Intitulé « Finfluenceurs, conseillers financiers et confiance numérique : un paysage en transformation », ce document met en lumière la relation en transformation entre investisseurs et finfluenceurs, ainsi que les possibilités pour le monde de l’investissement.

Très rapidement, l’AMVI souligne les limitations des finfluenceurs. Parmi ses avertissements, l’AMVI rappelle que les finfluenceurs publient du contenu par nature général et donc, non adapté aux circonstances individuelles.

L’étude soulève également des préoccupations quant à la qualité et la fiabilité du contenu financier en ligne, notant que les domaines spéculatifs, comme les cryptomonnaies, peuvent comporter des risques accrus, dont la fraude et la désinformation.

« Alors que de plus en plus de Canadiens se tournent vers des sources numériques pour obtenir des informations financières, notre secteur doit s’adapter pour protéger les investisseurs et renforcer l’intégrité du marché », souligne Andy Mitchell, PDG de l’AMVI.

Une variété d’investisseurs

Le rapport s’intéresse notamment au public touché par les finfluenceurs et en parvient à la conclusion que celui-ci est étonnamment plus varié que supposé.

Ainsi, si les jeunes investisseurs autonomes sont les cibles premières des finfluenceurs et ceux qui en sont le plus dépendants, ils ne sont pas les seuls à chercher leurs conseils. En effet, l’utilisation des finfluenceurs serait particulièrement importante parmi les investisseurs canadiens à revenu élevé et éduqués.

Leur public est ainsi majoritairement composé d’investisseurs autonomes confiants à la recherche de nouvelles idées et d’investisseurs plus jeunes à la recherche de points d’entrée accessibles.

Une confiance élevée

Loin d’être alarmiste, le rapport note plusieurs points positifs. Il souligne d’abord la confiance des Canadiens envers les conseillers en services financiers. Ainsi, la satisfaction des investisseurs envers les conseillers est élevée dans tous les groupes d’âge.

Et si les investisseurs plus jeunes sont très friands d’outils numériques et s’informent notamment sur les médias sociaux, ils ont tendance à combiner cela avec des conseils professionnels.

Le rapport recommande toutefois aux conseillers de ne pas se reposer sur leurs acquis et d’explorer l’utilisation des outils numériques pour combler les lacunes de l’écosystème.

« Bien que notre étude et nos analyses montrent que la confiance envers les conseillers en services financiers reste forte, nous encourageons les efforts pour moderniser l’avenir des conseils afin d’offrir le meilleur pour tous les Canadiens », commente Andy Mitchell.

Quelques considérations pratiques

L’article de l’AMVI avance finalement plusieurs pistes de réflexion à l’intention des régulateurs, des acteurs de l’industrie, des éducateurs, des plateformes numériques et des parties prenantes en protection des investisseurs.

Parmi les considérations pratiques soulevées figurent la poursuite de l’innovation réglementaire et de l’harmonisation des pratiques, la modernisation des processus internes des entreprises afin de soutenir l’engagement numérique et la réactivité, ainsi que le renforcement de la protection des investisseurs par la sensibilisation, la formation en sécurité cognitive et la mise en place d’alertes et d’avertissements.

« L’éducation financière d’aujourd’hui ne se limite plus à enseigner aux Canadiens ce qu’ils doivent savoir, mais aussi à évaluer la qualité du contenu en ligne », précise-t-il.

L’AMVI suggère finalement de ne pas tenter de rivaliser avec les finfluenceurs, mais plutôt de mettre en place un système d’information financière qui soit transparent, résilient et ancré dans des conseils fiables et réglementés. Elle souligne également que les conseillers qui adoptent le virage numérique et les modèles de conseils hybrides seront mieux positionnés pour servir les investisseurs d’aujourd’hui.

L’article L’AMVI appelle à encadrer l’essor des finfluenceurs est apparu en premier sur Finance et Investissement.

Si l’OCRI obtient cette année des notes supérieures pour la grande majorité des critères d’évaluation par rapport au même sondage mené en janvier et février de 2025, deux indicateurs affichent toutefois un recul marqué, une baisse qu’Alexey Burakovski, chef de la conformité par intérim chez iA Gestion privée de patrimoine (iAGPP), attribue en partie à « l’incident de cybersécurité ».

Le premier recul concerne les communications. Au critère « le régulateur répond rapidement aux questions soulevées par les représentants et les organisations », les responsables de la conformité interrogés ont attribué une note de 7,5 sur 10 à l’OCRI en 2026, en baisse de 0,6 point sur 10 sur un an.

« Je reconnais que l’OCRI a subi d’importantes pressions au cours de la dernière année en raison de la cyberattaque. Cela a entraîné un léger ralentissement des délais de réponse, ce qui me semble tout à fait compréhensible compte tenu de la priorité accordée à la gestion de cet incident », confie l’un des répondants.

Le second critère d’évaluation touche le soutien de l’OCRI pour aider les organisations à faire face aux enjeux de cybersécurité et aux risques technologiques. Les répondants accordent une note moyenne de 5,1 à l’OCRI cette année, contre 6,9 l’an dernier.

Les avis des répondants sont partagés. « L’année 2025 a été un véritable fiasco pour l’OCRI. La faille de sécurité n’a pas été communiquée immédiatement aux personnes concernées, mais seulement plusieurs semaines plus tard, alors que les données compromises avaient déjà eu amplement le temps de circuler sur le web », reproche ainsi l’un d’eux. « Une faille s’est produite et aucune information n’a été communiquée aux personnes concernées », juge un autre.

Sur la question du soutien en cybersécurité, des répondants se montrent critiques. Certains estiment que l’OCRI est mal positionné pour offrir de l’aide après avoir été lui-même victime d’un incident. « Il n’y a presque aucun soutien. L’OCRI gère sa fuite du mieux qu’ils peuvent », désapprouve un sondé.

D’autres déplorent que les données de membres et de clients aient été touchées. « C’est très décevant que le régulateur ait été lui-même victime d’un événement de cybersécurité et que l’information de ses membres et celle de clients ait été touchée », commente un autre.

À l’inverse, certains estiment que la réponse de l’OCRI constitue un cas d’apprentissage afin de savoir comment communiquer en cas de cyberattaque. « Dans un contexte très difficile, l’OCRI a fait un bon travail de communication à cet égard », souligne un sondé.

Malgré ces baisses de notes de 2025 à 2026, certains courtiers membres saluent la réaction de l’OCRI à la découverte du cyberincident. « C’est malheureux, car nous n’avons reçu de questions que par un nombre limité de conseillers, d’employés, de clients quant à la portée de cet incident », commente Alexey Burakovski.

Selon lui, l’OCRI a réagi de façon très proactive. Il mentionne notamment la mise en place de conférences vidéo et de communications ciblées.

« Personnellement, j’ai reçu une lettre m’offrant deux ans de surveillance de mon crédit. Même si la situation est regrettable, les mesures prises par le régulateur démontraient bien qu’il était en mode solution, tant pour prévenir d’éventuels risques que pour rassurer la population », affirme-t-il.

« C’est malheureux ce qui est arrivé, mais ils ont bien géré la situation. L’OCRI a déployé les efforts, ils se sont rendus disponibles. La haute direction a eu des communications régulières. Ils ont mis des protections en place. Était-ce parfait ? Non. Mais ce genre d’incident nous guette tous », renchérit France Kingsbury, cheffe des affaires juridiques et de la conformité à PWL Capital.

Un point de vue partagé, mais nuancé par Maxime Gauthier, président de Mérici Services Financiers. Il souligne une volonté de leadership rassurant et une réaction rapide, tout en rappelant la complexité de la situation. « Je ne crois pas que les efforts ont été négligés pour prendre les mesures le plus rapidement possible, pour communiquer, pour se rendre disponible. J’ai senti une volonté d’exercer un leadership rassurant, de prendre le contrôle de la situation », dit-il.

Il estime toutefois que certains éléments, notamment le fait que 750 000 clients et anciens clients de courtiers membres avaient été touchés, ont mis du temps à émerger. L’OCRI a rendu cette information publique en janvier 2026 et commencé l’envoi des avis le 14 janvier 2026.

Jean-Paul Bureaud, directeur général à FAIR Canada, est aussi de cet avis. « Les indications aux investisseurs touchés sont arrivées plusieurs mois après la brèche, ce qui soulève des préoccupations légitimes », relève-t-il. Il se dit surpris et inquiet du délai que les Autorités canadiennes en valeurs mobilières (ACVM) ont mis avant de faire des annonces publiques sur ce plan, alors qu’elles supervisent l’OCRI.

« Les investisseurs sont en droit de s’attendre à recevoir des explications sur les mesures prises pour renforcer la surveillance, corriger les failles et éviter qu’une situation semblable se reproduise. C’est très important pour rétablir la confiance. » « Je suis surpris du peu de choses qui ont été dites publiquement (par les ACVM), compte tenu de la gravité de la faille », disait-il au début d’avril. Les ACVM ont toutefois abordé le dossier dans l’Avis 25-315 publié le 2 avril 2026.

Réponses des autorités réglementaires

L’OCRI dit avoir contré rapidement la menace. « Par mesure de précaution, l’OCRI a fermé de manière proactive certains de ses systèmes pour en assurer la sécurité et a immédiatement ouvert une enquête. Pendant toute cette période, les fonctions essentielles sont demeurées accessibles. »

Après avoir découvert que les renseignements d’inscription des sociétés membres et des personnes physiques inscrites avaient été compromis, le régulateur a agi : « Nous avons publié un communiqué de presse, suivi par les lettres, les webinaires pour les membres, et les courriels. Nous avons divulgué ces conclusions publiquement et les avons communiquées directement à nos membres et aux personnes inscrites touchées. »

À ce moment, l’OCRI a indiqué que l’enquête était toujours en cours. « Les données étaient très complexes et ont nécessité du temps afin de déterminer les répercussions ainsi que l’exposition individuelle des clients. Dès le départ, notre objectif a été de mener l’enquête la plus approfondie et la plus transparente possible afin d’assurer la protection des données qui nous sont confiées, de renforcer nos propres systèmes et de faire des recommandations visant à aider nos membres à améliorer leurs propres mesures de cybersécurité », lit-on dans une réponse écrite de l’OCRI.

Dès qu’elle a été avisée de l’incident de cybersécurité, l’Autorité des marchés financiers, de concert avec les autres juridictions canadiennes, « a supervisé de près les dispositions prises par l’OCRI pour soutenir les investisseurs. Elle considère aussi les mesures qui pourraient être nécessaires afin de rehausser l’encadrement de la cybersécurité par les OAR et autres participants au marché », indique l’AMF.

L’AMF souligne que l’OCRI a pris des mesures pour sécuriser ses systèmes et protéger les renseignements qui lui ont été confiés. « Une enquête a également été lancée avec le soutien d’experts en cybersécurité. L’OCRI a publié sur son site web les résultats préliminaires de cette enquête, et a offert aux personnes touchées des services de surveillance du crédit et de protection contre le vol d’identité », note l’AMF.

Leçons à tirer

Alexey Burakovski insiste sur la complexité inhérente à ce type d’incident. Selon lui, chaque communication doit reposer sur des faits solidement établis, dont l’analyse exige du temps.

Il estime ainsi que les délais étaient justifiables, dans la mesure où le régulateur cherchait à fournir dès le départ une information claire et fiable, tout en adoptant une approche préventive auprès des clients et des conseillers. L’incident a forcé les équipes d’iAGPP à réexaminer ses processus internes et contrôles afin d’en évaluer la solidité.

De son côté, Maxime Gauthier s’interroge sur les mesures mises en place à la suite de l’incident pour prévenir toute récidive. S’il reconnaît ne pas en être entièrement satisfait, il admet toutefois que certains éléments ne peuvent être divulgués. « Tu ne veux pas donner le plan aux voleurs, on s’entend », concède-t-il.

Il partage également une préoccupation quant aux employés de l’OCRI. Cet événement est arrivé alors que le cahier de charge de l’OCRI était, selon lui, déjà particulièrement rempli et ambitieux.

« Malgré le cyberincident, l’OCRI a mené à bien toutes ses priorités annuelles pour l’exercice 2026 », affirme l’OCRI.

Maxime Gauthier rappelle toutefois que personne n’est immunisé contre un incident de la sorte. « En 2026, qui peut se croire parfaitement à l’abri de ce risque-là ? La question n’est pas tellement si, mais plutôt quand cela va être notre tour, parce qu’aucun système n’est parfait. »

« Cet incident aura sûrement un impact sur l’étendue de l’information exigible par l’OCRI auprès des firmes quand, par exemple, ils viennent en inspection ou quand on leur fait des rapports. […] Peut-être que l’anonymisation des données est à réfléchir », soulève France Kingsbury. Selon elle, l’OCRI doit sérieusement évaluer la rétention de l’information et le calendrier de destruction des données.

Elle souligne que les firmes doivent être conscientes que ces informations peuvent réapparaître à tout moment et qu’il est donc essentiel de mettre en place des contrôles durables. Cela passe notamment par l’attribution d’accès ciblés, le recours à l’authentification multifactorielle ainsi que par des rappels réguliers et une formation continue, tant pour le personnel que pour les clients.

Maxime Gauthier soulève une réflexion plus large : la possibilité de mutualiser certaines ressources ou pratiques en matière de gestion d’incident de cybersécurité et de risques qui y sont liés.

Selon lui, une approche collective permettrait de renforcer la résilience du secteur et de tirer des leçons des expériences passées, plutôt que chaque entité ne gère ses risques de manière isolée.

Pour accéder au tableau, cliquez ici.

Avec la collaboration de Guillaume Poulin-Goyer et Carole Le Hirez

L’article OCRI : la cyberattaque nuit à sa perception est apparu en premier sur Finance et Investissement.

Dans un courriel reçu par Finance et Investissement, l’OCRI affirme : « Rien n’indique que des données ont été utilisées à mauvais escient. » Harold Geller, défenseur des droits des investisseurs chez Geller Law, en doute, mais il ne peut démontrer le contraire. Il fait simplement le constat que deux recours judiciaires ont émergé très rapidement, sans être encore officialisés, un au Québec et un autre en Colombie-Britannique, après que l’OCRI a eu reconnu, dans un communiqué du 14 janvier 2026, que le cyberincident « a touché environ 750 000 investisseurs canadiens ».

Me Geller fait l’hypothèse que des poursuites ne se seraient pas matérialisées aussi rapidement après le communiqué du 14 janvier (survenu cinq mois après la première annonce du cyberincident), « si des dommages impliquant des investisseurs n’avaient pas surgi un certain temps avant le communiqué ».

Rappelons que le Mouvement Desjardins a accepté un règlement à l’amiable d’environ 200 millions de dollars (M$) pour clore les poursuites liées à une fuite de données survenue en juin 2019. Il n’est pas dit que l’OCRI s’en sortira indemne ; cependant il vaut la peine de se remémorer le cas Lamoureux c. OCRCVM, où un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) (maintenant l’OCRI) avait oublié un ordinateur non crypté dans un train. L’action collective a été rejetée par la Cour supérieure du Québec, jugeant les dommages non prouvés et la réaction de l’organisme appropriée.

Relativiser la perte de données

Me Geller juge que les investisseurs souffrent déjà des dommages puisqu’ils ont raison de s’inquiéter pour leurs actifs « Leur susceptibilité à des fraudes de toutes sortes a considérablement augmenté. » En revanche, aucun cas de vol d’identité ou de fraude financière lié au cyberincident à l’OCRI n’est encore documenté. « Je n’ai eu vent de rien, » affirme Maxime Gauthier, président de Mérici Services financiers, qui siège au conseil régional de l’OCRI.

Ce dernier tient à mettre les choses en perspective. « Si quelqu’un pense qu’aucune de ses informations personnelles ne se retrouve sur le Dark Web, il se raconte des histoires. » Alexandre Cormier, président de la société de sécurité informatique CyberShell, en dit autant. « À peu près tout le monde s’est fait voler ses données, dit-il. Qui irait chercher cette info pour l’utiliser contre moi ? Je crois que c’est de moins en moins important. Le numéro d’assurance sociale et la date de naissance ne sont plus des moyens suffisants de s’identifier. » De plus, les informations sur le

Dark Web « sont mal formatées et peu fiables », ajoutant que les informations subtilisées à l’OCRI sont « assez bénignes ».

Rappelons que, dans son communiqué, l’OCRI rapporte que les renseignements suivants pourraient avoir été compromis : date de naissance, numéros de téléphone, salaire annuel, numéro d’assurance sociale, numéros de pièces d’identité gouvernementales, numéros de compte de placement et relevés de comptes.

À quel type de cyberpirate a-t-on affaire ?

Ce n’est pas pour dire que le fait que des informations personnelles circulent dans le Dark Web est sans danger. « En soi, il est assez bénin de se faire voler son information personnelle, poursuit Alexandre Cormier, cependant le contexte dans lequel s’insère cette information peut faire la différence. Si elles s’inscrivent dans un contexte où on vise des gens fortunés, alors ce n’est pas anodin. »

La nature de l’attaque contre l’OCRI peut fournir des indices sur l’utilisation éventuelle des données : s’agit-il d’une attaque de circonstance effectuée par des pirates qui ont pénétré dans les systèmes de l’OCRI comme ils seraient entrés dans l’ordinateur du dépanneur du coin ? Ou s’agit-il d’une attaque systématique et concertée menée par des experts visant à obtenir des informations pour lesquelles ils envisagent déjà une utilisation lucrative ?

« Un expert en cybersécurité pourrait déterminer si l’attaquant est opportuniste ou déterminé », affirme Alexandre Cormier. Mais nous n’en savons rien pour l’instant. Dans le courriel qui répond aux questions de Finance et Investissement, l’OCRI se contente de dire que « cet incident a été le résultat d’un hameçonnage sophistiqué ».

Le proverbial maillon faible

Chose à peu près certaine, le cyberincident a joué sur une faiblesse humaine. Il ne s’agit pas d’une simple pénétration informatique. Un humain a été hameçonné : par exemple, un courriel l’a invité à cliquer sur un lien — et il est tombé dans le panneau, ouvrant tout grand son ordinateur aux pirates. Cela indiquerait que l’OCRI a peut-être failli dans la formation de son personnel contre les cybermenaces.

À la suite, on peut se demander si le système d’exploitation de l’ordinateur qui a servi de point d’entrée aux pirates était à jour. « L’ordinateur était-il passé de Windows 10 à Windows 11, questionne Alexandre Cormier ? Si ce n’est pas le cas, on se retrouve avec une grande porte béante. Les choses ont débuté avec un hameçonnage, mais toute une chaîne d’événements s’ensuit à partir de là. L’employé avait peut-être toute cette information sur son poste de travail, ce qui n’est certainement pas une bonne pratique. Sinon, d’autres barrières ont été pénétrées et, là encore, peut-être que des contrôles nécessaires n’étaient pas en place. »

Pour l’instant, on peut se perdre en conjectures, conjectures qui trouveront peut-être réponse si les recours collectifs au Québec et en Colombie-Britannique vont de l’avant.

Une controverse

Avant même que toute poursuite se matérialise, une question a suscité une controverse. Dans une chronique d’opinion parue le 24 février dans Investment Executive, Barbara Amsden, défenseur des droits des consommateurs, évaluait à 100 M$ les coûts découlant du cyberincident, qu’il s’agisse de dépenses de mise à jour des systèmes informatiques ou de pénalités légales. Elle proposait que, pour couvrir une partie de ces frais, l’OCRI recoure à son fonds de réserve de 25 M$. « Utiliser ce fonds pour couvrir les frais est la seule façon d’atteindre à une justice systémique », a-t-elle écrit.

« Ne touchez pas à ce fonds ! » a répliqué Ken Kivenko, défenseur des investisseurs, dans une réponse parue le 2 mars également dans Investment Executive, écrivant : « Un organisme d’autoréglementation qui ne peut protéger les fonds destinés à des initiatives dans l’intérêt des investisseurs et du public contre les intérêts manifestes de l’industrie doit rendre les clés aux ACVM, car à ce stade, il a cessé de fonctionner dans l’intérêt public. »

Maxime Gauthier est du même avis. « Ce fonds est pour la protection des investisseurs dans un cadre d’éducation. Je ne pense pas qu’il peut être détourné. C’est un fonds dédié ! » En même temps, il réclame une certaine indulgence à l’endroit de l’OCRI. « Je suis très réticent à leur lancer la pierre, dit-il. Ils sont à fusionner deux organismes et doivent gérer un calendrier très ambitieux. Je peux être très empathique. »

L’article Après la brèche à l’OCRI, l’heure des questions est apparu en premier sur Finance et Investissement.

Les premiers résultats de l’enquête, dévoilés le 17 août, ont révélé que des renseignements personnels de courtiers membres et de leurs personnes inscrites avaient été touchés. Les données compromises pourraient inclure des identifiants professionnels et d’autres données personnelles en lien avec la conformité des membres.

Les données des investisseurs ne sont pas touchées à ce stade, selon l’OCRI. L’organisme indique qu’il détient un échantillon restreint d’informations sur les investisseurs dans le cadre de ses activités de conformité.

Pour cerner l’ampleur de l’attaque, l’organisme collabore avec des experts en cybersécurité, des conseillers juridiques spécialisés et les forces de l’ordre. L’organisme s’est engagé à aviser individuellement les personnes concernées et à leur offrir des mesures de protection, notamment en matière de sécurité d’identité.

« Étant donné les normes de sécurité élevées que l’OCRI attend d’elle-même et de ses membres, nous sommes profondément préoccupés par cette situation, et nous savons que nos membres le seront aussi », a indiqué l’organisme dans un communiqué.

L’article Cyberattaque à l’OCRI : des données de conseillers exposées est apparu en premier sur Finance et Investissement.

À cette occasion, ils ont évalué si leur courtier déployait des efforts suffisants pour renforcer la sécurité et lutter contre les cyberattaques. Les CP ont donné une note moyenne de 9,14, ce qui signifie que l’écrasante majorité juge que c’est le cas. Pourtant, les risques de fraudes sont encore bien présents, préviennent deux experts en cybersécurité. « Je les crois quand ils se disent en sécurité, commente Alain Constantineau, vice-président pour l’Amérique du Nord de Hornetsecurity.

Mais ils font possiblement preuve de naïveté. Ce ne sont pas des experts dans le domaine. »Les commentaires des répondants laissent percevoir un manque de connaissances de la part des CP. « Je l’ignore, mais j’imagine qu’on est protégés », répond un CP d’iA Gestion privée de patrimoine. « Je ne vois pas grand-chose de ce qu’ils font, mais je suis sûr qu’ils ont mis en place des mesures de sécurité pour lutter contre les cyberattaques », renchérit un autre de Valeurs mobilières Desjardins. « On a des équipes qui travaillent là-dessus sans relâche », promet un troisième de la Financière Banque Nationale. Alain Constantineau relève également que ces conseillers doivent en faire toujours plus, comme leurs clients, ce qui donne une impression de sécurité.

Des courtiers forment leurs conseillers, testent leur réaction en leur envoyant de faux courriels d’hameçonnage, forcent le cryptage des courriels, notent des CP interrogés.

Nombre de sondés parlent aussi de l’identification multifacteur, un système de sécurité qu’Alain Constantineau estime « tout à fait nécessaire ». « Pour l’information sensible, nous avons un système de vérification en deux étapes », indique un CP de ScotiaMcLeod.

Or, Alain Constantineau souligne que le problème est ailleurs. « On a créé tellement de logiciels que le maillon faible, c’est l’être humain ». Un point dont les pirates semblent s’être rendu compte, puisqu’ils sont revenus à une ancienne forme de fraude : le social engineering (piratage psychologique). « Avant, ils tentaient de trouver une brèche de la sécurité quelque part, maintenant, le vecteur d’attaque est revenu vers l’humain », constate l’expert.

Et ceci est vrai même pour l’identification multifacteur, assure Steve Waterhouse, conférencier et spécialiste en sécurité informatique. Sans s’en rendre compte, les réponses aux questions personnelles qui sont souvent complémentaires aux mots de passe se trouvent sur leurs médias sociaux. Et même les mots de passe eux-mêmes sont souvent bien trop simples. « “123 456 ’’ est encore le mot de passe le plus populaire sur la planète ! ‘Password’ est le numéro deux ! » rapporte-t-il.

La formation est nécessaire et beaucoup d’institutions en offrent, selon des sondés. « Nous avons des modules à faire régulièrement », confie un répondant de ScotiaMcLeod. « La firme fait très régulièrement des formations et des tests pour renforcer la sécurité », renchérit un autre de RBC Dominion Valeurs mobilières.

Sauf que même là, l’émotivité peut faire tout oublier au moment clé, notamment dans les fraudes par hameçonnage. « Vu la cadence du quotidien que l’on vit, on peut facilement être la victime de ces arnaques », estime Steve Waterhouse.

Les deux experts mentionnent que certaines institutions font le nécessaire en matière de cybersécurité, mais se limitent souvent à ce que requiert la législation.

« S’il n’y avait pas ces éléments imposés, ils ne le feraient sûrement pas », avance Steve Waterhouse, qui précise quand même qu’il existe des exceptions.

Alain Constantineau est bien conscient que certaines institutions allouent beaucoup d’argent à la cybersécurité. Toutefois, il constate un manque de cohésion dans leurs actions.

« Elles se procurent le meilleur pare-feu, le meilleur antivirus, mais l’un parle chinois, l’autre allemand et le troisième anglais », déplore-t-il. Les systèmes ont ainsi du mal à travailler ensemble, ce qui crée des brèches.

« Ce n’est pas un manque de volonté, mais un manque de cohésion », explique-t-il.

Problèmes internes

Le télétravail ajoute encore une couche de difficulté en multipliant le nombre de points d’accès. S’il est encore possible de gérer cela, le problème humain revient.

Quelqu’un pourrait ainsi décider d’imprimer des documents confidentiels ailleurs qu’à la banque, ou travailler dans un lieu public en utilisant une connexion wifi non sécurisée.

Les problèmes internes sont complexes à gérer. Les deux experts estiment qu’il faudrait intégrer des marches à suivre et des accès limités selon la sensibilité de l’information, comme en Europe avec le Règlement général sur la protection des données.

« Au Québec, on a la loi 25 qui s’en va vers ça, mais on a à peu près sept ans de retard », affirme Alain Constantineau.

Les experts rappellent qu’en cybersécurité l’important est de prévoir les mouvements des fraudeurs et non d’y réagir. Steve Waterhouse s’inquiète ainsi des nouvelles fraudes, comme celles par la voix ou par vidéo, qui pourraient faire beaucoup de dégâts. Un fraudeur se fait ainsi passer pour un client ou un dirigeant et lui demande d’effectuer un retrait ou un changement de compte de banque principal. Le CP, trompé par un logiciel d’intelligence artificielle qui imite sa voix ou son apparence, s’exécute sans vérifier au préalable son identité.

Les courtiers sauront-ils y faire face ? « Ils ont la connaissance pour le faire, mais ils n’ont pas nécessairement le vouloir », juge-t-il.

L’article L’humain, ce maillon faible est apparu en premier sur Finance et Investissement.