Hausse des cyberattaques au Québec et au Canada

Au cours de la première moitié de 2023, le Canada a été la cible de plus de 17,8 milliards de tentatives de cyberattaques. Cette réalité met en évidence la nécessité d’accroître la prévention et de renforcer la sécurité numérique à tous les niveaux. 

DES FRAUDEURS HYPERACTIFS

Ce chiffre provient du dernier rapport semestriel publié en août 2023 de FortiGuard Labs, l’organisme de recherche et de veille sur les menaces de Fortinet, spécialiste en cybersécurité.

Pour rappel, les cyberattaques sont des tentatives indésirables de voler, d’exposer, de modifier, de désactiver ou de détruire des informations au moyen d’un accès non autorisé à un réseau, à un système ou à un appareil mobile, menant très souvent à des fraudes.  

En 2022, le Centre antifraude du Canada a répertorié 92 078 signalements de fraudes, représentant des pertes financières de 531 millions de dollars (M$), soit une augmentation considérable par rapport aux 379 M$ signalés l’année précédente.

« Il s’agit de la pointe de l’iceberg, puisque le Centre antifraude du Canada estime que seulement 5 à 10 % des gens signalent une fraude », souligne Minh-Quang Nguyen, gestionnaire des experts en préventes en sécurité pour Fortinet, Est du Canada.

Si l’on regarde le secteur bancaire au Canada, « selon le rapport de l’ombudsman des services bancaires et d’investissement (OSBI), en 2022, le nombre de plaintes qui touchaient spécifiquement les fraudes bancaires avait pratiquement doublé par rapport à l’année précédente », indique M. Nguyen.

Une grande partie de ces plaintes concernait des virements électroniques, des cartes de crédit et des virements bancaires.

LES FRAUDES BANCAIRES LES PLUS COURANTES

La fraude par chèque, la fraude par virement électronique et la fraude par carte de crédit commerciale sont parmi les plus répandues dans le secteur bancaire, rapporte le spécialiste en cybersécurité.

Si les fraudes par chèque arrivent en tête, elles sont cependant en net recul par rapport aux fraudes par virement électronique, par exemple les paiements par Interac, en forte hausse, et aux fraudes par cartes de crédit, de plus en plus utilisées, notamment pour les achats en ligne.

La fraude par usurpation d’identité et du mot de passe via des techniques d’hameçonnage est aussi récurrente, ajoute-t-il.

LE RANÇONNAGE À LA HAUSSE

Les demandes de rançon en ligne, un des enjeux majeurs en cybersécurité, sont également en croissance.

En 2023, selon FortiGuard, une augmentation de 13 fois de l’activité de rançongiciels à la fin du premier semestre par rapport au début de l’année a été enregistrée. Les familles et les variants de logiciels malveillants ont d’ailleurs explosé au cours des cinq dernières années, avec des augmentations de 135 % et 175 % respectivement.

« Un rançongiciel, c’est lorsqu’une banque, par exemple, voit son système informatique compromis avec un logiciel malveillant qui est installé sur un poste de travail ou un serveur. Le système ne sera pas déverrouillé tant qu’on n’aura pas payé une rançon », explique M. Nguyen.

DES CONSÉQUENCES MULTIPLES

Les rançons exigées sont très élevées − de l’ordre de plusieurs dizaines de millions de dollars dans le milieu bancaire sinon plus, selon le spécialiste en cybersécurité −, et ne sont pas le fruit du hasard.

« Les malfaiteurs aujourd’hui sont plus sophistiqués que jamais. Quand ils demandent une rançon, ce n’est pas une valeur inventée de toute pièce. Ils regardent les revenus annuels et le nombre d’employés, puis ils évaluent qu’elle peut payer un montant X comme rançon. »

« Les victimes, précise-t-il, acceptent souvent de payer parce qu’au niveau organisationnel, ça coûte trop cher ou que les délais sont trop longs avant de se remettre sur pied ».

La tendance actuelle est d’ailleurs de souscrire une assurance cyberrisques auprès d’un assureur, qui couvre notamment le rançonnage.

« Je n’ai pas de statistiques, mais je peux vous certifier que 100 % des banques ont une assurance cyberrisques sous une forme ou sous une autre. »

Si les banques et les entreprises consentent à verser une rançon, c’est aussi parce qu’elles souhaitent préserver leur réputation et passer sous le radar, « en espérant ne pas faire les manchettes ».

D’après M. Nguyen, « une législation canadienne pointe à l’horizon pour forcer les entreprises à divulguer ce genre d’attaque, donc de système compromis à l’interne ».

« D’ailleurs, je peux vous confirmer qu’en tant qu’industrie [de la cybersécurité], on travaille déjà de concert avec les institutions financières pour voir de notre côté ce qu’on peut amener à la table pour les aider. »

QUATRE ÉLÉMENTS ESSENTIELS EN CYBERSÉCURITÉ

Prévenir les fraudes est l’affaire des institutions financières comme des clients.

Du côté des institutions financières, « le cœur central des moyens, aujourd’hui en 2023, c’est la cybersécurité », fait valoir M. Nguyen.

À la faveur de l’accélération de la transformation numérique des banques, la surface d’attaque, soit, au sens large, le nombre de possibilités pour les fraudeurs s’est accru, avec l’ajout de nouveaux services en ligne et l’arrivée de partenaires d’affaires externes, comme des fintechs.

Ainsi, en matière de cybersécurité, soutient-il, quatre éléments sont à prendre à considération, tant pour les dirigeants que pour les responsables technologiques des banques.

Il faut d’abord identifier les zones de risque, en priorisant les composantes névralgiques, et les nouveaux partenaires, donc les maillons faibles dans la chaîne technologique, puis les sécuriser.

Ensuite, il est nécessaire de mettre sur pied des formations de sensibilisation à la cybersécurité pour tous les employés.

« Ça peut aller du personnel administratif au personnel de soutien, comme les gens qui font l’entretien quotidien du bureau. Tout le monde doit être sensibilisé à la cybersécurité. Ce n’est plus seulement une affaire qui concerne les TI et les gens de bureau. »

De plus, en matière de cybersécurité, pour les banques, le mot d’ordre, c’est l’automatisation, surtout en cette ère de pénurie de main-d’œuvre.

« On doit utiliser les nouveaux outils et les mécanismes d’automatisation pour les technologies de cybersécurité afin de couvrir tous les risques possibles et donc de réduire la fraude bancaire. »

Finalement, les institutions financières et leurs dirigeants doivent cesser de travailler en silo.

« Il faut travailler ensemble en tant qu’industrie. Plus que jamais, il ne faut pas avoir peur de faire mal à sa réputation, de poser des questions, de partager ce qu’on voit à l’interne avec les autres joueurs dans l’industrie, parce qu’on est tous dans le même bateau. »

L’ADOPTION D’UNE BONNE HYGIÈNE NUMÉRIQUE

Du côté des clients, il s’agit de revenir à la base, c’est-à-dire d’avoir « une bonne hygiène numérique », conseille Minh-Quang Nguyen.

Celle-ci suppose qu’on possède des mots de passe uniques et de longueurs convenables, de 15 caractères et plus, ainsi que des mécanismes d’authentification additionnels, comme un code de vérification à usage unique envoyé par texto ou par téléphone.

Enfin, « un autre moyen simple est de réduire son empreinte personnelle sur les réseaux sociaux », c’est-à-dire toutes les informations personnelles qui servent à nous identifier lorsqu’on communique avec une institution bancaire, comme notre adresse et notre date de naissance.

« C’est l’endroit numéro 1 où les fraudeurs vont aller collecter l’information pour tenter d’usurper notre identité et donc faire une fraude bancaire avec ces données. »