Les premiers résultats de l’enquête, dévoilés le 17 août, ont révélé que des renseignements personnels de courtiers membres et de leurs personnes inscrites avaient été touchés. Les données compromises pourraient inclure des identifiants professionnels et d’autres données personnelles en lien avec la conformité des membres.

Les données des investisseurs ne sont pas touchées à ce stade, selon l’OCRI. L’organisme indique qu’il détient un échantillon restreint d’informations sur les investisseurs dans le cadre de ses activités de conformité.

Pour cerner l’ampleur de l’attaque, l’organisme collabore avec des experts en cybersécurité, des conseillers juridiques spécialisés et les forces de l’ordre. L’organisme s’est engagé à aviser individuellement les personnes concernées et à leur offrir des mesures de protection, notamment en matière de sécurité d’identité.

« Étant donné les normes de sécurité élevées que l’OCRI attend d’elle-même et de ses membres, nous sommes profondément préoccupés par cette situation, et nous savons que nos membres le seront aussi », a indiqué l’organisme dans un communiqué.

L’article Cyberattaque à l’OCRI : des données de conseillers exposées est apparu en premier sur Finance et Investissement.

À cette occasion, ils ont évalué si leur courtier déployait des efforts suffisants pour renforcer la sécurité et lutter contre les cyberattaques. Les CP ont donné une note moyenne de 9,14, ce qui signifie que l’écrasante majorité juge que c’est le cas. Pourtant, les risques de fraudes sont encore bien présents, préviennent deux experts en cybersécurité. « Je les crois quand ils se disent en sécurité, commente Alain Constantineau, vice-président pour l’Amérique du Nord de Hornetsecurity.

Mais ils font possiblement preuve de naïveté. Ce ne sont pas des experts dans le domaine. »Les commentaires des répondants laissent percevoir un manque de connaissances de la part des CP. « Je l’ignore, mais j’imagine qu’on est protégés », répond un CP d’iA Gestion privée de patrimoine. « Je ne vois pas grand-chose de ce qu’ils font, mais je suis sûr qu’ils ont mis en place des mesures de sécurité pour lutter contre les cyberattaques », renchérit un autre de Valeurs mobilières Desjardins. « On a des équipes qui travaillent là-dessus sans relâche », promet un troisième de la Financière Banque Nationale. Alain Constantineau relève également que ces conseillers doivent en faire toujours plus, comme leurs clients, ce qui donne une impression de sécurité.

Des courtiers forment leurs conseillers, testent leur réaction en leur envoyant de faux courriels d’hameçonnage, forcent le cryptage des courriels, notent des CP interrogés.

Nombre de sondés parlent aussi de l’identification multifacteur, un système de sécurité qu’Alain Constantineau estime « tout à fait nécessaire ». « Pour l’information sensible, nous avons un système de vérification en deux étapes », indique un CP de ScotiaMcLeod.

Or, Alain Constantineau souligne que le problème est ailleurs. « On a créé tellement de logiciels que le maillon faible, c’est l’être humain ». Un point dont les pirates semblent s’être rendu compte, puisqu’ils sont revenus à une ancienne forme de fraude : le social engineering (piratage psychologique). « Avant, ils tentaient de trouver une brèche de la sécurité quelque part, maintenant, le vecteur d’attaque est revenu vers l’humain », constate l’expert.

Et ceci est vrai même pour l’identification multifacteur, assure Steve Waterhouse, conférencier et spécialiste en sécurité informatique. Sans s’en rendre compte, les réponses aux questions personnelles qui sont souvent complémentaires aux mots de passe se trouvent sur leurs médias sociaux. Et même les mots de passe eux-mêmes sont souvent bien trop simples. « “123 456 ’’ est encore le mot de passe le plus populaire sur la planète ! ‘Password’ est le numéro deux ! » rapporte-t-il.

La formation est nécessaire et beaucoup d’institutions en offrent, selon des sondés. « Nous avons des modules à faire régulièrement », confie un répondant de ScotiaMcLeod. « La firme fait très régulièrement des formations et des tests pour renforcer la sécurité », renchérit un autre de RBC Dominion Valeurs mobilières.

Sauf que même là, l’émotivité peut faire tout oublier au moment clé, notamment dans les fraudes par hameçonnage. « Vu la cadence du quotidien que l’on vit, on peut facilement être la victime de ces arnaques », estime Steve Waterhouse.

Les deux experts mentionnent que certaines institutions font le nécessaire en matière de cybersécurité, mais se limitent souvent à ce que requiert la législation.

« S’il n’y avait pas ces éléments imposés, ils ne le feraient sûrement pas », avance Steve Waterhouse, qui précise quand même qu’il existe des exceptions.

Alain Constantineau est bien conscient que certaines institutions allouent beaucoup d’argent à la cybersécurité. Toutefois, il constate un manque de cohésion dans leurs actions.

« Elles se procurent le meilleur pare-feu, le meilleur antivirus, mais l’un parle chinois, l’autre allemand et le troisième anglais », déplore-t-il. Les systèmes ont ainsi du mal à travailler ensemble, ce qui crée des brèches.

« Ce n’est pas un manque de volonté, mais un manque de cohésion », explique-t-il.

Problèmes internes

Le télétravail ajoute encore une couche de difficulté en multipliant le nombre de points d’accès. S’il est encore possible de gérer cela, le problème humain revient.

Quelqu’un pourrait ainsi décider d’imprimer des documents confidentiels ailleurs qu’à la banque, ou travailler dans un lieu public en utilisant une connexion wifi non sécurisée.

Les problèmes internes sont complexes à gérer. Les deux experts estiment qu’il faudrait intégrer des marches à suivre et des accès limités selon la sensibilité de l’information, comme en Europe avec le Règlement général sur la protection des données.

« Au Québec, on a la loi 25 qui s’en va vers ça, mais on a à peu près sept ans de retard », affirme Alain Constantineau.

Les experts rappellent qu’en cybersécurité l’important est de prévoir les mouvements des fraudeurs et non d’y réagir. Steve Waterhouse s’inquiète ainsi des nouvelles fraudes, comme celles par la voix ou par vidéo, qui pourraient faire beaucoup de dégâts. Un fraudeur se fait ainsi passer pour un client ou un dirigeant et lui demande d’effectuer un retrait ou un changement de compte de banque principal. Le CP, trompé par un logiciel d’intelligence artificielle qui imite sa voix ou son apparence, s’exécute sans vérifier au préalable son identité.

Les courtiers sauront-ils y faire face ? « Ils ont la connaissance pour le faire, mais ils n’ont pas nécessairement le vouloir », juge-t-il.

L’article L’humain, ce maillon faible est apparu en premier sur Finance et Investissement.