La conciliation entre l’utilisabilité et la sécurité représente une équation complexe à résoudre. (Photo: 123RF)
EXPERT INVITÉ. Un autre mois de sensibilisation à la cybersécurité vient de prendre fin. Les récentes fraudes touchant quelques clients commerciaux de nos banques québécoises ont fait les gros titres. Les médias et les commentateurs spécialisés en cybersécurité ont presque tous pointé du doigt la responsabilité des banques dans cette situation. J’ai entendu et lu divers commentaires d’observateurs expliquant dans les médias comment leur solution aurait empêché les fraudes subies par les clients de ces institutions financières. Pour le public non averti, cela donnait l’impression que les clients des institutions financières québécoises étaient plus exposés à de telles attaques que ceux des autres banques. Ce n’est pas le cas et la quantité de désinformation sur ce sujet me fait penser qu’une période supplémentaire de sensibilisation à la cybercriminalité est maintenant nécessaire.
Nul n’est mon intention de porter un jugement sur la responsabilité des banques, sur l’efficacité de ses contrôles de cybersécurité, de détection de fraudes ou sur la responsabilité des victimes des fraudes récentes. Cependant, je crois qu’il est important de mettre les pendules à l’heure et d’expliquer que la cybersécurité c’est une responsabilité partagée.
Quelles sont les responsabilités des institutions financières
À mon avis les banques ont certaines responsabilités et je vous propose d’en dresser un inventaire rapide.
· Éducation des clients : La sensibilisation des clients aux tactiques d’hameçonnage qui sont en constante évolution et la promotion de comportements sécurisés en ligne pourraient réduire les risques. Encourager l’utilisation d’authentification à deux facteurs (2 FA) partout où cela est disponible et informer sur la manière de reconnaître les tentatives de fraude sont des mesures préventives.
· Renforcement des mesures de sécurité : Les banques doivent continuellement améliorer ses systèmes de sécurité pour contrer les attaques qui sont de plus en plus sophistiquées. Des technologies pour détecter les schémas de fraude doivent être en place et revisitées en continu.
· Supporter la réponse à l’incident : les banques doivent accompagner leurs clients pour les aider à tenter de recouvrir les sommes volées. Elles doivent collaborer à l’enquête et travailler avec les autorités compétentes pour essayer d’identifier les criminels et potentiellement récupérer ces sommes volées.
· Éviter les identifiants partagés : les banques doivent permettre aux entreprises d’avoir plusieurs utilisateurs sur un même compte bancaire. Si pour des raisons opérationnelles les clients doivent partager le même identifiant et le même mot de passe, cela limite énormément l’efficacité de l’authentification à plusieurs facteurs. Plusieurs banques supportent des «flows» d’approbation des transactions nécessitant deux approbations, peut-être devraient-elles en faire davantage la promotion.
Quelles sont les responsabilités de l’utilisateur
Encore une fois, c’est encore mon avis personnel. Quand un utilisateur est assez responsable pour avoir des accès à un compte de banque d’entreprise en ligne. Il devrait être en mesure d’assumer les responsabilités suivantes :
Utilisation de l’authentification à deux facteurs (2 FA) : Personne n’est à l’abri d’une distraction. Les techniques d’hameçonnage sont de plus raffinées. Activer l’authentification à deux facteurs est une protection minimale de nos jours.
Ne pas partager d’identifiant et les mots de passe : Il n’est pas rare de trouver des chiffriers Excel avec les paramètres de compte de banque dans des répertoires partagés d’entreprise. Ces pratiques malheureusement encore trop courantes rendent la vie facile aux criminels.
Comprendre les menaces courantes : comprendre les tactiques utilisées par les fraudeurs pour obtenir vos codes d’accès. Savoir reconnaître les signes d’un courriel ou d’un SMS, ou même d’un appel téléphonique frauduleux.
Effectuer les mises à jour et sécurité des appareils : maintenir ses appareils (ordinateurs, smartphones, etc.) à jour avec les derniers correctifs de sécurité pour réduire les risques d’attaques. Je vois encore des ordinateurs avec Windows 7 couramment en entreprise.
Activer les contrôles de sécurité disponibles : les banques offrent plusieurs contrôles de sécurité. Sans en faire l’inventaire, il faudrait toujours utiliser un maximum des contrôles disponibles — chaque contrôle additionnel réduit la probabilité de devenir une victime de fraude. Chaque contrôle laissé de côté augmente le risque, mais évidemment cette décision impacte l’utilisabilité.
La contradiction entre l’utilisabilité et la sécurité.
La conciliation entre l’utilisabilité et la sécurité représente une équation complexe à résoudre. D’un côté, pour garantir une expérience utilisateur fluide et efficace, les systèmes doivent être conviviaux et simples, permettant aux utilisateurs d’interagir facilement sans entraves. Cependant, cela peut parfois compromettre la sécurité, car des contrôles trop stricts ou des procédures complexes peuvent entraver l’expérience utilisateur, incitant souvent les individus à contourner ces mesures de sécurité pour plus de commodité.
Cette contradiction conduit bon nombre d’utilisateurs, y compris des chefs d’entreprise, à privilégier l’utilisabilité par rapport à la sécurité. Ils peuvent facilement être irrités par l’authentification multifacteur. J’entends régulièrement des plaintes concernant la friction causée par cette étape supplémentaire. Je constate fréquemment que le partage de codes d’accès est une pratique courante dans de nombreuses entreprises. Il est indéniable que ces utilisateurs ont opté pour l’utilisabilité, réduisant ainsi la friction pour eux-mêmes, mais également pour les criminels qui cherchent à tirer profit plus aisément.
Une culture de cybersécurité ça se développe
Dans le contexte actuel, les demandes des médias et des commentateurs, exigeant des banques de rembourser les victimes de fraude, même si celles-ci partagent une responsabilité, suscitent des questions sur le message transmis concernant la responsabilisation. D’un côté, le remboursement peut être perçu comme une mesure rassurante pour les clients, montrant une prise en charge des conséquences des fraudes. Cependant, cela pourrait aussi être interprété comme une déresponsabilisation des individus, diminuant potentiellement l’incitation à adopter des pratiques de sécurité plus rigoureuses. Ainsi, trouver un équilibre entre le soutien aux victimes de fraude et la promotion de comportements responsables en matière de cybersécurité est essentiel pour faire croître une culture où chaque individu, chaque entreprise est consciente de son rôle dans la protection de ses propres données.
Qui protège le citoyen ?
Pour une entreprise, quels sont les incitatifs à mettre en œuvre des contrôles de cybersécurité et à subir la friction opérationnelle causée par ces derniers si, à la fin de la journée, la responsabilité incombe à une autre entité ? Se faire vider son compte en banque, c’est quelque chose de très concret. L’impact est tangible. Qu’en est-il des données sensibles sur les employés, les clients et les partenaires, qui sont encore plus faciles à voler ? Qui a la responsabilité de protéger ces données ? Si l’on se fie à ce que nous propose la loi 25, ce sont les mêmes chefs d’entreprise.
Le 3 novembre dernier, le Ministre Eric Caire a prononcé un discours inspirant lors du lancement du Carrefour de la Cybersécurité, propulsé par CyberEco. Dans ce discours, il a exprimé la volonté du gouvernement du Québec de faire de Québec un modèle mondial de cybersécurité. Je pense que si nous voulons réellement, en tant que société, mieux développer les talents et les bonnes pratiques en matière de cybersécurité, il faudra mieux définir ce que signifie le modèle de responsabilités partagées.
*Cet article a été rédigé avec la collaboration de André A. Boucher Chef de la sécurité de l’information à la Banque Nationale.