Les incidents relatifs au vol de données personnelles continuent.
Le 20 juin 2019, le Mouvement Desjardins déplorait l'acte malveillant d'un employé interne de Desjardins : 2,9 millions de clients Desjardins (40% des membres) ont vu leurs données personnelles vraisemblablement "vendues" par cet ancien employé, congédié depuis. Coût pour le Mouvement Desjardins : 70 millions de dollars pour pouvoir protéger les membres et surveiller les dossiers de crédit avec Equifax, société de crédit qui rappelons-le a elle-même subi un vol massif de données de plus 143 millions de personnes incluant 19000 canadiens.
Alors qu'aurait-il fallu faire ? Il est facile de toute mettre sur le dos du fraudeur. Le risque zéro n'existe pas et on ne peut pas complètement se protéger d'un employé malveillant. Pourtant, une défense en profondeur, aurait pu limiter les dégâts. Cela fait 25 ans que nous oeuvrons dans le secteur de la cybersécurité et les recommandations n'ont pas changé d'un pouce. On félicitera cependant l'institution financière d'avoir réussi à protéger les informations de sécurité (PIN de carte, questions de sécurité, etc...) -
Alors que fallait-il faire ?
1 - Ségrégation des données confidentielles: Jamais, une seule personne ne doit pouvoir avoir accès à un grand portfolio de données personnelles. C'est ce que l'on appelle la répartition des risques. Apparemment, dans le cas de Desjardins, l'employé malveillant a mis en place un stratagème pour obtenir de ses collègues les données auxquelles il ne pouvait normalement pas avoir accès.
2 - Chiffrement: Les données auraient dû être chiffrées sur les serveurs internes du mouvement. Seules les gestionnaires de comptes autorisés devraient pouvoir y accéder. Les données ne devraient pas être lisibles en clair par l'informatique.
3 - L'analyse de risques: Le risque est autant interne que externe. Les fraudes se font presque toujours avec collusion interne. Le scénario de l'employé malveillant doit donc être étudié et pris en compte, tout comme les conflits d'intérêts et la corruption possible.
4 - Sensibilisation et formation du personnel à la sécurité: Les collègues auraient dû pouvoir lancer l'alerte sur le fait qu'un de leur collègue demandait accès à des informations confidentielles, encore faudrait-il que le statut de lanceur d'alerte soit protégé. L'exemple de du MAPAQ qui a congédié le lanceur d'alerte qui dénonçait l'influence de l'industrie des pesticides ne va pas dans le bon sens, heureusement la personne a été réintégrée avec les excuses du gouvernement (mieux vaut tard que jamais).
5 - Le délai de réaction et l'obligation de déclaration de l'incident : L'institution financière a eu des soupçons dés décembre 2018 suite à une transaction frauduleuse. Ce n'est qu'après 6 mois que la police de Laval avertit la banque de l'ampleur du problème.
6 - Le pouvoir du Responsable de la Sécurité des Systèmes d'Information:Qu'il n'est pas facile d'être CISO à l'heure actuelle ou CPO *Chief Privacy Officer" ou CDO "Chief Data Officer" ! Le CISO, en bon gardien, va généralement de mauvaise nouvelle en mauvaise nouvelle avec des systèmes historiques souvent obsolètes. Toujours en train de demander du budget et cherchant à se faire entendre par la haute direction, il est souvent rabroué. Oiseau de mauvaise augure, peu d'exécutifs veulent l'écouter et dépenser un budget "conformité" dont le seul bénéfice est d'éviter des coûts, que l'on ne saura pas mesurer si le risque ne survient pas. Si le risque survient, on aura vite dit, qu'il n'a pas fait correctement son travail, alors qu'il n'en a très probablement jamais obtenu les moyens et qu'il est après tout, le fusible idéal. Le CISO est souvent sous l'ordre du CIO avec qui il est en conflit d'intérêt, puisque la majorité des risques informatiques prennent leur source à .... l'informatique. Son rôle est d"alerter, mais les VP d'affaires auront vite fait de "bypasser" les alertes sous prétexte qu'il faut aller rapidement sur le marché. Maintenant, à La défense des exécutifs, très peu de CISO savent être clairs, concis et avoir le sens des affaires. Beaucoup de CISO ont des profils trop techniques et ont du mal a exprimer les enjeux. À l'inverse, certains deviennent trop politiques et se complaisent dans la satisfaction de leur hiérarchie, davantage préoccupé par leur bonus de fin d'année que par la dernière vulnérabilité identifiée.
Quelles sont les informations qui ont de la valeur ?
Noms, prénoms, NAS, date de naissance, nom de famille de la mère, adresse, courriel, car ils permettent de créer une nouvelle de demande de crédit, de se faire livrer des moyens de paiement, d'usurper l'identité de la personne pour modifier les coordonnées de contact et utiliser les privilèges ou l'argent associés au compte.
Pourquoi vole-t-on des données personnelles ?
Elles ont une valeur marchande sur le "dark web" et sont vendues par paquet et probablement revendues plusieurs fois....Elles sont ensuite utilisées pour tenter de se faire envoyer des chèques par exemple ou une nouvelle carte de crédit, à une nouvelle adresse que l'aura vite fait de mettre à jour au téléphone en se faisant passer pour vous.
Comment l'individu peut-il se protéger ?
Exiger de votre banque une garantie de protection, insister avec votre conseiller. Poser des questions et demandez des comptes. Vos données vous appartiennent. Vous en déléguer la gestion à la banque et pas l'inverse.
Changez vos mots de passe, mettez en place une authentification à deux facteurs couplée avec le cellulaire ou la reconnaissance biométrique de l'empreinte digitale ou du visage, et vérifier vos coordonnées de contact à la banque.
Surveillez votre dossier Equifax ou Transunion (gratuit 1 an pour les membres de Desjardins ! sic quand on sait que de toute façon les fraudeurs vont probablement attendre que la pression retombe avant d'utiliser les données et qu'Equifax s'est déjà fait voler des données, on peut raisonnablement douter de la complète efficacité de la chose).
N'envoyez pas en clair par courriel vos informations personnelles, convenez d'un mot de passe avec le banquier et informez le qu'en cas de problème, vous le rendrez responsable.
Ne faites pas livrer vos chèques ou votre carte de crédit à votre adresse - passez les prendre et informez la banque que c'est toujours ce que vous ferez.
Ne mettez pas vos données personnelles non chiffrées sur des clés USB. Ne répondez pas aux appels sans affichage du nom sur vos téléphones. Ne participez pas aux sondages. Mettez la main au dessus de votre carte de crédit pour protéger votre NIP, ne laissez pas partir votre carte de crédit en dehors de votre vue par un serveur dans un restaurant. Ne donnez pas inutilement votre courriel et votre téléphone dés que vous magasiner.
Faites respecter votre droit à la vie privée. Découragez les questions intrusives.
Ne placer pas tous vos avoirs dans la même banque.
Que devrait en retenir le système financier canadien ?
Au final, il est à se demander si le système financier ne devrait pas revoir certaines procédures de fonctionnement interne tels que les garanties exigées pour faire des changements d'adresse par exemple. Les institutions financières devraient aussi renforcer leur gouvernance des risques technologiques.
Changement d'adresse: Les banques devraient exiger d'avoir une preuve du changement d'adresse (facture Hydro Québec ou autre)
Nouvelle carte de crédit et chéquier - Les banques devraient exiger que leurs clients présentent une pièce d'identité pour recevoir un chéquier ou une nouvelle carte de crédit. Ce n'est pas client-frienfly ? Au contraire. Cela pourrait bien être un argument de vente de dire que les procédures sont davantage sécurisées pour protéger la vie privée des clients.
Le problème de fond reste que les lois sur la protection des données personnelles sont loin d'étre aussi favorables à l'individu en Amérique qu'elles ne le sont en Europe. La GDPR qui a été mise en place à grand bruit en Europe, ne s'applique pas sur les données au Canada. Il y a encore beaucoup de chemin et probablement beaucoup de lobbies qui empêchent que la vie privée des individus ne soit pris au sérieux. Le marché de la vente de données est colossale. Il suffit de voir ce qui s'est passé avec Facebook \ Cambridge Analytica.
Pradel Consulting est un cabinet spécialisé dans la protection des risques du système d'information, la résolution des problèmes TI complexes, l'audit informatique et la transformation digitale. Nous sommes indépendants des grands joueurs et prônons la transparence, l'authenticité et l'intégrité de nos consultants. Nous encourageons la parité et la diversité.
Comments