Des pénalités aux administrateurs pour contrer la cyberfraude?

Publié le 11/10/2019 à 09:41

Des pénalités aux administrateurs pour contrer la cyberfraude?

Publié le 11/10/2019 à 09:41

Par Pascal Forget
cyber fraude carte crédit

(Photo: 123rf)

Un regroupement d'experts en sécurité informatique demande aux partis politiques de prendre position sur la protection des identités numériques des citoyens et la gestion du système de crédit.

Pour le groupe, des sanctions personnelles aux administrateurs devraient entre autres s'appliquer si une banque autorise une transaction frauduleuse, émet une carte de crédit à la mauvaise personne, ou qu’une propriété change de propriétaire par fausse représentation.

«Si les dirigeants doivent payer de leurs poches, le problème va se régler vite», explique Éric Parent, PDG de EVA Technologie et professeur aux HEC en cybersécurité.

Il faudra toutefois mettre en place une formule de pénalités intelligente, modulée selon les caractéristiques de l'entreprise, ou sur des pourcentages des revenus, comme la Loi sur la protection des données européenne. «Les PME ne sont pas le problème en ce moment. Montrez-moi une entreprise en Bourse, et je vais vous montrer une entreprise qui cache des choses», explique M. Parent.

«Pour avoir ton boni à la fin de l'année, il faudrait par exemple atteindre des objectifs au niveau de la cybersécurité. Si la sécurité n'est pas prise au sérieux par le PDG et le reste de l'équipe de direction, c'est un problème! Aux États-Unis, il y a un CSO (Chief Security Officer) qui s'en occupe. Au Canada, c'est souvent un CISO, d'un niveau inférieur. Le conseil reçoit toujours un message que tout va bien!» Il suggère par exemple que le PDG et le directeur des TI pourraient être pénalisés personnellement, avec une mécanique publique pour documenter les incidents.

«Mais on sait que business is business: s’il y a un risque, on devra demander une signature pour l’approuver. Pas celle du gars des TI, mais du PDG!»

Identité numérique

M. Parent déplore que les banques et de nombreuses entités s'appuient toujours sur le NAS et la date de naissance. «Cette information est maintenant presque publique. Les méthodes n'ont plus une grande valeur, mais elles servent encore.»

C'est pourquoi le groupe encourage l'adoption de l'identité électronique, du type de celles qui sont déjà utilisées dans plusieurs pays comme l’Afghanistan, la Belgique, et l’Estonie. Une méthode d’identification sécuritaire qui pourrait remplacer plusieurs cartes actuelles, comme le permis de conduire et la carte d‘assurance maladie.

Pour en savoir plus: Transformation numérique: la fin du bordel informatique?

Repenser les bureaux de crédit

On suggère aussi de mettre fin au réflexe d'offrir systématiquement Equifax en cas de brèche. «Les bureaux de crédit sont un échec: nous ne sommes pas leurs clients, mais nous sommes obligés d'être leurs produits. Ils nous vendent nos propres informations, qui ont été récoltées sans notre vrai consentement», ajoute-t-il.

M. Parent déplore que la valeur en Bourse d’Equifax soit rapidement revenue à son niveau d’avant la brèche. «Ils ont investi 170 millions de dollars pour régler le problème, ce qui veut dire qu'ils étaient 170M$ en retard auparavant.»

Les organismes comme Desjardins devraient plutôt avoir leur propre service qui s'occupe de la sécurité de leurs membres. Une autre option serait d’avoir un bureau de crédit géré par le gouvernement, ou préférablement une coopération entre banque pour créer un équivalent à but non lucratif avec une surveillance indépendante.

Pas de solution à vendre

Le regroupement affirme ne pas avoir de solutions à vendre. Pour l'ancien membre des forces armées, les propositions se veulent surtout idéologiques. «On n’est pas là pour faire du cash, on en fait déjà. Mais on reçoit des appels au milieu de la nuit de petites entreprises québécoises qui passent dans les nouvelles à la suite d'une fraude informatique. On veut diminuer le problème. Dans l'armée, nous sommes mission oriented: on aime une action concrète qui donne un résultat clair. Dans ce cas, nous voulons responsabiliser, et éliminer la dépendance aux numéros d’assurance sociale comme identifiant.»


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet Énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Marketing personnalisé

Mercredi 05 février


image

Forum Contrats publics

Mardi 11 février


image

Expérience

Jeudi 20 février


image

DevOps - Québec

Mercredi 26 février


image

Usine 4.0 - Québec

Mercredi 18 mars

Sur le même sujet

Hameçonnage: ça mord toujours

11/09/2019 | Pascal Forget

Vous recevez un courriel de votre patron, qui vous demande de transférer rapidement un montant à un fournisseur.

Vol de données: maintenant, des clients Costco!

31/07/2019 | Daniel Germain

Elle est bien fâcheuse cette autre fuite de données, mais il y a peut-être lieu de se réjouir. Du moins, espérons.

À la une

Bourse: Wall Street termine en ordre dispersé, freinée par les incertitudes commerciales

Mis à jour le 11/11/2019 | LesAffaires.com et AFP

REVUE DES MARCHÉS. Le Dow Jones monte à un nouveau record à la faveur de la forte progression de Boeing et Walgreens.

Titres en action: Cascades, TC Energy, Adidas...

11/11/2019 | AFP et La Presse Canadienne

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.

Pixelbook Go: Google invente un portable d'entrée de gamme de luxe

11/11/2019 | Alain McKenna

BLOGUE. Pour peu que le budget ne soit pas une barrière à l’achat, ce portable est plutôt séduisant.