Logo - Les Affaires
Logo - Les Affaires

Des pénalités aux administrateurs pour contrer la cyberfraude?

Pascal Forget|Publié le 11 octobre 2019

Des experts en sécurité demandent aux partis de prendre position sur la protection des données et du système de crédit.

Un regroupement d’experts en sécurité informatique demande aux partis politiques de prendre position sur la protection des identités numériques des citoyens et la gestion du système de crédit.

Pour le groupe, des sanctions personnelles aux administrateurs devraient entre autres s’appliquer si une banque autorise une transaction frauduleuse, émet une carte de crédit à la mauvaise personne, ou qu’une propriété change de propriétaire par fausse représentation.

«Si les dirigeants doivent payer de leurs poches, le problème va se régler vite», explique Éric Parent, PDG de EVA Technologie et professeur aux HEC en cybersécurité.

Il faudra toutefois mettre en place une formule de pénalités intelligente, modulée selon les caractéristiques de l’entreprise, ou sur des pourcentages des revenus, comme la Loi sur la protection des données européenne. «Les PME ne sont pas le problème en ce moment. Montrez-moi une entreprise en Bourse, et je vais vous montrer une entreprise qui cache des choses», explique M. Parent.

«Pour avoir ton boni à la fin de l’année, il faudrait par exemple atteindre des objectifs au niveau de la cybersécurité. Si la sécurité n’est pas prise au sérieux par le PDG et le reste de l’équipe de direction, c’est un problème! Aux États-Unis, il y a un CSO (Chief Security Officer) qui s’en occupe. Au Canada, c’est souvent un CISO, d’un niveau inférieur. Le conseil reçoit toujours un message que tout va bien!» Il suggère par exemple que le PDG et le directeur des TI pourraient être pénalisés personnellement, avec une mécanique publique pour documenter les incidents.

«Mais on sait que business is business: s’il y a un risque, on devra demander une signature pour l’approuver. Pas celle du gars des TI, mais du PDG!»

Identité numérique

M. Parent déplore que les banques et de nombreuses entités s’appuient toujours sur le NAS et la date de naissance. «Cette information est maintenant presque publique. Les méthodes n’ont plus une grande valeur, mais elles servent encore.»

C’est pourquoi le groupe encourage l’adoption de l’identité électronique, du type de celles qui sont déjà utilisées dans plusieurs pays comme l’Afghanistan, la Belgique, et l’Estonie. Une méthode d’identification sécuritaire qui pourrait remplacer plusieurs cartes actuelles, comme le permis de conduire et la carte d‘assurance maladie.

Pour en savoir plus: Transformation numérique: la fin du bordel informatique?

Repenser les bureaux de crédit

On suggère aussi de mettre fin au réflexe d’offrir systématiquement Equifax en cas de brèche. «Les bureaux de crédit sont un échec: nous ne sommes pas leurs clients, mais nous sommes obligés d’être leurs produits. Ils nous vendent nos propres informations, qui ont été récoltées sans notre vrai consentement», ajoute-t-il.

M. Parent déplore que la valeur en Bourse d’Equifax soit rapidement revenue à son niveau d’avant la brèche. «Ils ont investi 170 millions de dollars pour régler le problème, ce qui veut dire qu’ils étaient 170M$ en retard auparavant.»

Les organismes comme Desjardins devraient plutôt avoir leur propre service qui s’occupe de la sécurité de leurs membres. Une autre option serait d’avoir un bureau de crédit géré par le gouvernement, ou préférablement une coopération entre banque pour créer un équivalent à but non lucratif avec une surveillance indépendante.

Pas de solution à vendre

Le regroupement affirme ne pas avoir de solutions à vendre. Pour l’ancien membre des forces armées, les propositions se veulent surtout idéologiques. «On n’est pas là pour faire du cash, on en fait déjà. Mais on reçoit des appels au milieu de la nuit de petites entreprises québécoises qui passent dans les nouvelles à la suite d’une fraude informatique. On veut diminuer le problème. Dans l’armée, nous sommes mission oriented: on aime une action concrète qui donne un résultat clair. Dans ce cas, nous voulons responsabiliser, et éliminer la dépendance aux numéros d’assurance sociale comme identifiant.»