les pirates ont pu télécharger des fichiers, a déclaré Fortra dans un article de blog en avril. The Logic a rapporté l’incident lundi.

« Après avoir reçu un avis d’InvestorCOM, nous avons immédiatement pris des mesures pour commencer une enquête judiciaire complète », a écrit un porte-parole de Placements Mackenzie dans un courriel envoyé à Investment Executive. « Grâce à notre enquête, nous avons récemment découvert que des renseignements personnels d’investisseurs actuels et d’anciens investisseurs étaient concernés partie de cet incident. Les informations financières, telles que les avoirs des clients et les soldes des comptes n’ont pas été exposées.

Lire également : Avez-vous chiffré le coût d’une cyberattaque ?

L’incident n’a pas affecté les avoirs des investisseurs dans les fonds Mackenzie, a déclaré la société, et elle n’a constaté aucune preuve d’utilisation inopportune des données.

« Nous avons commencé à envoyer des avis aux investisseurs touchés avec des informations plus détaillées, incluant les mesures complètes que nous prenons et le soutien que nous fournissons pour les protéger. Cela comprend la surveillance du crédit pour une période de deux ans qui inclue des alertes de surveillance du crédit, des services de protection contre le vol d’identité, de l’aide aux victimes de fraude et une assurance contre le vol d’identité », a déclaré Mackenzie.

InvestorCOM a refusé de commenter la situation au-delà du communiqué de presse émis le 1er mai, qui indiquait que la société avait récemment pris connaissance de l’incident de cybersécurité de Fortra, qui a été contenu.

Fortra a appris l’incident pour la première fois le 30 janvier, a déclaré le fournisseur dans un courriel envoyé par l’intermédiaire de son agence de presse.

« Nous avons immédiatement pris plusieurs mesures pour remédier à cette vulnérabilité, y compris la mise en œuvre d’une interruption de service temporaire pour empêcher toute autre activité non autorisée », indique le communiqué. « À mesure que nous progresserons à la suite de cet événement, nous examinerons nos pratiques opérationnelles et notre programme de sécurité pour nous assurer d’en sortir plus forts en tant qu’organisation. »

Le Commissariat à la protection de la vie privée du Canada a déclaré mardi qu’il était au courant de l’affaire et qu’il « communiquait avec les organisations pour obtenir plus d’informations et déterminer les prochaines étapes ».

Le nouvel organisme d’autoréglementation observe également la situation. « À notre connaissance, aucun autre cabinet membre est un client direct de GoAnywhere. Cependant, nous surveillons la situation et examinons la portée potentielle de la violation qui a été commise », a déclaré Stephanie Teodoridis, spécialiste principale des affaires publiques et des communications d’entreprise au sein du nouvel OAR, dans un courriel.

L’article Placements Mackenzie : des données personnelles compromises  est apparu en premier sur Finance et Investissement.

Selon un rapport d’IBM Security, le coût moyen d’une cyberattaque est évalué à 4,35 M$. La firme informatique a interrogé plus de 550 entreprises entre mars 2021 et mars 2022 pour déterminer cette évaluation. De même, les rançons réclamées par les cyberattaquants sont dorénavant traitées en cryptomonnaies pour la quasi-majorité.

Que devons-nous chiffrer ?

C’est la question à laquelle je dois répondre le plus fréquemment lors de mes interventions en gestion de crise. Afin de réaliser un portrait réaliste de la situation, l’évaluation doit se diviser en deux parties :

Première partie : coûts visibles

• Enquête technique
• Relations publiques et conseils en image
• Communication au sujet de l’incident auprès des clients
• Frais de justice et de rançon
• Mise en conformité réglementaire
• Sécurisation des données corrompues
• Renforcement des moyens de sécurisation

Seconde partie : coûts cachés

• Perte de crédibilité
• Perte de la valeur de la marque commerciale
• Perte de propriété intellectuelle
• Augmentation du coût de la dette
• Perte de confiance de la part des collaborateurs
• Perte de confiance de la part des clients
• Perte de chiffre d’affaires à la suite de l’interruption de l’activité
• Augmentation des primes d’assurance
• Dévalorisation des partenariats
• Difficultés accrues à embaucher

Vecteurs d’attaque initiaux

Toujours selon le rapport d’IBM, l’hameçonnage demeure encore un fléau bien réel au sein des entreprises. À cela s’ajoutent : messagerie compromise, vulnérabilité d’un logiciel tiers, identifiants volés ou compromis, mauvaise configuration de l’infonuagique, perte de données accidentelle ou perte de dispositif.

Cycle de vie

Les entreprises qui vont le mieux s’en sortir et cela, le plus rapidement, seront celles qui auront planifié adéquatement la manière de réagir en cas de violations de données, car cela va leur permettre de gagner du temps et de l’argent. En 2022, il fallait en moyenne 277 jours (environ 9 mois) pour identifier et neutraliser une attaque. La mise en place d’un comité et d’intervenants en gestion de crise qui auront préparé l’entreprise aux risques propres aux cyberattaques permet de réduire à 200 jours ou moins le temps nécessaire pour identifier et neutraliser une violation de données, et ainsi, de réaliser de précieuses économies.

Il faut mentionner que le nombre d’attaques par rançongiciel a augmenté dans les dernières années et que l’aspect destructif de ces attaques est  devenu de plus en plus coûteux. Les violations de données par rançongiciel ont ainsi augmenté de 41 % depuis l’année dernière et il a fallu 49 jours de plus que la moyenne pour les identifier puis les neutraliser. De plus, les attaques destructrices ont coûté 430 000 $ de plus en comparaison des années précédentes.

Réponse aux incidents

Avoir un plan de réponse aux incidents est une bonne chose. Le tester est encore mieux. Le plan de réponse aux incidents (RI) est une première étape importante pour les entreprises. En testant régulièrement ce plan, vous serez en mesure d’identifier les faiblesses de votre cybersécurité de manière proactive et vous permettra de renforcer votre défense. Il s’agit d’un bénéfice certain à plusieurs égards, incluant les économies liées à la gestion d’une cyberattaque. On évalue que les entreprises ayant mis en place une équipe RI effectuent une économie moyenne de 2,6 M$.

Je vous rappelle qu’une bonne préparation en matière de gestion de crise est votre meilleur allié lorsque survient un incident susceptible d’entraîner une perte de réputation.

L’article Avez-vous chiffré le coût d’une cyberattaque ? est apparu en premier sur Finance et Investissement.

En 2022, les fraudeurs ont réussi à soutirer 531 M$ à leurs victimes, un chiffre sûrement en deçà de la réalité, puisque toutes ne portent pas plainte.

Pour aider les citoyens à reconnaître les astuces malveillantes des arnaqueurs et éviter leur piège, l’Association des banquiers canadiens (ABC) lance des trousses de cybersécurité à l’occasion du Mois de la prévention de la fraude.

Les trousses s’adressent à trois clientèles spécifiques : les particuliers, les petites entreprises et les adultes plus âgés.

La trousse de cybersécurité pour particuliers, conçue en collaboration avec la campagne Pensez Cybersécurité du gouvernement fédéral, présente des conseils simples et efficaces pour reconnaître et éviter les arnaques.

Elle propose notamment une liste de vérification pour protéger les renseignements personnels et les appareils des cyberattaques. Installation de logiciels de protection, mises à jour régulières des outils informatiques, sauvegardes périodiques des données sans oublier des mots de passe forts et singuliers ne sont que quelques-unes des bonnes pratiques de sécurité informatique (ou cyberhygiène) à mettre en place pour se protéger contre l’hameçonnage, les arnaques au mot de passe à usage unique, les menaces téléphoniques et vocales, la fraude sentimentale, et bien plus.

La trousse pour les petites entreprises donne aux propriétaires et gestionnaires de PME des renseignements essentiels pour protéger leur organisation des fraudes par courriels compromis (comme la fraude du président, une des arnaques les plus signalées au Centre antifraude du Canada), des rançongiciels et de l’hameçonnage. Une section donne de l’information utile pour les employés, qui sauront ainsi mieux reconnaître les menaces d’intrusion et les prévenir. La trousse donne également des conseils pour la protection des données personnelles des clients.

Quant à la trousse pour les adultes plus âgés, elle a été conçue pour les aider à se protéger de l’exploitation financière et des arnaques qui les visent. Ils sauront mieux reconnaître les arnaques les plus fréquentes, soit la fraude sentimentale, l’arnaque des grands-parents, l’arnaque d’urgence ou les applications et sites web frauduleux, entre autres.

Les trousses sont offertes en français et en anglais.

L’article Des outils pour prévenir la fraude est apparu en premier sur Finance et Investissement.

Des escrocs se faisant passer pour des employés de la banque ont contacté des clients par téléphone et par courriel afin de les inciter à transférer de l’argent vers des comptes frauduleux. Les pirates les orientaient vers des sites web factices qui imitaient à s’y méprendre celui de la banque. Au lieu de virer des fonds à la banque, les clients envoyaient de l’argent vers des comptes bancaires appartenant aux voleurs.

Au moins six clients ont vu leurs comptes débités, pour un montant total s’élevant à plusieurs centaines de milliers de dollars. Le client le plus touché a perdu près de 60 000 $, selon le cofondateur de la start-up, Adrien Touati, qui a déclaré à l’Agence France-Presse avoir signalé le 21 février la fraude à l’Autorité de contrôle prudentiel et de résolution (ACPR), organisme chargé de superviser l’activité des banques.

Google accusé de n’avoir pas « fait son boulot »

Selon Capital.fr, le cofondateur de la banque, qui s’adresse à une clientèle de professionnels et d’entrepreneurs, reproche à Google de ne pas avoir « fait son boulot » en permettant aux fausses publicités créées par les pirates d’apparaître en haut des résultats de recherche sur le mot-clé « Manager one ».fr. Le PDG a déclaré par ailleurs à la chaine de télévision BMFTV dépenser plusieurs dizaines de milliers de dollars en publicité par mois auprès du géant américain.

Pour contrer l’escroquerie, l’entreprise a publié des messages d’alerte sur son site web et sur les réseaux sociaux. Elle a également demandé à Google de supprimer les publicités frauduleuses et collabore avec les autorités pour identifier les responsables de la fraude. Elle a également rappelé à ses clients qu’elle ne demandait jamais de coordonnées bancaires par téléphone ou par courriel.

Dans un communiqué, Google a déclaré avoir supprimé les publicités frauduleuses immédiatement après avoir été informé de leur existence.

La publicité en ligne est une arme de plus en plus utilisée par les fraudeurs pour arnaquer les entreprises et les particuliers. Selon le rapport 2022 de Google sur la sécurité des réseaux publicitaires, la firme a bloqué 3,4 milliards de publicités et a restreint la publication de 5,7 milliards d’annonces l’an dernier pour diverses raisons.

Nouveau processus de vérification des annonces

Pour contrer les fraudeurs, le géant américain a lancé en 2020 un nouveau processus de vérification qui consiste à attester de l’identité de l’entreprise et à valider les activités commerciales de certains comptes Google Ads. Les annonceurs soumis à cette demande de vérification ont trente jours pour montrer patte blanche. S’ils dépassent ce délai, leur compte est suspendu. Le programme, lancé aux États-Unis, s’étend progressivement à l’échelle mondiale.

La firme a également mis à jour en début d’année son règlement sur les produits et services financiers, qui impose notamment aux institutions financières qui veulent annoncer sur le moteur de recherche d’afficher les coordonnées d’un établissement physique, de décrire précisément les frais associés aux services publicisés et d’inclure les liens vers les accréditations ou recommandations mentionnés dans les annonces. Les annonceurs qui ne se soumettent pas à cette demande ne peuvent pas acheter de publicités Google Ads.

Des obligations des firmes

Le Centre antifraude du Canada rappelle que les entreprises sont tenues de mettre en place des mesures de sécurité solides pour contrer les cybermenaces. Elles doivent également informer leurs clients des risques d’escroquerie et d’hameçonnage et les encourager à être vigilants lorsqu’ils effectuent des transactions en ligne.

Les utilisateurs des services financiers en ligne doivent quant à eux également prendre des précautions lorsqu’ils effectuent des transactions via Internet ou des applications mobiles. Ils doivent notamment vérifier que les sites web sont légitimes et sécurisés avant d’effectuer des transactions financières.

L’article Des clients d’une banque en ligne victimes de fausses publicités Google est apparu en premier sur Finance et Investissement.

Le cabinet a indiqué que 3,8 milliards de dollars américains (G$ US) ont été volés aux entreprises de cryptomonnaies en 2022, marquant ainsi une perte record.

« L’activité de piratage a fluctué tout au long de l’année, avec d’énormes pics en mars et en octobre », rapporte-t-il, notant que le mois d’octobre a été le plus grand mois jamais enregistré pour le piratage de cryptomonnaies, avec 775,7 M$ US volés dans 32 attaques distinctes.

Les protocoles financiers décentralisés ont été la principale cible des pirates, qui ont dérobé 82,1 % des cryptomonnaies au cours de l’année, contre 73,3 % en 2021.

Les pirates informatiques liés à la Corée du Nord ont été les principaux auteurs de piratages de crypto l’année dernière, selon le rapport, estimant qu’ils ont volé 1,7 G$ US au cours de l’année.

« Les pirates informatiques liés à la Corée du Nord, comme ceux du syndicat cybercriminel Lazarus Group, ont été de loin les pirates de cryptomonnaies les plus prolifiques au cours des dernières années », indique le rapport, ajoutant que la Corée du Nord était l’une des forces motrices de la tendance au piratage de la finance décentralisée qui s’est intensifiée en 2022.

L’article Le piratage de cryptomonnaies atteint un record en 2022 est apparu en premier sur Finance et Investissement.

La Commission d’Accès à l’Information (CAI) qui régit la Loi 25 a mentionné dans le cadre d’un article paru dans La Presse, qu’elle recevait un signalement par jour de violation de données, c’est-à-dire qu’on l’informait quotidiennement de l’existence d’une cyberattaque.

Les attaques informatiques sont devenues récurrentes et ne sont pas cantonnées à un secteur d’activité en particulier, et même, comme elles sont susceptibles d’atteindre toutes les entreprises actives au Canada et à travers le monde, il est important plus que jamais de se protéger  pour minimiser les vols  de données personnelles provenant des employés, des fournisseurs et des clients. Les données financières sont parmi les principales motivations d’un pirate informatique, celui-ci pouvant même rechercher un arrêt de production et de transactions dans le but de mettre à mal un secteur d’activité ou l’économie du pays.

Devant l’importance de ces données, qui se vendent à prix d’or sur le Dark Web, le Gouvernement du Québec a mis en place la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, connue comme la Loi 25, qui positionne le Québec à l’avant-garde en la matière.

Première phase (en vigueur depuis le 22 septembre 2022)

• Obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne et de publier les coordonnées du responsable ;
• Obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels ;
• Obligation d’aviser la Commission et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande ;
• Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale ;
• Obligation de divulguer toute banque de caractéristiques ou de mesures biométriques à la Commission au moins 60 jours avant sa mise en service.

Seconde phase (en vigueur à compter de septembre 2023)

• Obligation de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées au sujet de celles-ci ;
• Nouvelles obligations de transparence comme celles :
  • de publier les règles encadrant sa gouvernance à l’égard des renseignements personnels ;
  • de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour ;
  • d’informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé ;
  • d’informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions.
• Anonymisation des renseignements personnels ;
• De nouveaux assujettis à la Loi sur le privé, comme les partis politiques provinciaux ;
• Obligation de réaliser une évaluation des facteurs relatifs à la vie privée dans certaines situations ;
• Nouvelles règles entourant le consentement ;
• Droit à la désindexation (ou droit à l’effacement ou à l’oubli) ;
• Nouvelles conditions de communication des renseignements personnels à l’extérieur du Québec ;
• Nouvelles conditions de communication des renseignements personnels facilitant le processus de deuil ;
• Nouvelles conditions entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans ;
• Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public ;
• Possibilité pour la Commission d’imposer des sanctions administratives pécuniaires.

Troisième phase (en vigueur à compter de septembre 2024)

À cette étape, le droit à la portabilité sera la toute dernière disposition à entrer en vigueur, à la fois dans les secteurs public et privé. Il est important de s’y préparer dès que possible, puisque cette obligation peut impliquer des changements plus structurants de la part des organisations.

Les sanctions

Mécanismes réparatoires dès septembre 2023

La Loi 25 reconnait le droit d’un particulier d’être indemnisé pour le préjudice résultant de l’atteinte illicite à ses droits par dommages-intérêts compensatoires.

Sanctions :

• Dépend du montant de dommages-intérêts compensatoires octroyé.
• En cas de faute lourde ou intentionnelle, le tribunal doit imposer des dommages-intérêts punitifs d’au moins 1000$.

Sanctions administratives pécuniaires

Il est à noter que la CAI peut imposer des sanctions administratives pécuniaires pour les manquements. De même, ’une entreprise ayant fait l’objet d’une sanction administrative et qui continue de contrevenir à la loi pourrait être sanctionnée en vertu du régime pénal.

Sanctions :

• Pour une personne physique : Montant maximal de 50 000$.
• Dans les autres cas : Montant maximal de 10 M$ ou 2% du chiffre d’affaires mondiales.

Poursuites pénales

La CAI peut intenter des poursuites pénales pour les infractions. En effet, toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l’infraction.

Sanctions :

• Pour une personne physique : de 5000 $ à 100 000 $.
• Dans les autres cas : de 15 000 $ à 25 M$ ou 4 % du chiffre d’affaires mondiales.

Le non-respect de la loi peut engager la responsabilité des administrateurs d’une personne morale.

Vers un registre provincial des incidents ?

Selon mon analyse, il ne serait pas étonnant de voir apparaître dès septembre 2024, un registre provincial répertoriant les incidents avec les sanctions émises en découlant. Cet outil serait sans doute un incitatif important permettant d’assurer de bonnes pratiques en matière de protections des données des entreprises.

Une bonne communication

Une bonne communication devra être un des principaux cheval de bataille au moment où surviendra un incident et devra répondre aux attentes des investisseurs et des clients. Les communications formatées à partir d’outils de marketing n’auront plus leur place. La gestion de ce type de crise devra viser à rassurer et en même temps, à démontrer le mécanisme mis en place pour enrayer l’incident.

Conclusion

Disons-le tout de suite, si vous attendez une subvention pour vous conformer à la Loi 25, c’est peine perdue. Cette mise en place incombe à toutes les entreprises et sera, en 2024, aussi légale que le droit de vote ! Rien de moins.

L’article Loi 25 : Une loi méconnue… mais qui vous concerne ! est apparu en premier sur Finance et Investissement.