Cybersécurité: le succès passe par un modèle de responsabilité partagée

Publié le 13/11/2023 à 10:57

Cybersécurité: le succès passe par un modèle de responsabilité partagée

Publié le 13/11/2023 à 10:57

Par Martin Berthiaume

La conciliation entre l’utilisabilité et la sécurité représente une équation complexe à résoudre. (Photo: 123RF)

EXPERT INVITÉ. Un autre mois de sensibilisation à la cybersécurité vient de prendre fin. Les récentes fraudes touchant quelques clients commerciaux de nos banques québécoises ont fait les gros titres. Les médias et les commentateurs spécialisés en cybersécurité ont presque tous pointé du doigt la responsabilité des banques dans cette situation. J’ai entendu et lu divers commentaires d’observateurs expliquant dans les médias comment leur solution aurait empêché les fraudes subies par les clients de ces institutions financières. Pour le public non averti, cela donnait l’impression que les clients des institutions financières québécoises étaient plus exposés à de telles attaques que ceux des autres banques. Ce n’est pas le cas et la quantité de désinformation sur ce sujet me fait penser qu’une période supplémentaire de sensibilisation à la cybercriminalité est maintenant nécessaire.

Nul n’est mon intention de porter un jugement sur la responsabilité des banques, sur l’efficacité de ses contrôles de cybersécurité, de détection de fraudes ou sur la responsabilité des victimes des fraudes récentes. Cependant, je crois qu’il est important de mettre les pendules à l’heure et d’expliquer que la cybersécurité c’est une responsabilité partagée.

 

Quelles sont les responsabilités des institutions financières

À mon avis les banques ont certaines responsabilités et je vous propose d’en dresser un inventaire rapide.

· Éducation des clients : La sensibilisation des clients aux tactiques d’hameçonnage qui sont en constante évolution et la promotion de comportements sécurisés en ligne pourraient réduire les risques. Encourager l’utilisation d’authentification à deux facteurs (2 FA) partout où cela est disponible et informer sur la manière de reconnaître les tentatives de fraude sont des mesures préventives.

· Renforcement des mesures de sécurité : Les banques doivent continuellement améliorer ses systèmes de sécurité pour contrer les attaques qui sont de plus en plus sophistiquées. Des technologies pour détecter les schémas de fraude doivent être en place et revisitées en continu.

· Supporter la réponse à l’incident : les banques doivent accompagner leurs clients pour les aider à tenter de recouvrir les sommes volées. Elles doivent collaborer à l’enquête et travailler avec les autorités compétentes pour essayer d’identifier les criminels et potentiellement récupérer ces sommes volées.

· Éviter les identifiants partagés : les banques doivent permettre aux entreprises d’avoir plusieurs utilisateurs sur un même compte bancaire. Si pour des raisons opérationnelles les clients doivent partager le même identifiant et le même mot de passe, cela limite énormément l’efficacité de l’authentification à plusieurs facteurs. Plusieurs banques supportent des «flows» d’approbation des transactions nécessitant deux approbations, peut-être devraient-elles en faire davantage la promotion.

 

Quelles sont les responsabilités de l’utilisateur

Encore une fois, c’est encore mon avis personnel. Quand un utilisateur est assez responsable pour avoir des accès à un compte de banque d’entreprise en ligne. Il devrait être en mesure d’assumer les responsabilités suivantes :

Utilisation de l’authentification à deux facteurs (2 FA) : Personne n’est à l’abri d’une distraction. Les techniques d’hameçonnage sont de plus raffinées. Activer l’authentification à deux facteurs est une protection minimale de nos jours.

Ne pas partager d’identifiant et les mots de passe : Il n’est pas rare de trouver des chiffriers Excel avec les paramètres de compte de banque dans des répertoires partagés d’entreprise. Ces pratiques malheureusement encore trop courantes rendent la vie facile aux criminels.

Comprendre les menaces courantes : comprendre les tactiques utilisées par les fraudeurs pour obtenir vos codes d’accès. Savoir reconnaître les signes d’un courriel ou d’un SMS, ou même d’un appel téléphonique frauduleux.

Effectuer les mises à jour et sécurité des appareils : maintenir ses appareils (ordinateurs, smartphones, etc.) à jour avec les derniers correctifs de sécurité pour réduire les risques d’attaques. Je vois encore des ordinateurs avec Windows 7 couramment en entreprise.

Activer les contrôles de sécurité disponibles : les banques offrent plusieurs contrôles de sécurité. Sans en faire l’inventaire, il faudrait toujours utiliser un maximum des contrôles disponibles — chaque contrôle additionnel réduit la probabilité de devenir une victime de fraude. Chaque contrôle laissé de côté augmente le risque, mais évidemment cette décision impacte l’utilisabilité.

 

La contradiction entre l’utilisabilité et la sécurité.

La conciliation entre l’utilisabilité et la sécurité représente une équation complexe à résoudre. D’un côté, pour garantir une expérience utilisateur fluide et efficace, les systèmes doivent être conviviaux et simples, permettant aux utilisateurs d’interagir facilement sans entraves. Cependant, cela peut parfois compromettre la sécurité, car des contrôles trop stricts ou des procédures complexes peuvent entraver l’expérience utilisateur, incitant souvent les individus à contourner ces mesures de sécurité pour plus de commodité.

Cette contradiction conduit bon nombre d’utilisateurs, y compris des chefs d’entreprise, à privilégier l’utilisabilité par rapport à la sécurité. Ils peuvent facilement être irrités par l’authentification multifacteur. J’entends régulièrement des plaintes concernant la friction causée par cette étape supplémentaire. Je constate fréquemment que le partage de codes d’accès est une pratique courante dans de nombreuses entreprises. Il est indéniable que ces utilisateurs ont opté pour l’utilisabilité, réduisant ainsi la friction pour eux-mêmes, mais également pour les criminels qui cherchent à tirer profit plus aisément.

 

Une culture de cybersécurité ça se développe

Dans le contexte actuel, les demandes des médias et des commentateurs, exigeant des banques de rembourser les victimes de fraude, même si celles-ci partagent une responsabilité, suscitent des questions sur le message transmis concernant la responsabilisation. D’un côté, le remboursement peut être perçu comme une mesure rassurante pour les clients, montrant une prise en charge des conséquences des fraudes. Cependant, cela pourrait aussi être interprété comme une déresponsabilisation des individus, diminuant potentiellement l’incitation à adopter des pratiques de sécurité plus rigoureuses. Ainsi, trouver un équilibre entre le soutien aux victimes de fraude et la promotion de comportements responsables en matière de cybersécurité est essentiel pour faire croître une culture où chaque individu, chaque entreprise est consciente de son rôle dans la protection de ses propres données.

 

Qui protège le citoyen ?

Pour une entreprise, quels sont les incitatifs à mettre en œuvre des contrôles de cybersécurité et à subir la friction opérationnelle causée par ces derniers si, à la fin de la journée, la responsabilité incombe à une autre entité ? Se faire vider son compte en banque, c’est quelque chose de très concret. L’impact est tangible. Qu’en est-il des données sensibles sur les employés, les clients et les partenaires, qui sont encore plus faciles à voler ? Qui a la responsabilité de protéger ces données ? Si l’on se fie à ce que nous propose la loi 25, ce sont les mêmes chefs d’entreprise.

Le 3 novembre dernier, le Ministre Eric Caire a prononcé un discours inspirant lors du lancement du Carrefour de la Cybersécurité, propulsé par CyberEco. Dans ce discours, il a exprimé la volonté du gouvernement du Québec de faire de Québec un modèle mondial de cybersécurité. Je pense que si nous voulons réellement, en tant que société, mieux développer les talents et les bonnes pratiques en matière de cybersécurité, il faudra mieux définir ce que signifie le modèle de responsabilités partagées.

*Cet article a été rédigé avec la collaboration de André A. Boucher Chef de la sécurité de l’information à la Banque Nationale.

 

Sur le même sujet

La course aux ordinateurs quantiques: enjeux pour la cybersécurité et l'équilibre des pouvoirs

09/04/2024 | Martin Berthiaume

OPINION. La course à la domination quantique présente des parallèles avec la course à l’armement nucléaire.

François Legault: «Il y a une crise en agriculture actuellement»

28/03/2024 | La Presse Canadienne

Une vingtaine d’agriculteurs attendaient François Legault, jeudi matin à Henryville en Montérégie.

OPINION La crise du logement inquiète les entreprises canadiennes, selon un nouveau sondage
27/03/2024 | La Presse Canadienne
Russie: au moins 40 morts dans une attaque armée revendiquée par l'EI
Mis à jour le 22/03/2024 | AFP
Souvent mis à l'épreuve, Boeing fait face à une nouvelle crise
08/01/2024 | AFP

À la une

Compétitivité: Biden pourrait aider nos entreprises

26/04/2024 | François Normand

ANALYSE. S'il est réélu, Biden veut porter le taux d'impôt des sociétés de 21 à 28%, alors qu'il est de 15% au Canada.

Et si les Américains changeaient d’avis?

26/04/2024 | John Plassard

EXPERT INVITÉ. Environ 4 électeurs sur 10 âgés de 18 à 34 ans déclarent qu’ils pourraient changer leur vote.

L’inflation rebondit en mars aux États-Unis

Mis à jour le 26/04/2024 | AFP

L’inflation est repartie à la hausse en mars aux États-Unis, à 2,7% sur un an contre 2,5% en février.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024