Brouillard virtuel
17 septembre 2024
Le facteur humain est toujours la cause première de la vulnérabilité aux fraudes numériques : 95 % des violations de cybersécurité sont attribuables à l’erreur humaine, selon le Global Risks Report du Forum économique mondial. Après la transition numérique à grande échelle qui a eu lieu ces dernières années, 60 % des employés canadiens ne seraient pas formés pour repérer et atténuer les cybermenaces, estime la Fédération des chambres de commerce du Québec.
Stéphane Desjardins
Les effets de cette insouciance généralisée face aux cyber-menaces commencent à émerger. « La pandémie a représenté une occasion en or pour les fraudeurs, car tout le monde était sur ses propres appareils numériques. Le télétravail s’est généralisé et les réseaux personnels sont souvent moins sécurisés que ceux du bureau », analyse Chloé-Anne Touma, rédactrice en chef de C-Science.
✱ Les pertes liées à la cybercriminalité totalisaient 569 M$ en 2023, et 241 M$ au 31 mai dernier.
✱ Seulement 5 % à 20 % des fraudes seraient signalées, selon le Centre antifraude du Canada (CAC).
✱ Les pertes liées aux offres frauduleuses de placement se chiffraient à 309,4 M$ en 2023, selon l’Autorité des marchés financiers (AMF).
✱ Les pertes liées aux médias sociaux totalisaient 172 M$, selon le CAC. IBM déclarait en 2021 que le coût moyen estimé d’une violation de données au Canada était de 3,35 M$.
Nombre d’entreprises ne sensibilisent pas leurs employés aux cyberrisques et ne paient pas pour sécuriser leurs réseaux internes et externes. De plus, avec l’émergence d’outils sophistiqués en intelligence artificielle (IA), les fraudes par cybertrucages (deep fakes) se multiplient : « Facebook ne filtre pas les publicités qui mènent à de l’hameçonnage. Avec le boycottage de Meta, la désinformation prend beaucoup de place. C’est devenu difficile pour tout monde de faire la part des choses. »
L’une des fraudes les plus courantes est liée aux investissements dans les cryptoactifs (cryptomonnaies, jetons non fongibles), un monde et des notions qui restent abstraites et peu couvertes par les journalistes. « Lorsqu’on les achète, on nous incite parfois à les déposer dans une plateforme qui n’est pas inscrite auprès des autorités (l’AMF en affiche la liste). Si elle est située dans un pays qui ne collabore pas avec nous, il est difficile de les récupérer en cas de fraude », explique Karine St-Louis, enquêtrice à la direction de l’évaluation et du renseignement à l’AMF.
La fraude à l’identité professionnelle, c’est-à-dire quand une personne se fait passer pour un conseiller financier ou un professionnel d’une organisation connue, fait aussi des ravages. « Des fraudeurs vont jusqu’à contacter leurs victimes pour leur offrir de récupérer leur argent, en se faisant passer pour une entreprise légitime et en les payant d’avance pour leurs services », ajoute Mme St-Louis. Les pratiques d’hameçonnage (phishing) continuent d’avoir cours et se multiplient avec la prolifération des courriels. C’est devenu classique : un courriel ou texto incite à cliquer sur un lien vers un site web frauduleux, et les conséquences sont lourdes. « On suggère aux gens de faire attention à la façon dont l’hyperlien est écrit », poursuit Karine St-Louis.
L’AMF recensait 202 sites web frauduleux pour les 6 pre-miers mois de 2024, alors que le compte était de 252 pour toute l’année 2023. Comment riposter ? Par la formation du personnel et par la mise en place de balises technologiques. Un audit de gouvernance de sécurité coûte environ 10 000 $ pour une PME d’une dizaine d’employés et on peut se payer un service virtuel de surveillance et de chef de l’informatique (CIO) pour seulement 2 000 $ par mois.
