Réduire au minimum votre exposition à la fraude: entretien avec Larry Zelvin
- Mots-clés :
- fraude
- trésorerie nouvelle génération
Récemment, un client m’a dit : « Quand on construit des murs hauts, les méchants construisent des échelles plus hautes. » Cela explique la hausse exponentielle des tentatives de fraude et des violations réussies depuis le début de la pandémie, il y a un an et demi.
C’est le monde dans lequel nous vivons, et notre travail, en tant que professionnels en services financiers, consiste à compliquer la tâche des malfaiteurs.
Dernièrement, j’ai discuté avec Larry Zelvin, chef de l’Unité Crime financier de BMO, de l’augmentation de la fraude dans le contexte actuel et des solutions possibles pour vous en protéger, votre entreprise et vous.
Voici un résumé de notre discussion.
Qui sont les malfaiteurs?
« Des centaines de milliers de personnes se lèvent chaque matin avec un seul objectif en tête : pirater des ordinateurs », a déclaré Larry. Cela brosse un tableau sombre, mais c’est la menace à laquelle font face les entreprises de toutes tailles. Comme Larry l’a expliqué, les fraudeurs se divisent en cinq catégories.
Certains travaillent pour les services de renseignement nationaux en Russie, en Chine, en Corée du Nord et, oui, même au Canada et aux États-Unis. Grâce à Internet et aux réseaux d’appareils mobiles, il est beaucoup plus facile pour les services de renseignement de recueillir de l’information sans devoir s’implanter dans un pays étranger et y cultiver des sources. La menace vient de pays qui utilisent leurs services militaires et de renseignement à des fins lucratives.
La deuxième catégorie se compose de personnes qui travaillent pour des organisations terroristes. Pour l’instant, celles-ci utilisent Internet principalement pour inspirer la dévotion parmi les fidèles et attirer de nouvelles recrues. Larry note toutefois que ce n’est qu’une question de temps avant que les terroristes commencent à l’utiliser à des fins plus financières ou politiques.
Les trois catégories suivantes représentent actuellement la plus grande menace pour les entreprises et les institutions financières. Il y a d’abord les personnes ou les organisations criminelles motivées par l’argent. « Ce sont ceux qui gagnent de l’argent à l’ancienne : en le volant », indique Larry. «Grâce à Internet, il est aujourd’hui possible de cambrioler des centaines, voire des milliers de banques en une seule journée. Internet a permis l’évolution des vols et de la fraude d’une manière qui était encore inimaginable il y a 50 ou 60 ans.»
Vient ensuite la catégorie des pirates informatiques. Contrairement aux fraudeurs motivés uniquement par l’argent, les pirates informatiques cherchent à embarrasser ou à perturber des organisations au nom d’une cause, comme des enjeux sociaux ou environnementaux.
La dernière constitue ce que Larry considère comme la catégorie contre laquelle il est le plus difficile de lutter : les menaces internes. « Il s’agit de gens, au sein de notre organisation, en qui l’on place notre confiance pour certaines responsabilités et qui trahissent cette confiance », explique-t-il. « Il peut s’agir de technologues ou d’employés responsables de vos finances ou de vos systèmes des ressources humaines. Ils sont vraiment très difficiles à repérer, car, souvent, ils ont l’air de faire leur travail, et seuls les comportements les plus étranges ou les plus petites erreurs permettent parfois de déceler le caractère inapproprié et potentiellement frauduleux ou criminel d’une activité.
L’élément humain
Comment ces fraudeurs mènent-ils donc leurs attaques? Et pourquoi réussissent-ils si bien? Selon une étude d’IBM, l’erreur humaine contribue à 95 % des atteintes à la cybersécurité1 et, pour ce faire, la méthode la plus simple est le courriel. Selon le rapport 2020 sur la criminalité sur Internet du FBI, les pertes attribuables à l’escroquerie au faux ordre de virement (FOVI) s’élevaient à 1,8 milliard de dollars aux États-Unis, soit environ 44 % de tous les crimes liés à Internet2.
« Vous envoyez un courriel à une personne lui demandant de cliquer sur un lien ou d’ouvrir une pièce jointe; ce qu’elle s’empresse de faire », poursuit Larry. « Est alors téléchargé sur son ordinateur ou sur son appareil un logiciel hostile permettant à un acteur d’accéder au dispositif au moment et de l’endroit de son choix pour y faire ce qu’il veut. »
Les vulnérabilités des systèmes sont une autre méthode courante, mais le facteur humain y joue aussi un rôle. « Les ordinateurs, les appareils mobiles et les dispositifs électroniques sont conçus et gérés par les machines imparfaites que sont les êtres humains », souligne Larry. « Comme ils sont créés par des machines imparfaites, les appareils engendrent constamment des bogues, des erreurs et des problèmes de sécurité qui doivent être résolus. »
C’est pourquoi l’installation des mises à jour système est essentielle pour vous protéger au niveau de l’appareil. « Si vous négligez ces mises à jour, les vulnérabilités peuvent être exploitées par des malfaiteurs et s’avérer aussi efficaces – sinon plus – que l’envoi de courriels contenant un lien ou une pièce jointe. »
Atténuation du risque
Le rythme des affaires ne cesse d’augmenter. Même si cela peut être avantageux sur le plan de la rentabilité, Larry croit que cela engendre l’un des plus grands défis en matière de sécurité. « Nous avons peu ou pas de temps pour réagir », relève-t-il. « Je crois que le plus important, c’est de ralentir. Si une situation n’a pas l’air normale, elle ne l’est probablement pas. Il faut poser des questions, parler à ses supérieurs, communiquer avec son équipe de sécurité et avoir des entretiens avec ses institutions financières. »
Larry recommande aussi d’utiliser l’authentification biométrique des appareils chaque fois que cela est possible. « Beaucoup de fraudes et d’arnaques sont rendues possibles par l’utilisation de mots de passe trop faciles à deviner. Il est beaucoup plus difficile de frauder une personne qui utilise l’authentification biométrique plutôt que des mots de passe. Mais si vous utilisez des mots de passe, assurez-vous qu’ils sont vraiment complexes et utilisez l’authentification à deux facteurs pour tout ce qui concerne les déplacements de fonds. »
Il faut aussi absolument comprendre que la lutte contre la fraude est un effort qui doit être déployé à l’échelle de l’organisation et qui nécessite la participation active de tous, du chef de la direction jusqu’au dernier échelon. « En premier lieu, j’insiste généralement sur l’importance de chaque personne au sein d’une organisation pour la sécurité et l’intégrité de cette dernière en tout temps et en toutes circonstances », précise Larry. « Il faut veiller à ce que chacun comprenne sa responsabilité en tant que personne au sein d’une organisation, et qui appeler et comment s’assurer de l’examen et de la prise de mesures appropriées lorsqu’une situation qui semble anormale est repérée. »
Selon Larry, tout comme elles examinent régulièrement leurs finances, les organisations devraient revoir régulièrement leurs politiques en matière de cybersécurité et d’atténuation de la fraude au moyen d’audits internes et externes. « Si vous ne procédez à aucun test et à aucune évaluation, vous pourriez vous réveiller un jour et constater que vos capacités étaient loin d’être aussi robustes que vous l’aviez espéré », prévient-il. « Il existe des organisations qui offrent ces services. Elles peuvent être très utiles pour déterminer où se situent vos faiblesses et comment rééquilibrer et redéfinir vos priorités. »
Les menaces auxquelles les entreprises font face évoluent constamment. C’est pourquoi même si vous utilisez des stratégies, des outils et des tactiques pour atténuer considérablement le risque, Larry rappelle qu’il n’y a pas de sécurité parfaite. Il s’agit d’un effort continu qui nécessite une vigilance de tout instant.
« Si quelqu’un affirme pouvoir résoudre ces problèmes, fuyez à toute vitesse », commente-t-il. « Il faut la meilleure technologie et les personnes les plus compétentes pour résoudre les problèmes auxquels nous sommes confrontés aujourd’hui, qui croissent en nombre et en complexité plus vite que tout autre environnement de sécurité dans lequel j’ai travaillé. Au bout du compte, les malfaiteurs ne doivent être bons qu’une seule fois, alors que nous devons l’être chaque fois. »
Larry a abordé de nombreux autres sujets lors de l’événement, notamment les rançongiciels et leur incidence sur l’assurance cybersécurité, des exemples concrets de cyberfraude et l’importance d’être prêt à réagir en cas d’événement frauduleux.
Lire la suite
Suzane: Bienvenue. Mon nom et Suzane Witteveen, je suis directrice principale à la Banque commerciale de BMO. Je suis directrice de mon équipe des solutions de paiement et de trésorerie commerciale canadienne. Nos clients américains, pour les aider avec les besoins canadiens, puis nos clients canadiens pour leurs besoins américains. On voulait juste mentionner cela dans le contrat, la lentille pour la gestion et la mitigation des risques. C'est notre mission de nous assurer que nos clients ont un accès opportun pour les meilleurs conseils, les meilleurs experts, les meilleures solutions, et les meilleurs services et des leçons pour protéger leurs flux de travail et leurs opérations quotidiennes.
Il y a plusieurs années, j'avais un travail dans une organisation de gestion des risques qui se concentrait surtout pour protéger la banque des fraudeurs internationaux et des terroristes. Je travaillais avec les agences de réglementation de prêts, mais j'étais frustrée par les processus, les contrôles et la documentation de l'information qui augmentait, et les règles qui forçaient le contrôle. Puis, un des deux me coachait, disait que les gens qui se comportent mal vont faire de mauvaises choses, et c'est le monde dans lequel on vit. Notre travail comme professionnel financier, c'est de rendre le travail très difficile d'accomplir leurs mauvaises actions.
C'était une bonne perspective pour moi, et voici pourquoi nous sommes rassemblés aujourd'hui. Ensemble nous pouvons rendre cela très difficile pour que les criminels accomplissent ce qu'ils veulent. On va écouter un expert parlant du risque, et à la fin, on va être illuminé sur les actions que nous devrions prendre d'une manière régulière pour minimiser la fraude, surtout les cyberattaques, mais on devrait aussi regarder les fraudes traditionnelles, donc les arnaques de draft, comme on dit en anglais, qui arrivent de plus en plus. Un client m'a dit il y a quelques-- Qu'est-ce qui se passe lorsqu'on bâtit des murs élevés ? Les vilains, les gens de mauvaise foi vont bâtir des échelles plus élevées.
Il y a eu beaucoup de brèches d'informations durant les années de pandémie. On a travaillé différemment en réponse à la Covid, donc ça a créé plusieurs nouveaux risques parce qu'il y a des failles dans le système. Les bonnes nouvelles, c'est que toute personne et n'importe quelle entreprise de toute taille peuvent tirer profit des conseils et des méthodes et des leçons. Je voulais que ça s'appelle de l'approche [inintelligible 00:03:25] pour se battre contre la fraude. Malheureusement, les invitations avaient déjà été distribuées, donc on ne va pas changer le titre, qui est l'événement de la trésorerie de nouvelle génération, c'est réduire votre exposition à la fraude.
Larry Zervin était chef de l'unité des crimes financiers de BMO, mais il travaillait aussi au sein des Forces armées canadiennes ou peut-être américains, l'interprète n'est pas certaine. Il va travailler aussi pour les Américains, pour la sécurité cyber au Pentagone et la Maison-Blanche. Son expertise et son-- Vraiment attirer l'attention des banques de premier quart, les plus grandes banques, l'ont [inintelligible 00:04:26] avec nous. Bienvenu Larry. Je respecte aussi qu'il a un rêve de protéger BMO, une grosse tâche de protéger BMO et ses clients de très nombreuses attaques, mais il n'a jamais peur de se retrousser les manches pour faire partie de notre équipe.
Lorsqu'un client est victime de fraude, il agit rapidement. J'apprécie beaucoup le temps qu'il a exprimé en aval qui ont résulté dans les meilleurs résultats possibles dans beaucoup de situations. Je vais planifier de poser les questions de vous, les participants, à Larry, parce que ce sera le temps. Vous voyez que nous avons une boîte de chat en direct, s'il vous plait, tapez-y vos questions. Larry, dans son bureau de travail qui semble très professionnel va pour pouvoir nous répondre. Si vos questions, on ne peut pas y répondre, envoyer un courriel et on va pouvoir y répondre. Larry, je te cède la parole. On veut entendre tes témoignages et tes récits pour qu'on puisse trouver la gestion du risque palpitante.
Larry: Merci beaucoup pour ces présentations et merci pour le temps qu'on passe ensemble. Croyez-le ou non, c'est un bureau qui n'est pas de Microsoft, mais c'est le département de BMO, l'unité des crimes financiers. Je suis seul aux États-Unis, mais nous avons un bureau qui est encore plus gros, mais qui avec meilleures des capacités à Toronto dans nos bureaux corporatifs à One Canadian Place, et on en a un autre bureau à Singapour. On a beaucoup de méthodes et de technologies pour protéger nos banques, nos clients, nos partenaires contre d'innombrables menaces.
Avec tout cela, l'expérience que je voudrais faire cet après-midi, c'est ce qui suit. Je vais vous donner un survol de qui sont ces menaces, qu'est-ce qu'ils font, pourquoi ils le font et comment ils le font. Je voulais parler aussi de récits qui seraient intéressants, je l'espère, mais qui sont tous vrais. On parle de cyberattaques et ensuite on va parler plus de fraude. Je pense que le parcours est important pour comprendre pourquoi les attaques cybernétiques et puis la fraude habituelle ont été intégrées. Je vais parler de plusieurs histoires pour vous donner le sentiment de qu'est ce qui se passe. Je vais vous dire aussi pourquoi je me suis joint à BMO et pourquoi je fais partie de l'unité des crimes financiers.
Ensuite, je vais répondre à des questions, soit celles que vous avez déjà soumises ou celles que vous allez soumettre bientôt. Qu'est-ce qui se passe maintenant ? Qui sont ces gens ? Je déteste vous le dire, mais il y a des centaines de milliers de personnes qui se lèvent à chaque matin, qui n'ont aucun autre but, mais de pénétrer dans l'ordinateur de quelqu'un, c'est ce qu'ils font professionnellement. Ils travaillent des fois pour la Russie, la Chine, l'Iran, la Corée du Nord et des fois pour les États-Unis et le Canada. Ils font partie des services d'intelligence. Ils font partie des services militaires aussi.
La plupart des pays, pas tous, utilisent leurs gens militaires pour collecter des informations qui vont protéger la sécurité nationale ou les intérêts nationaux. Maintenant, c'est tellement plus facile pour les services d'intelligence de ne pas aller à un pays, de devenir un espion. C'est beaucoup plus facile pour eux au lieu de faire semblant et tout simplement d'entrer dans l'ordinateur de quelqu'un et avoir toutes les informations nécessaires. Il y a certains pays qui utilisent leur service militaire et intelligence pour un gain financier et je vais en parler un peu plus lorsque je vais parler des récits. Lorsqu'on parle des centaines de milliers de personnes qui se lèvent le matin sont payées par les différents pays.
D'autres groupes, ils volent tout simplement et ça a été tellement difficile. Avec l'internet, pensez-y à quel point ça a été difficile. Il fallait prendre un cheval ou une voiture, pour aller à une succursale, il fallait avoir un plan, il fallait avoir des masques, il fallait avoir des armes. Puis, les gens allaient vous signaler, ils allaient vous fusiller peut-être. C'était dangereux, vous deviez vous sauver. C'était inefficace. Maintenant, à cause qu'on est en ligne, on peut voler des centaines et des milliers de banques dans une journée. On peut le faire à partir de pays où ce n'est pas illégal, à moins ce qu'on vols à main armée des personnes, donc on ne va pas être fusillé, on ne va pas être arrêté.
Vous pouvez aussi le faire par des trucs d'automatisation. On peut voler des milliers de banques. C'était inimaginable par le passé. Il y a des États, il a des acteurs criminels. Ensuite, il y a des hackers. Ces des personnes qui ont des causes. Ils ont des raisons émotionnelles, que ça soit environnemental, social, et cetera. Puis, ils veulent entrer dans des systèmes pour embarrasser, et puis pour éliminer des institutions qui les dérangent.
L'autre groupe dont je veux parler, c'est des terroristes. On est très fort chanceux qu'ils n'ont pas utilisé l'internet pour créer des dommages, mais c'était d'habitude pour inspirer les gens, pour rassembler les gens pour faire peur. Je pense que les activités terroristes, on peut s'attendre à un élargissement de leurs activités. Je pense que très bientôt, les terroristes vont commencer à utiliser l'internet et les ordinateurs qui vont leur donner des gains financiers, donc le piratage.
Le dernier groupe, c'est le plus complexe. C'est les menaces internes. C'est les gens qui sont à l'intérieur de l'organisation, on leur fait confiance avec les responsabilités, et puis ils trahissent cette confiance. Peut-être qu'ils font partie des ressources humaines ou des TI. C'est difficile à détecter parce qu'on leur fait confiance, ils font leur travail, mais c'est seulement les plus petites erreurs ou un comportement un peu bizarre qui vont les révéler. C'est les groupes terroristes et les pirates, les initiés, les employés, et cetera.
Comment faire cette fraude ? D'habitude, c'est par courriel. On vous envoie un courriel, donc on demande à cliquer sur un lien, et puis ils ouvrent un document. Ça s'appelle malware. La personne, en ouvrant ce document-- ces centaines de milliers de personnes, d'habitude, vont rentrer dans un système à travers le courriel. Puis, lorsque vous ouvrez le courriel ou la pièce jointe au courriel, ensuite, ce programme qu'on appelle malware va être implanté dans votre ordinateur. Ils peuvent revenir plus tard et y trouver ce qu'ils veulent. Il y a des dispositifs, il y a toujours des puces, des erreurs, des problèmes de sécurité qui doivent être résolus. Pour ceux qui utilisent des mobiles, je vous montre mon téléphone mobile. Si vous regardez dans paramètres, et puis vous regardez mise à jour de logiciel, si vous envoyez une ou zéro, vous devez installer ces mises à jour, sinon ces vulnérabilités peuvent être exploitées par des mauvais acteurs.
Ils peuvent exploiter de manière encore plus sérieuse que si on envoie un courriel et on ouvre un courriel. Enfin, il y a certains sites Web qui sont utilisés assez fréquemment. Si on va dans un site, potentiellement, vous pensez que vous regardez des nouvelles, puis demande des exigences commerciales sur un site Web, ils peuvent télécharger du malware. Il y avait un site Web de réglementaire en Pologne qui a été compromis pendant des mois. On a découvert enfin, mais des institutions financières qui utilisaient ce site Web, les banques même, il y avait un logiciel malware qui s'est implanté dans la banque.
C'est un vecteur pour entrer, et puis ces personnes pouvaient manipuler les ordinateurs et obtenir ce qu'ils voulaient. Il y a plusieurs façons de procéder, mais je vais commencer avec mes récits. Quels sont les impacts de centaines de milliers de personnes qui utilisent les courriels, les vulnérabilités et les faiblesses ou les sites Web. C'est quoi les résultats potentiels ? Si on commence notre histoire qui commence en 2012, je travaillais au département de Homeland Security américain. Je dirigeais l'un des trois centres de cyber sécurité. Mes homologues étaient au FBI et l’autre à NSA. Nous trois ont constitué la façon que le gouvernement américain combattait cette fraude cybernétique.
Le FBI faisait la contre intelligence et puis les contre-attaques, et dans le respect du droit aussi. J’étais à Washington DC, et puis on m'a demandé de revenir en Virginie. Dans mon centre, il y avait beaucoup d'activités AT&T et Verizon étaient des fournisseurs de services Internet. Il y avait énormément de trafic plus que jamais. Il y avait une tempête cybernétique. Mon équipe commençait à regarder ce qu'il voyait et c'était apparent que AT&T et Verizon avaient mentionné cela. Maintenant, les banques disaient que leurs sites Web qui font face au public avaient ralenti. JPMorgan Chase, la Bank of America, Citigroup, parmi d'autres. C'était le début de sept à huit mois d'activités cyber contre les établissements financiers, surtout aux États-Unis, mais pas exclusivement aux États-Unis. C'était une attaque intéressante.
Dimanche ou lundi, qui était le mauvais acteur, Qassam, il y avait une vidéo sur YouTube qui insultait le prophète Mohammad. Il demandait que cette vidéo YouTube soit retirée. La façon qu'il voulait le faire, c'est de mettre de la pression sur les établissements financiers et pour mettre de la pression sur YouTube. Dimanche ou lundi, ces combattants Qassam ont frappé JPMorgan Chase, mardi et Bank of America, mercredi et Wells Fargo, jeudi.
Mardi, on rentre au travail, le marché ouvre, on commence à voir un trafic augmenter, le trafic sur le site Web. Ça veut dire que des gens qui ont pris des ordinateurs, ils les ont utilisés pour accéder au site Web de la banque. Par exemple, d'habitude, il y a 300 000 demandes sur un site Web. S'il y a 900 000 demandes, c'est un problème. C'est ce qui se passait. Il y avait des ordinateurs qui étaient utilisés partout dans le monde pour le faire. Il commençait à faillir et il y avait beaucoup de défaillances parce que d’une perspective de défense, on voyait le trafic élevé. Puis, à l'heure du midi, était le plus haut, puis à quatre heures, on pouvait aller à la maison parce que ça réduisait. C'était bien pour nous, mais ça devenait beaucoup plus sophistiqué parce que les banques se défendaient. Ces combattants changeaient de tactique trois ou quatre fois par jour. Ils ont le piratage, la banque se corrigeait. Ensuite, ils changeaient leur tactique, la banque se corrigeait, ils changeaient une tactique. C’est ce qui se faisait constamment.
Il y a quelques années, le gouvernement américain disait que [inintelligible 00:19:00] était derrière ces attaques et qu'ils ont peut-être utilisé pour combattre les Américains en utilisant les cyberattaques pour démanteler le gouvernement. C'était le début pour le secteur financier et leur désir d'embaucher des gens comme moi qui travaillent au sein des forces militaires et puis qui ont ces connaissances. Comment est-ce qu'on va défendre notre pays de gens qui attaquent nos institutions financières ? En 2014, novembre, Sony avait une comédie [inaudible 00:19:37] ou bien un pays. C'est ce qui ressemblait à la Corée du Nord et puis le chef du pays qui ressemblait beaucoup au chef d'État de la Corée du Nord. C'était une grande offense pour les Coréens du Nord. Pendant certaines semaines, on de ne pas faire publier leur film, mais en novembre 2014, SONY Motion Pictures sont rentrés au bureau et tous leurs ordinateurs sont verrouillés. Ils n'ont accès à rien. Puis, on leur dit que les ordinateurs sont verrouillés. Ils n'auront plus accès à leurs ordinateurs. Les gens SONY, la seule façon de communiquer, c'est en utilisant des dispositifs personnels et utilisant leurs courriels personnels. Parce que les ordinateurs de SONY et les centres de données ont été effacés complètement en utilisant le malware destructif. Quelques mois plus tard, les gens de la Corée du Nord ont donné des scripts et des informations médicales sur les employés et puis ont pris des films qui n'ont pas encore été diffusés.
Le PDG de SONY, elle était congédiée parce qu'il y avait des courriels qu'elle ne voulait jamais publier, sont devenus publics et puis sa crédibilité comme leader au sein de l'industrie était corrompue et elle ne pouvait plus servir comme chef de SONY Motion Pictures. Je vous raconte cette histoire parce qu'on doit être vraiment attention lorsqu'on envoie quelque chose dans un courriel ou dans un texte parce que cela peut être utilisé contre vous dans une journée d'attaques cybernétiques. Un autre domaine où on est habitué d'être manipulé en montrant des photos d'eux-mêmes. S'il y a des photos de vous aussi, des vidéos aussi, il faut faire attention. Il n'y a pas de pays qui était plus attaqué que l'Ukraine. C'est parce qu'il y a tellement de tensions entre eux et la Russie.
En septembre 2015, trois des centrales de génération, il y avait une souris qui se montrait à l'écran, puis qui démontrait que la distribution de l'électricité s'était éteinte. Ils se rendaient compte qu'ils n'avaient pas le contrôle. 230 000 de leurs clients n'avaient pas d'électricité pendant six heures. J'ai déjà visité l'Ukraine et même en été, il fait froid. C'est un problème humanitaire. Les ascenseurs ne fonctionnent pas, on ne peut pas chauffer la maison, donc il y a des impacts sur la société qui peuvent être assez dangereux. Il y avait une usine de purification d'eau. Puis, il y avait un ajustement par l'électronique qui a changé les taux du niveau de minéraux ou d'éléments chimiques qui auraient pu blesser des gens ou même tuer certaines personnes. C'est très sérieux. À quel point, lorsqu'on parle des services de l'Iran, est-ce qu'il y avait d'autres histoires qui sont pires que ça comme l'attaque sur SONY, ou bien les histoires de l'électricité en Ukraine ?
La Banque du Bangladesh, en 2016, a souffert l'une des fraudes les plus grandes jamais constatées. On parle de 1 milliard de dollars américains. On utilisait le système de messages SWIFT. Il y avait 34 messages qui ont transféré la Banque du Bangladesh à la Réserve fédérale. Il y a d'autres endroits en Beijing-- L'interprète n'a pas entendu. Les acteurs ont utilisé le mot Jupiter. Puis, il y a eu un signal électronique au sein de la Réserve fédérale. Il y a eu une signalisation pour les gens de la sécurité. Ça a eu lieu pendant une fin de semaine, mais ils ont fait l'enquête un peu plus au cours d'une fin de semaine. Ils ont vu que la Banque du Bangladesh n'a jamais déplacé ou transmis tant d'argent. Ils ont été capables d'arrêter, et on est reconnaissant, du transfert. 180 millions de dollars ont été perdus, mais c'était une tentative d'un milliard de dollars. Les mauvais acteurs, on pense que c'était la Corée du Nord, ont utilisé la banque du Bangladesh. Ils ont vu comment les employés de la banque faisaient leurs transitions. Ils ont vu comment ça fonctionne. Ils ont compris quels étaient les contrôles en place. Ils ont désactivé certains contrôles. Une fois qu'il y avait un message SWIFT et il y avait une impression, cette impression était éliminée.
Quand la fraude a commencé, les employés ont dit : « C'est impossible parce que nos contrôles fonctionnent bien et on n'a aucun signal. » Mais ces signal avaient été désactivés. SWIFT a passé beaucoup de temps et d'énergie pour corriger des failles dans son système et ont fait un très bon travail pour protéger les établissements financiers, mais ça ne veut pas dire que ça ne pourrait pas avoir lieu. Ça ne veut pas dire qu'il y a des énormes défis qui nous confrontent. Lorsqu'on regarde ce qui se passe auprès des établissements financiers, on voit beaucoup de fraudes dépôts, de fraude de chèques aussi, beaucoup de fraudes de virements bancaires, mais aussi de vol d'identité. Je sais que vous avez beaucoup de questions, je voulais juste passer à ce point bientôt. On va parler ensuite de qu'est-ce que fait BMO pour éliminer ces risques.
Qu'est-ce que BMO fait pour protéger ses clients et la banque elle-même ? En 2019, BMO a vraiment fait un [inintelligible 00:27:06] pour créer une unité de crimes financiers. On suit toute la sécurité cyber, la fraude et la gestion des crises en assurant la continuité. Pourquoi c'est unique ? Parce que la plupart des organisations, chacun des trois piliers sont des silos. Chez BMO, nous avons une segmentation, mais il y a une segmentation verticale en silo, mais aussi il y a une collaboration horizontale. On sait que les gens qui font ce mal sont souvent motivés par le gain financier, bien sûr.
Notre travail est plus rapide et meilleur. Notre sécurité physique, internet, et cetera, l'équipe de sécurité physique peut travailler avec l'équipe de cybersécurité et l'équipe des fraudes. C'est beaucoup plus souple et beaucoup plus rapide. Il y a beaucoup de bons résultats lorsqu'on a détecté des fraudes ou des potentiels de fraude et on peut même éviter la fraude. Ça fait trois ans qu'on travaille ainsi. On est très fier de ce qu'on est en train de bâtir, mais je veux aussi partager avec vous qu'il n'y a jamais une sécurité parfaite. Si quelqu'un va vous dire que ses problèmes sont résolus, vous pouvez les laisser et ne plus les écouter. On sait qu'il y aura plusieurs questions et je vais céder la parole à ma collègue bientôt, mais puisque j'ai travaillé depuis plusieurs décennies au sein de la sécurité, on doit toujours prendre le meilleur de la technologie et le meilleur des ressources humaines pour résoudre les problèmes d'aujourd'hui qui deviennent-- Les enjeux d'aujourd'hui sont plus complexes et plus rapides que jamais. Lorsqu'on a des bonnes personnes et une bonne technologie, on a la meilleure capacité de confronter ces menaces et de se protéger. À la fin du jour, on doit juste être bons une fois, on doit être bons chaque fois et on essaie de le faire chaque jour. Sue, je te cède la parole pour la séance de questions et j'ai hâte de vous parler un peu plus.
Suzane: Larry, tu m'effraies et je le dis d'une façon comme je veux que tu comprennes comme un compliment. C'est des récits qui sont tellement terribles, on doit vraiment y réfléchir. Une des premières questions qui est venue d'un client, quel est le risque de fraude qui est le plus courant qui confronte les établissements et qui peut être un défi au contrôle ? En écoutant tes remarques, je pense que tu vas dire le risque des courriels, en disant que toutes les mesures supplémentaires que BMO fait pour former ses employés et nous garder à l'affut par rapport à des fraudes de courriel. En fin de semaine, j'ai eu un courriel qui semblait légitime, qui venait de Apple, qui disait que je venais d'acheter quelque chose, que je devrais cliquer ici pour voir mon reçu, mais immédiatement j'ai posé des questions à mes enfants s'ils venaient d'acheter quelque chose. Ils ont tous dit gentiment : « Non. » Mon mari m'a dit : « Ne clique surtout pas sur ce lien. » Au lieu de faire confiance à mes enfants, j'ai cliqué sur le lien et je pense que ça vient de votre département. Vous avez fait un test, vous étiez victime de fraude, c'est un test, donc je vois que dans un de vos programmes comme exemple quoi ne pas faire.
J'aimerais bien avoir plus d'informations sur l’hameçonnage, c'est justement ce que j'avais fait, j'ai cliqué sur le lien. Tous les conseils que tu pourrais nous donner, on va les appliquer.
Larry: Le FBI américain ont dit que c'était un 1,8 milliard de dollars, ça représente le crime aux États-Unis seulement. Le crime internet au monde, c'était 4 milliards de dollars. L'interprète s'excuse. Les 4 milliards, c'est la totalité de la fraude, mais à 1,8 c'est seulement pour ce qui est commercial. Les chiffres augmentent. Lorsque je parle des mauvais acteurs et on parle des centaines de milliers de personnes, c'est vraiment intéressant financièrement pour eux, donc ils sont très bien financés, ils sont même unis. Ils ont de la difficulté à faire blanchir l'argent. Comment on fait ce qu'on ne peut-- Lorsqu'on essaie de dépenser cet argent, il y a des gens au fédéral, comme le cas à New York, qui essayent de signaler ces transactions. Je pense que ce que les gens doivent faire, c'est de ralentir, ralentissez. C'est l'ancien adage. Si ça ne sent pas bon, ce n'est probablement pas bon. Les gens doivent se poser des questions et doivent communiquer avec leur direction et leur équipe de sécurité. Ils doivent avoir des conversations avec leurs établissements financiers. Ils doivent dire : « Vous savez, on doit regarder de plus près. »
Un des plus grands défis que nous avons au sein de la sécurité, c'est que maintenant, les entreprises veulent travailler plus rapidement et veulent être comme en direct, c'est une bonne chose, mais ça crée des risques lorsqu'il y a des problèmes de sécurité, il n'y a pas de temps pour réagir. Ceci étant dit, si vous pouvez trouver un compromis des courriels dans les premières 24 heures, dans mon expérience, dans la plupart des cas, on peut reprendre cet argent. Lorsqu'on dépasse les 24 heures, et ce, jusqu'à 72 heures, la probabilité de retrouver l'argent est vraiment petite. Si vous demandez à votre établissement financier de dire quelque chose et c'était une directive légitime et on vous a dit de ne pas le faire puis, il y a tellement de cas où ça arrive et vous dites : « Non, ça marche. » puis on vous envoie l'argent, puis ensuite, vous dites que c'est frauduleux et vous devez reprendre l'argent, on ne peut pas le faire. Mon conseil le plus important, c'est que si ça semble louche, c'est louche, donc arrêtez-vous pendant quelques moments, demandez à des bonnes personnes ressources des conseils, puis vérifier le tout.
Suzane: Oui, merci pour tes conseils. Je veux juste ajouter que ce qu'on essaye de rappeler aux clients, c'est il faut placer un antimalware pour protéger des systèmes financiers et les transactions financières. Investissez aussi dans d'autres logiciels, mais c'est une bonne protection rajoutée. Passons maintenant à la prochaine question qui vient d'entrer que j'aime beaucoup. puisque les grandes corporations se font pirater, l'Agence de revenu du Canada et le [inintelligible 00:35:34] Américain, comment est-ce qu'on peut s'assurer qu'on peut utiliser nos dispositifs à la maison et en public ? Qu'est-ce qu'on doit faire pour rester en sécurité ?
Larry: Vous ne devriez jamais vous sentir en sécurité. Il n'y a jamais de sécurité parfaite, mais je ne veux pas que vous paniquiez trop. Il faut vivre sa vie. Je fais mes opérations bancaires sur mon dispositif, j'envoie des textos et des courriels à mes amis, j'aime beaucoup faire les banques en ligne, mais il y a une responsabilité des institutions financières pour donner une sécurité adéquate. Je pense qu'il faut faire les bonnes vérifications lorsqu'on décide avec qui travailler financièrement et s'assurer que leurs standards sont au moins idéal ou au-delà des vôtres.
Vous voyez que les gens investissent dans les bonnes technologies et dans les bonnes capacités, mais lorsqu'on parle de bonnes technologies, c'est une question de gens. Est-ce que les gens sont innovants ? Est-ce qu'ils font des choses qui sont intelligentes et qui vont vous permettre de mieux dormir la nuit ? Dans tellement de cas, je vais vous donner un autre exemple, si je peux. Il y a quelques mois, il y a une compagnie qui s'appelait SolarWinds. Bientôt, tout le monde a entendu parler de SolarWinds pourquoi ? Parce que c'était une petite entreprise de technologie au Texas, qui était utilisée comme vecteur pour infecter des milliers d'entreprises.
SolarWinds n'avait pas un bon programme de sécurité cybernétique, mais il y avait beaucoup de choses que SolarWinds auraient dû faire de mieux, mais les entreprises auraient dû faire leurs vérifications par rapport à ce fournisseur. Dans certains cas, c'est mieux d'être-- Il faut poser les questions difficiles, si vous n'aimez pas les réponses, vous devez responsabiliser tout le monde. D'une perspective personnelle, je pense qu'il y a quelques points à soulever. Il faut s'assurer que vos dispositifs sont mis à jour. C'est critique. Une autre chose, il faut utiliser l'authentification biométrique.
Beaucoup des arnaques qu'on voit, c'est que les gens utilisent des mots de passe qui sont trop faciles à deviner. Vous entendez souvent dire « Changez votre mot de passe » par des gens comme moi, « utilisez les biométriques ». En utilisant votre biométrique est un problème beaucoup plus complexe pour ceux qui veulent user de fraudes envers vous et votre famille. Si vous utilisez un mot de passe, assurez-vous que c'est très complexe comme mot de passe. Utilisez des authentifications à deux facteurs pour tout ce qui a un rapport avec l'argent. La biométrique et un deuxième facteur d'authentification à code, un mot de passe ou peut-être travailler avec des êtres humains avec certaines valeurs, donc sans mon autorisation, vous n'avez pas le droit de déplacer cet argent.
Une autre chose qu'il faut remarquer, c'est de rester à l'affut de qu'est-ce qui se passe. Sur le site Web de BMO, on donne beaucoup de conseils pour comment sécuriser votre téléphone, votre dispositif, comment parler à vos enfants de la fraude et à vos parents, à vos amis, parce que les plus gros groupes qui sont exploités, c'est les personnes âgées et les jeunes. Nous avons tous besoin de faire un meilleur travail, de les enseigner sur les menaces et pour comment être vigilant. On essaie d'offrir ces conseils sur notre site Web lorsque vous visitez BMO Security.
Lorsque vous parlez aux jeunes et aux personnes âgées, ne les blâmez pas, ne leur causez pas de honte : « Souvent les gens pensent que c'est de ma faute, je ne peux pas croire que c'est possible. » On doit laisser tomber ce genre de discours. On doit trouver des solutions et on ne doit pas leur causer une honte.
Suzane: Je ne fais pas honte à mes enfants, mais je ne leur fais certainement pas confiance. Voilà pourquoi j'ai cliqué le lien de test. Je pense que tout le monde pense-- Les entreprises commerciales, quel genre de conseils pouvez-vous leur donner qui achètent l'assurance sur les attaques cybernétiques ?
Larry: Oui, l'assurance de ce type a beaucoup changé. Lorsqu'on parle de ransomware, il y a eu un grand impact aux États-Unis, il y a un mauvais acteur, ils ont perdu la capacité de faire déplacer du pétrole. J'oublie où, et quatre et états aux États-Unis n'avaient plus d'essence à la station service. C'était un gros événement, c'était un ransomware, un mauvais acteur est rentré dans leur système, a augmenté le malware qui a interdit l'usage à ces systèmes. Si vous ne donnez pas l'argent, on va bloquer tout ça, mais le FBI, DSA ont été impliqués, mais malheureusement que le temps pour régler ce problème a pris trop de temps, donc le pipeline a donc payé la rançon.
Il y avait une autre compagnie, JBS, il y avait un problème similaire qui les a empêchés de faire leur commerce. Je vous dis ces deux histoires, mais il y a des milliers ou dizaines des milliers de risques similaires, et continuent aujourd'hui. Ce qui est intéressant, si vous êtes une personne qui s'intéresse à la sécurité par rapport à ces logiciels de rançon ou ransomware, c'est que certaines personnes sont entrées dans les ordinateurs des autres et ont regardé leurs politiques d'assurance et placent leurs rançons pour le montant exact pour lesquelles l'entreprise est couverte. Leur théorie a été bien réalisée, c'est que beaucoup de directeurs, je ne veux pas payer la rançon, voici pourquoi j'ai la rançon, ils demandent X. Je suis couvert pour X. C'est une décision simple d'affaires. Payons la rançon.
Le problème devient que dans certains pays, surtout aux États-Unis, si vous payez la rançon et on prouve que l'argent est allé à un individu sanctionné ou un pays sanctionné, vous allez peut-être être poursuivi en justice. Si cette rançon est allée en Corée du Nord ou à Iran ou à un groupe terroriste comme Hezbollah ou ISIS, vous allez peut-être être pénalisés, poursuivis en justice au tribunal, en justice pénale. Plusieurs entreprises ont payé les rançons, donc le risque commercial augmente. Les programmes d'assurance contre les cyberattaques vont devenir de plus en plus compliquées, même s'ils sont disponibles, vous devez comprendre qu'est-ce qui est couvert et qu'est-ce qui n'est pas couvert. Je ne suis pas un avocat, mais je travaille beaucoup pour la sécurité commerciale, mais il y a eu beaucoup de poursuites où les assurances et les entreprises disent que cela a dû être couvert, puis les assurances disent que cela n'est pas couvert. Puis, il faut s'assurer de tout ça.
Certains produits vous demandent d'utiliser des répondeurs de cybersécurité. Des fois, ça fonctionne, mais des fois, ils n'ont pas les capacités pour reprendre vos activités dans un temps adéquat. Ce que vous devez en retirer, c'est qu'il faut toujours faire attention à ce que vous faites, comprenez les limites de ce que vous faites, comprenez tout ce qui est en jeu, et comprenez ce qui est la meilleure solution pour vous.
Suzane: Merci Larry, c'était vraiment merveilleux. On pourrait faire une autre session sur ce sujet seul. Il y a d'autres questions encore qui entrent, on va essayer de répondre à autant de questions que possibles. « Qu'en est-il pour la vérification par rapport au virement bancaire ? »
Larry: Tout dépend de votre tolérance au risque. S'il y a certaines transactions qui sont routinières et puis vous et votre établissement financier connaissez cela, c'est merveilleux. Il n'y aura pas beaucoup de problèmes pour ce qui est normal pour vous, pour votre commerce et votre établissement financier, mais vous avez besoin d'avoir des conversations avec des êtres humains, mais pas par courriel ou par téléphone pour comprendre quels sont ces paramètres lorsqu'ils sont représentent des anomalies. Qu'est-ce que votre établissement financier devrait faire ? Est-ce que vous voulez qu’il garde le paiement ? Est-ce que vous voulez qu'il communique avec quelqu'un ? Comment doivent-ils valider qu'ils parlent à la bonne personne ? On l’appelle le SIM swapping. Une personne peut avoir une carte SIM et puis ils peuvent répliquer votre téléphone. Vraiment, ils font semblant d'être vous. Ça s'appelle la fraude SIM swapping. C'est l'échange de carte SIM que vous avez dans vos téléphones. Vous devez travailler au niveau personnel, déterminer des paramètres, déterminer des procédures d'opération standard, qu'est-ce que vous devez faire lorsqu'il y a des anomalies dans un système et travailler ensemble rapidement. Qu'est-ce que vous voyez vous ?
Suzane: Oui, je suis d'accord avec tout cela et c'est quelque chose que vous avez dit plutôt comme philosophie pour le ralentissement. Le diable est dans les détails. Il faut s'assurer que les informations sont complètes, présises. Les adresses pour les virements bancaires, assurez-vous que l’épellation des noms sont importantes, des politiques sont importantes. Il faut différents [inintelligible 00:47:08] pour les approbations. Si le montant est plus élevé, il faut plus d’approbations. On sait que les détails vont varier.
Basez sur la tolérance au risque et puis les ressources au sein de votre département, je comprends. Établissez des montants qui signalent quelque chose. Par exemple, les paiements de 10 000 $ vont être signalés. Mes collègues aussi parlent des meilleures pratiques. Regardez vos rapports financiers, c'est vraiment important au Canada parce qu'on n'a pas l'avantage ici. Aux États-Unis, on peut faire un verrouillage de transaction de débit, mais ici, on ne peut pas le faire. Il faut vérifier ces rapports. Peut-être, établissez de nouveaux types de paiements pour plus de protection contre la fraude. Voici ma façon de voir la chose. D'autres questions maintenant.
C'est un rappel. On ne peut pas trop le répéter. Former notre personnel sur la cybersécurité, c'est très important. Qu'est-ce que tu dirais qui sont les trois choses principales dont les clients doivent être conscients lorsqu'ils communiquent avec leur personnel ?
Larry: Comme je l'ai mentionné plus tôt, j'ai travaillé au sein de Homeland Security. Une fois que j'ai dit cela, je deviendrais millionnaire si on me donnait un discours à chaque fois. Si vous voyez quelque chose, dites quelque chose. DHS disait aussi : « Arrêtez, pensez et communiquez. » On dépense beaucoup d'argent pour protéger notre banque, nos partenaires et nos clients. Plusieurs d'entre vous dépensez beaucoup d'argent sur vos procédures et technologies, sécurité et vos équipes de sécurité. Ultimement, comme je parle de la Banque du Bangladesh, il y avait un mot qui était vu par un être humain qui a pris le temps, qui a fait la bonne chose. Je pense que la première conversation que j'ai avec les gens, c'est vraiment de souligner l'importance que chaque personne est au sein de l'Organisation pour la sécurité et le bon fonctionnement de l'organisation. À tout moment, cette personne unique qui peut éviter une mauvaise journée, s'ils ne savent pas qui appeler et quoi faire, cela peut changer la donne complètement.
Il faut s'assurer que toutes les personnes comprennent leurs responsabilités comme une personne d'une organisation, cette organisation va être votre famille. Si quelque chose ne semble pas correct ou normal, à qui ils vont s'adresser ? Le deuxième point que j'aimerais mentionner, j'espère que vous allez tous voir le médecin ou le dentiste. Vous allez peut-être voir vos résultats financiers à chaque trimestre ou à chaque année, mais c'est quand la dernière fois que vous avez demandé à une autre organisation de vérifier vos crédits pour la fraude ?
Je pense que c'est très important de faire des évaluations internes et externes, des capacités de sécurité de votre compagnie cybernétique et de fraude et ce que vous devez faire pour prévenir tout cela. Si les évaluations vous reviennent, vous allez sûrement remarquer qu'elles ne sont pas aussi positives que vous avez pensé. Il y a plusieurs organisations qui vont faire ce genre de test et qui vont offrir ce genre de service. Je vais vous dire qu'ils peuvent beaucoup vous aider à déterminer où vous vous trouvez et comment prioriser les choses. Je pense que ces exercices ne devraient pas être punitifs, mais bien instructifs, donc bien comprendre où sont les plus grands risques et pouvoir les aborder et la prochaine étape.
Enfin, je dirais que si vous êtes propriétaire d'entreprise ou un dirigeant d'entreprise, vous devez savoir comment répondre ou réagir à un évènement de cybersécurité si d'habitude on l'apprend durant l'évènement, mais il y a trois choses qu'on doit garder à l'esprit. C'est un problème de technologie. Vous avez un mauvais acteur, quelqu'un dans votre réseau et vous devez le sortir. L'un des trois problèmes, c'est le plus facile. Le deuxième, c'est la gestion du risque. Il y a beaucoup de risque. D'habitude, les gens dans l'ETI ne regardent pas cela. Vous regardez les risques de liquidité, de sécurité, de crédit, et cetera, mais il y a d'autres décisions d'entreprises qui doivent être comprises et faites lorsque cela a un incident sur votre affaire. Vous devez anticiper les décisions qui vont venir à vous, qui va prendre ces décisions, comment ils vont les prendre. Vous devez vous rendre compte que vos systèmes informatiques vont être plus fragiles.
Vous travaillez avec le problème du risque, les problèmes de communication, les problèmes de technologie, les problèmes des ressources humaines. Qu'est-ce que vous allez dire à votre personnel, à vos clients ? Est-ce que vous allez aviser la police ? Si oui, qui ? Est-ce que vous allez faire des avis de réglementation si vous êtes une entité de réglementation ? Qu'est-ce que vous allez faire avec la presse, les médias sociaux, le volume accru ? Si vous passez du temps là-dessus, vous pouvez bien le gérer. Sinon, vous allez être dépassé par les évènements et soudainement, tout le monde va rendre une mauvaise journée et ça va devenir un problème énorme et puis peut-être, on ne va pas pouvoir s'en sortir.
Suzane: J'aime beaucoup le thème qui revient dans ce que tu partages Larry. Tu dis qu'en fin de compte, c'est des êtres humains dans les deux extrêmes de cet échange de transactions. C'est bien de comprendre avec qui on communique d'une manière authentique.
Un autre type de fraude que nous avons vu plus récemment dans les derniers mois et les années dernières, c'est la fraude de fournisseurs. Un fournisseur de confiance a été compromis. Nos clients sont avisés par le fournisseur de changer les arrangements de paiement, les modalités, et puis ils le font. Enfin, le fournisseur les appelle pour savoir où est le paiement. C'est un autre exemple. Il faut tout simplement savoir que vous communiquez avec la bonne personne, une vraie personne.
Je pense qu'il ne nous reste plus de temps. Je sais qu'il nous reste encore plus de questions dans la queue et nous allons pouvoir répondre à chacune des réponses, à un moment donné, bientôt. J’aimerais remercier le public, nos participants. Pour ceux qui n’ont pas écrit leur nom complet dans leur inscription à ce séminaire, vous allez devoir peut-être communiquer avec nous à partir de votre courriel BMO pour avoir des réponses à vos questions. Merci beaucoup, Larry, pour tes réflexions et tes histoires. Tu es un merveilleux collègue dans tous les sens. J’ai regardé la page de BMO de cybersécurité. Ça dit que 95 % des événements de cyberattaque sont causés par les erreurs humaines.
Selon les recherches, la plupart d’entre nous vont être hameçonnés. Larry a partagé beaucoup de choses avec nous aujourd’hui pour se protéger et protéger les compagnies. Il y a beaucoup de meilleures pratiques que votre banquier pourrait communiquer avec vous très rapidement. J’espère que vous avez trouvé cette séance très valable. On apprécie votre attention. On aime aussi entendre ce que les clients voudraient comme sujet abordé dans un Webinaire à l’avenir. Remplissez, s’il vous plait, un petit sondage en cliquant sur le lien sous la fenêtre en dessous.
Ce n’est pas un hameçonnage ou un truc d’hameçonnage. C’est vrai. Ceux qui veulent des crédits de certification, cliquez pour obtenir les documents de confirmation de votre présence. Nous allons quand même vous envoyer l’enregistrement de cela pour le partager avec vos collègues et vos amis. Au nom de BMO, merci pour votre temps aujourd’hui et restez en sécurité. Au revoir.
Susan Witteveen
Première vice-présidente et chef, Solutions de trésorerie et de paiement
Susan Witteveen est une dirigeante accomplie au sein du secteur financier à l’échelle de l’Amérique du Nord, ayant occupé pe…(..)
Voir le profil complet >Récemment, un client m’a dit : « Quand on construit des murs hauts, les méchants construisent des échelles plus hautes. » Cela explique la hausse exponentielle des tentatives de fraude et des violations réussies depuis le début de la pandémie, il y a un an et demi.
C’est le monde dans lequel nous vivons, et notre travail, en tant que professionnels en services financiers, consiste à compliquer la tâche des malfaiteurs.
Dernièrement, j’ai discuté avec Larry Zelvin, chef de l’Unité Crime financier de BMO, de l’augmentation de la fraude dans le contexte actuel et des solutions possibles pour vous en protéger, votre entreprise et vous.
Voici un résumé de notre discussion.
Qui sont les malfaiteurs?
« Des centaines de milliers de personnes se lèvent chaque matin avec un seul objectif en tête : pirater des ordinateurs », a déclaré Larry. Cela brosse un tableau sombre, mais c’est la menace à laquelle font face les entreprises de toutes tailles. Comme Larry l’a expliqué, les fraudeurs se divisent en cinq catégories.
Certains travaillent pour les services de renseignement nationaux en Russie, en Chine, en Corée du Nord et, oui, même au Canada et aux États-Unis. Grâce à Internet et aux réseaux d’appareils mobiles, il est beaucoup plus facile pour les services de renseignement de recueillir de l’information sans devoir s’implanter dans un pays étranger et y cultiver des sources. La menace vient de pays qui utilisent leurs services militaires et de renseignement à des fins lucratives.
La deuxième catégorie se compose de personnes qui travaillent pour des organisations terroristes. Pour l’instant, celles-ci utilisent Internet principalement pour inspirer la dévotion parmi les fidèles et attirer de nouvelles recrues. Larry note toutefois que ce n’est qu’une question de temps avant que les terroristes commencent à l’utiliser à des fins plus financières ou politiques.
Les trois catégories suivantes représentent actuellement la plus grande menace pour les entreprises et les institutions financières. Il y a d’abord les personnes ou les organisations criminelles motivées par l’argent. « Ce sont ceux qui gagnent de l’argent à l’ancienne : en le volant », indique Larry. «Grâce à Internet, il est aujourd’hui possible de cambrioler des centaines, voire des milliers de banques en une seule journée. Internet a permis l’évolution des vols et de la fraude d’une manière qui était encore inimaginable il y a 50 ou 60 ans.»
Vient ensuite la catégorie des pirates informatiques. Contrairement aux fraudeurs motivés uniquement par l’argent, les pirates informatiques cherchent à embarrasser ou à perturber des organisations au nom d’une cause, comme des enjeux sociaux ou environnementaux.
La dernière constitue ce que Larry considère comme la catégorie contre laquelle il est le plus difficile de lutter : les menaces internes. « Il s’agit de gens, au sein de notre organisation, en qui l’on place notre confiance pour certaines responsabilités et qui trahissent cette confiance », explique-t-il. « Il peut s’agir de technologues ou d’employés responsables de vos finances ou de vos systèmes des ressources humaines. Ils sont vraiment très difficiles à repérer, car, souvent, ils ont l’air de faire leur travail, et seuls les comportements les plus étranges ou les plus petites erreurs permettent parfois de déceler le caractère inapproprié et potentiellement frauduleux ou criminel d’une activité.
L’élément humain
Comment ces fraudeurs mènent-ils donc leurs attaques? Et pourquoi réussissent-ils si bien? Selon une étude d’IBM, l’erreur humaine contribue à 95 % des atteintes à la cybersécurité1 et, pour ce faire, la méthode la plus simple est le courriel. Selon le rapport 2020 sur la criminalité sur Internet du FBI, les pertes attribuables à l’escroquerie au faux ordre de virement (FOVI) s’élevaient à 1,8 milliard de dollars aux États-Unis, soit environ 44 % de tous les crimes liés à Internet2.
« Vous envoyez un courriel à une personne lui demandant de cliquer sur un lien ou d’ouvrir une pièce jointe; ce qu’elle s’empresse de faire », poursuit Larry. « Est alors téléchargé sur son ordinateur ou sur son appareil un logiciel hostile permettant à un acteur d’accéder au dispositif au moment et de l’endroit de son choix pour y faire ce qu’il veut. »
Les vulnérabilités des systèmes sont une autre méthode courante, mais le facteur humain y joue aussi un rôle. « Les ordinateurs, les appareils mobiles et les dispositifs électroniques sont conçus et gérés par les machines imparfaites que sont les êtres humains », souligne Larry. « Comme ils sont créés par des machines imparfaites, les appareils engendrent constamment des bogues, des erreurs et des problèmes de sécurité qui doivent être résolus. »
C’est pourquoi l’installation des mises à jour système est essentielle pour vous protéger au niveau de l’appareil. « Si vous négligez ces mises à jour, les vulnérabilités peuvent être exploitées par des malfaiteurs et s’avérer aussi efficaces – sinon plus – que l’envoi de courriels contenant un lien ou une pièce jointe. »
Atténuation du risque
Le rythme des affaires ne cesse d’augmenter. Même si cela peut être avantageux sur le plan de la rentabilité, Larry croit que cela engendre l’un des plus grands défis en matière de sécurité. « Nous avons peu ou pas de temps pour réagir », relève-t-il. « Je crois que le plus important, c’est de ralentir. Si une situation n’a pas l’air normale, elle ne l’est probablement pas. Il faut poser des questions, parler à ses supérieurs, communiquer avec son équipe de sécurité et avoir des entretiens avec ses institutions financières. »
Larry recommande aussi d’utiliser l’authentification biométrique des appareils chaque fois que cela est possible. « Beaucoup de fraudes et d’arnaques sont rendues possibles par l’utilisation de mots de passe trop faciles à deviner. Il est beaucoup plus difficile de frauder une personne qui utilise l’authentification biométrique plutôt que des mots de passe. Mais si vous utilisez des mots de passe, assurez-vous qu’ils sont vraiment complexes et utilisez l’authentification à deux facteurs pour tout ce qui concerne les déplacements de fonds. »
Il faut aussi absolument comprendre que la lutte contre la fraude est un effort qui doit être déployé à l’échelle de l’organisation et qui nécessite la participation active de tous, du chef de la direction jusqu’au dernier échelon. « En premier lieu, j’insiste généralement sur l’importance de chaque personne au sein d’une organisation pour la sécurité et l’intégrité de cette dernière en tout temps et en toutes circonstances », précise Larry. « Il faut veiller à ce que chacun comprenne sa responsabilité en tant que personne au sein d’une organisation, et qui appeler et comment s’assurer de l’examen et de la prise de mesures appropriées lorsqu’une situation qui semble anormale est repérée. »
Selon Larry, tout comme elles examinent régulièrement leurs finances, les organisations devraient revoir régulièrement leurs politiques en matière de cybersécurité et d’atténuation de la fraude au moyen d’audits internes et externes. « Si vous ne procédez à aucun test et à aucune évaluation, vous pourriez vous réveiller un jour et constater que vos capacités étaient loin d’être aussi robustes que vous l’aviez espéré », prévient-il. « Il existe des organisations qui offrent ces services. Elles peuvent être très utiles pour déterminer où se situent vos faiblesses et comment rééquilibrer et redéfinir vos priorités. »
Les menaces auxquelles les entreprises font face évoluent constamment. C’est pourquoi même si vous utilisez des stratégies, des outils et des tactiques pour atténuer considérablement le risque, Larry rappelle qu’il n’y a pas de sécurité parfaite. Il s’agit d’un effort continu qui nécessite une vigilance de tout instant.
« Si quelqu’un affirme pouvoir résoudre ces problèmes, fuyez à toute vitesse », commente-t-il. « Il faut la meilleure technologie et les personnes les plus compétentes pour résoudre les problèmes auxquels nous sommes confrontés aujourd’hui, qui croissent en nombre et en complexité plus vite que tout autre environnement de sécurité dans lequel j’ai travaillé. Au bout du compte, les malfaiteurs ne doivent être bons qu’une seule fois, alors que nous devons l’être chaque fois. »
Larry a abordé de nombreux autres sujets lors de l’événement, notamment les rançongiciels et leur incidence sur l’assurance cybersécurité, des exemples concrets de cyberfraude et l’importance d’être prêt à réagir en cas d’événement frauduleux.
À lire ensuite
Gestion des flux de trésorerie de la prochaine génération
27 mai 2021 Gestion Des Flux De Trésorerie
La numérisation des paiements est plus importante que jamais, à mesure que les entreprises cherchent à augmenter leur fonds de r…
Continuer à lire>
Saisir une courte description ici
Dites-nous trois choses simples pour
personnaliser votre expérience.
