Pierre-Luc Pomerleau

P.h.D in Business Administration with specialization in Homeland Security

Pannes informatiques et cyberattaques. Devrait-on conserver des copies de nos relevés bancaires ?

Avec la hausse des cyberattaques et des pannes de réseau, est-il plus avisé de conserver ses relevés bancaires en papier ou, à défaut, de faire des copies virtuelles ?

Les comptes de banque et les placements en ligne sont une véritable révolution. Mais avec la hausse des cyberattaques, des pannes de réseau, du service Interac qui flanche, devrait-on songer à revenir en arrière et à conserver ses relevés en papier ?

Un lecteur, Jean-François, a eu la frousse en voyant s’afficher en rouge « compte inexistant » alors qu’il tentait d’ouvrir une session en ligne.

En essayant de nouveau, le même message a surgi. Jean-François n’a peut-être pas vu sa vie défiler devant lui, mais en un éclair, il a vu mentalement tous les endroits possibles où une preuve de l’existence du compte serait récupérable.

PHOTO GETTY IMAGES

Au téléphone, un conseiller de l’institution financière lui a indiqué qu’il s’agissait d’une panne informatique. À son grand soulagement, Jean-François a pu retrouver son compte en ligne et toutes les données sur ses placements quelques heures plus tard.

Dans un monde où tout devient virtuel, où les risques de cyberattaque grimpent en flèche, où le service Interac tombe en panne à cause de Rogers, devrait-on garder des copies de nos relevés ailleurs que sur le site des institutions bancaires ?

Doit-on garder des copies ?

« Cette histoire de virage numérique, c’est bien, mais il faut garder la propriété de nos données. Et ça, c’est quelque chose qu’on n’acquiert pas, parce que c’est trop facile d’aller sur l’infonuagique et sur Google Drive », soulève en entrevue Alexandre Fournier, fondateur de Crise & Résilience, entreprise spécialisée dans la gestion de cybercrises et de la continuité des affaires.

« Si ça coupe de l’extérieur, que ce soient les institutions financières, l’accès aux courriels ou à l’environnement de Microsoft, il faut avoir cette possibilité d’autonomie », poursuit-il.

PHOTO EDOUARD PLANTE-FRÉCHETTE, ARCHIVES LA PRESSE

Tous les spécialistes consultés s’entendent pour dire que le risque zéro n’existe pas. Mais les institutions financières doivent suivre des règles plus strictes que les PME et les compagnies d’assurances, disent-ils.

L’Agence de la consommation en matière financière du Canada (ACFC), qui a pour mandat de renforcer la littératie financière des Canadiens et de surveiller la conformité des banques, affirme que c’est une bonne pratique de conserver des copies de relevés bancaires et d’autres documents financiers. « Que ce soit fait à travers des copies papier ou électroniques », explique Léonie Laflamme-Savoie, de l’ACFC.

« Les consommateurs peuvent choisir la méthode qui leur convient selon leurs préférences et leurs habiletés technologiques », précise-t-elle.

Peu importe la méthode, le plus important est de s’assurer que ces documents sont entreposés dans un endroit sécuritaire à l’abri des fraudeurs.

Léonie Laflamme-Savoie, de l’ACFC

Consultées à ce sujet, les institutions financières indiquent que les clients n’ont pas l’obligation de conserver des copies de leurs relevés. Cependant, « la conservation d’une copie de relevés de compte et de relevés de placement par le membre/client, peu importe le support, constitue une bonne pratique », affirme aussi Chantal Corbeil, porte-parole du Mouvement Desjardins.

Alexandre Guay, de la Banque Nationale, ajoute que les clients qui le souhaitent peuvent sauvegarder les copies électroniques.

Chez BMO, les conseillers recommandent aussi de jeter un coup d’œil régulièrement à son relevé bancaire, version papier ou virtuelle, afin de passer en revue les opérations bancaires de la journée. « Il est important de rester au courant de ses transactions journalières. Cela peut nous éviter bien des tracas », indique Marc Dionne, vice-président régional, services bancaires aux particuliers, BMO Banque de Montréal.

La méthode du « 3-2 »

PHOTO GETTY IMAGES

Le spécialiste Alexandre Fournier conseille de faire trois copies des relevés sur deux supports différents afin de parer à toute éventualité.

Le spécialiste Alexandre Fournier conseille de faire trois copies sur deux supports différents : dans le site de l’institution, sur l’ordinateur et sur papier. Ou encore dans le site de l’institution, sur l’ordinateur et sur une clé USB ou un disque dur externe. L’idéal, souligne-t-il, c’est que la clé ne soit pas rangée à côté de l’ordinateur.

« Il faut que la copie soit externalisée. Si ta maison passe au feu, si tu perds ton ordinateur portable ou ton accès à Google Drive, tu as cette troisième copie sur une clé physique, donc tu peux récupérer tes données. »

Alexandre Fournier, fondateur de Crise & Résilience

« Quand vous allez dans l’infonuagique, vous n’avez aucune assurance que vous pourrez accéder du jour au lendemain à vos données, que ce soit à cause d’une situation involontaire ou volontaire. »

Nos données peuvent-elles disparaître à jamais ?

Tous les spécialistes consultés s’entendent pour dire que le risque zéro n’existe pas. Mais les institutions financières doivent suivre des règles plus strictes que les PME et les compagnies d’assurances, disent-ils.

« Il y a plus de risques que ce soit un vol, une erreur manuelle, une mauvaise manipulation ou quelqu’un de l’intérieur qui efface les données d’un client en particulier, et ça n’impliquera pas toutes les données. »

Patrick R. Mathieu, spécialiste en sécurité informatique et cofondateur du Hackfest

« Il ne serait pas impossible qu’un client d’une institution financière perde temporairement accès à ses données (par exemple en ligne), soutient de son côté Pierre-Luc Pomerleau, associé chez VIDOCQ, une firme de gestion de risque. Toutefois, il faut comprendre qu’avec tous les mécanismes en place, les données du client n’auraient pas été perdues. Celles-ci pourraient être temporairement inaccessibles en raison d’un incident, mais l’institution financière mettrait tout en œuvre pour rétablir le service ainsi que l’accès aux données le plus rapidement possible. »

« Les banques sont des organisations fortement sécurisées, bien reconnues pour leurs pratiques avancées de cybersécurité et de protection des données », assure Mathieu Labrèche, de l’Association des banquiers canadiens.

En juillet 2022, le Bureau du surintendant des institutions financières (BSIF) a d’ailleurs publié la version finale de la ligne directrice B-13 qui met de l’avant ses attentes en matière de gestion du risque lié à la technologie et au cyberrisque.

Le Bureau mène actuellement une consultation publique et attend les commentaires de la population au sujet de la gestion des risques, spécifiquement liés aux tiers, pour tenir compte du transfert de données d’un fournisseur de services infonuagiques à un autre.La période de consultation se termine le 30 septembre prochain.

La Presse a contacté sept institutions financières. Seule Desjardins a voulu expliquer que les données de ses clients ne pourraient pas disparaître du jour au lendemain, car elles sont entreposées à plusieurs endroits, à la fois dans leurs centres sécurisés et à l’externe.

« Nous avons des mécanismes de sauvegarde qui couvrent les scénarios de désastre et qui ont pour but de minimiser les impacts d’une panne majeure », précise Chantal Corbeil,porte-parole du Mouvement Desjardins, qui a investi en 2021 300 millions de dollars dans son Bureau de la sécurité, où sont à l’œuvre 1100 experts.

Cette façon de faire fait partie des meilleures pratiques de gestion de sauvegarde.

Desjardins et RBC sont parmi les plus avancées pour les tests techniques de sécurité, selon le spécialiste en sécurité Patrick R. Mathieu. Le niveau de préparation n’est pas égal d’une organisation à l’autre, observe-t-il.

Dans le cas d’une cyberattaque, de destruction de données et de catastrophes naturelles, les institutions financières ont plusieurs mécanismes afin de limiter au maximum les impacts négatifs sur l’accessibilité aux données de l’organisation, relate Pierre-Luc Pomerleau, de VIDOCQ. Les sauvegardes se font dans différents sites physiques situés dans des régions différentes, explique-t-il, tandis qu’en amont, les équipes ont fait des simulations pour être en mesure de faire face à différents types d’incidents et de rétablir le plus rapidement possible le service.

Cela dit, un autre enjeu peut survenir dans un contexte plus grave. « Si on prend l’exemple de l’Ukraine, où physiquement, des banques sont détruites, même s’il y a un deuxième endroit de sauvegarde et qu’il a été testé, il faut que des employés soient prêts à aller reconstruire les données de la banque plutôt que d’être avec leur famille », conclut Patrick R. Mathieu.

https://www.lapresse.ca/affaires/finances-personnelles/2022-08-28/pannes-informatiques-et-cyberattaques/devrait-on-conserver-des-copies-de-nos-releves-bancaires.php#:~:text=Peu%20importe%20la%20m%C3%A9thode%2C%20le,%C3%A0%20l%27abri%20des%20fraudeurs.&text=Consult%C3%A9es%20%C3%A0%20ce%20sujet%2C%20les,des%20copies%20de%20leurs%20relev%C3%A9s.

 

Leave a Reply

Your email address will not be published. Required fields are marked *.

*
*
You may use these <abbr title="HyperText Markup Language">HTML</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>