Vous voyez quelque chose, dites quelque chose : La vigilance est la meilleure défense contre les cyberattaques
Les signalements de cybercriminalité au Canada n’ayant jamais été aussi élevés, il n’a jamais été aussi important de rester vigilant pour prévenir les attaques malveillantes à motivation financière.
Au SOMMET 2024, Mark Kozicki, vice-président, Produits de paiement à Paiements Canada, a rencontré Larry Zelvin, vice-président à la direction et chef, Unité Crime financier à BMO, pour discuter de la menace croissante de la cybercriminalité et de la fraude dans le secteur des paiements et du rôle que chacun d’entre nous joue pour garantir la sécurité des paiements au Canada.
Quels sont les risques de cybersécurité auxquels le secteur des paiements est-il confronté à l’heure actuelle?
Les risques liés aux paiements sont plutôt uniques, non seulement pour la sécurité économique d’un pays, mais également pour sa sécurité nationale. Une cyberattaque à grande échelle contre l’infrastructure des systèmes de paiement du Canada pourrait représenter une grave menace pour notre sécurité nationale et économique. Les paiements soutiennent l’ensemble de notre économie. Les conséquences d’une attaque réussie seraient donc désastreuses. Si vous voulez modifier la politique d’une nation, l’une des meilleures façons est de s’attaquer à sa vitalité économique. Et existe-t-il un meilleur moyen que les systèmes de paiement? Il n’est pas nécessaire de bâtir une armée. Il n’est pas nécessaire de bâtir des forces navales ou aériennes. Il suffit d’être connecté à Internet et de connaître des personnes qui sont vraiment douées pour le piratage. Les similitudes entre la cybercriminalité et la fraude sont également extraordinaires, en particulier dans une institution financière, parce que les cyberattaques que nous observons sont toutes à motivation financière. Si vous ciblez une entreprise du secteur de l’énergie au moyen d’une cyberattaque, vous songez probablement à couper le réseau électrique. Mais dans une banque, une cyberattaque vise essentiellement à voler de l’argent ou à en perturber le flux.
Comment atténuer ces risques tout en gardant une longueur d’avance sur les mauvais acteurs qui essaient de détruire ce que nous avons mis en place?
Les gens qui travaillent quotidiennement dans le secteur des systèmes de paiement peuvent faire la différence entre la réussite et l’échec. Ils sont probablement la plus grande source de renseignements pour leurs équipes de sécurité afin de prévenir les cyberattaques.
L’une de mes histoires préférées sur la détection de la fraude a eu lieu lors d’une cyberattaque contre la Banque du Bangladesh, où les auteurs des attaques ont tenté de voler un milliard de dollars. Quelqu’un à la Réserve fédérale de New York a examiné une commande Swift et s’est dit : « Ça n’a aucun sens. C’est mal orthographié. Je ne pense pas que ce soit correct. » Ce n’était pas une question d’intelligence artificielle ni de contrôle de cybersécurité; c’est une personne qui a détecté la demande frauduleuse. Il y a aussi le cas de SolarWinds, l’une des plus grandes cyberattaques de l’histoire, qui a été découverte de la même façon. Une femme de 24 ans qui venait de commencer sa carrière en cybersécurité regardait un écran et s’est dit : « Ça ne semble pas correct. Je dois me pencher sur la question. »
C’est peut-être un dicton évident, mais si vous voyez quelque chose, dites quelque chose. Si vous signalez quelque chose que vous croyez suspect, mais qui finit par n’être rien, votre équipe de sécurité vous en sera probablement reconnaissante de toute façon. Personnellement, j’accepterais un millier de fausses alertes pour une seule menace réelle sur notre radar.
Quelle est la plus grande leçon à tirer d’un point de vue international en ce qui a trait à la fraude et à la cybersécurité?
Je m’inquiète de la résilience non seulement d’un point de vue national, mais également d’un point de vue international. On est aussi fort que son maillon le plus faible, et lorsque l’on est interconnecté, ces maillons faibles peuvent s’avérer particulièrement dangereux. Je pense qu’il est important que chaque territoire de compétence ait la même hygiène stricte en matière de cybersécurité afin de garantir un front uni. La collaboration et la coopération à l’échelle mondiale sont essentielles.
Que pouvons-nous faire individuellement pour rester plus vigilants?
Ne vous précipitez pas lorsque vous êtes sur votre ordinateur. Arrêtez de cliquer sur n’importe quoi et d’ouvrir des pièces jointes dont vous ne connaissez pas la provenance. Bon nombre des violations cybernétiques que nous observons ne sont pas attribuables à des actes malveillants de la part d’employés, mais plutôt au fait qu’ils sont allés trop vite. Faites attention aux messages qui ont un sentiment d’urgence ou qui font appel à vos émotions; par exemple, les messages qui mentionnent un membre de la famille ou un ami qui est en difficulté ou malade. Si cela vous semble suspicieux, dites quelque chose. À l’instar des employés de SolarWinds et de la Réserve fédérale de New York, vous pourriez faire la différence quant à la capacité du Canada à réagir à une cyberattaque et à s’en remettre comme nous le souhaitons. Tout le monde doit participer. Complétons-nous et formons une équipe.
Enfin, renseignez-vous et informez vos proches pour que nous disposions tous de ces outils de prévention de la fraude. Les personnes âgées et les enfants sont les personnes les plus touchées par la fraude et les escroqueries liées aux paiements, alors prenez de leurs nouvelles de temps en temps. Asseyez-vous avec vos enfants et les personnes plus âgées de votre vie et parlez-leur également de ces risques. Mieux vaut prévenir que guérir.
Abonnez-vous au bulletin SOMMET pour connaître les dernières nouvelles sur le SOMMET, y compris les annonces sur le programme, les promotions exclusives, les ressources du secteur et plus encore.