actualités

Il faut faciliter le partage d’informations entre la police et le privé, disent les banques

Coup d’œil sur les conclusions de la thèse de doctorat de Pierre-Luc Pomerleau, gestionnaire de sécurité d’entreprise dans une institution financière.

Alors que l’affaire Desjardins a fait ressortir l’importance de lutter contre les cybercrimes, les banques canadiennes expriment leur impuissance à combattre ce fléau. Les grands patrons de la sécurité des principales institutions financières au pays se disent littéralement menottés et militent pour que les lois soient changées afin que les informations soient partagées plus facilement entre le privé et la police, et pour que les enquêteurs des deux secteurs puissent s’unir dans des équipes mixtes. C’est ce qui ressort d’entrevues accordées par neuf hauts dirigeants de banques à un gestionnaire de sécurité d’entreprise dans une institution financière qui vient de terminer un doctorat sur cette question. La Presse a pris connaissance de sa thèse et a rencontré son auteur.

Qui est Pierre-Luc Pomerleau et quel est l’objet de sa thèse ?

Pierre-Luc Pomerleau a étudié à l’École de criminologie de l’Université de Montréal et travaille depuis plus de 15 ans dans des institutions financières. Il a été gestionnaire d’équipes de lutte contre le blanchiment d’argent, de sécurité d’entreprise et de risques de fraudes. Il vient de terminer une thèse dans le cadre d’un doctorat fait à titre personnel, sur le partenariat public-privé pour lutter contre les cybermenaces. Durant ses travaux, il a réalisé des entrevues de fond avec neuf responsables de sécurité des cinq plus grandes banques canadiennes, qui représentent à eux seuls 23 % des cadres supérieurs de sécurité des plus importantes institutions financières canadiennes. Six d’entre eux ont travaillé dans le public auparavant – quatre dans la police et deux dans des services de renseignement – et peuvent donc comparer les façons de faire dans les deux secteurs, et cibler les lacunes. À partir de ces entrevues, Pierre-Luc Pomerleau a pondu une étude d’environ 200 pages qui vient d’être publiée, et dans laquelle il fait 19 recommandations.

Quelle est la principale constatation des responsables de sécurité interrogés ?

« Ce qui ressort des entrevues principalement, ce sont des lacunes au niveau des lois. On m’a surtout cité la Loi sur la protection des renseignements personnels, qui fait en sorte que c’est compliqué d’échanger des informations entre les banques, et entre les banques et la police. C’est comme un marasme. Les gens se demandent s’ils ont droit ou non de partager une information, mais la loi ne le permet pas. Cela force les banques et la police à travailler en silo, alors que l’on devrait travailler ensemble quotidiennement. On s’échange des informations après un crime, mais c’est très difficile de le faire avant qu’un crime soit commis. Il faut également obtenir le consentement des victimes, ça devient ingérable. Si on change la loi, il faudra toutefois avoir un organisme de gouvernance, pour surveiller, car la confidentialité au Canada est très forte ; les consommateurs se demandent qui a accès à leurs données. Mais il faut ramener le pendule au centre, pour mieux lutter contre les cyberattaques », répond M. Pomerleau, selon qui la loi actuelle empêche aussi d’autres acteurs importants, comme les entreprises de télécommunications, d’échanger des informations essentielles.

Quelle est la deuxième constatation qui retient l’attention ?

« Que des lois, comme la Loi sur la police au Québec, devraient être modifiées pour permettre à des policiers, des enquêteurs de banques, d’entreprises de télécommunications et d’autres infrastructures essentielles de travailler conjointement, en tout temps, dans des équipes mixtes. Les policiers ont les pouvoirs d’enquête et d’arrestation. De leur côté, les enquêteurs du privé ont beaucoup d’informations, mais n’ont pas ces pouvoirs. Quand tu ne peux mettre ces deux pièces du casse-tête ensemble, ça ne fonctionne pas. Il ne serait pas obligatoire que policiers et enquêteurs privés travaillent dans les mêmes locaux ; les équipes intégrées pourraient échanger des renseignements sur des plateformes sécurisées. Ces réseaux devraient être pancanadiens, avec l’implication de la Gendarmerie royale du Canada (GRC), mais également avoir des ramifications avec d’autres pays, dont les États-Unis, car les pirates sont souvent à l’extérieur du territoire canadien », explique le chercheur. 

De telles escouades existent ailleurs ?

« Depuis une dizaine d’années, ils ont aux États-Unis la National Cyber-Forensics and Training Alliance (NCFTA), dans laquelle des enquêteurs de banques, d’entreprises de télécommunications et le FBI travaillent ensemble pour s’attaquer aux cybercrimes. Ils travaillent dans les mêmes bureaux. Ils en ont plusieurs à travers le pays qui sont tous reliés par un réseau sécurisé. En Grande-Bretagne, il y a la Joint Money Laundering Intelligence Taskforce (JMLIT). Cette escouade est spécialisée dans la lutte contre le blanchiment d’argent, mais la lutte contre le recyclage touche souvent aux fraudes et aux cyberattaques. Aux États-Unis et en Grande-Bretagne, ils ont dû modifier les lois pour créer ces escouades. Ni un modèle ni l’autre n’est parfait. Nous n’avons pas les mêmes lois et cultures, mais on pourrait trouver un juste milieu en s’inspirant de ces modèles-là », dit Pierre-Luc Pomerleau.

De quelle façon des lois modifiées ou l’existence d’une équipe mixte auraient pu améliorer les choses dans l’affaire Desjardins ?

« Du côté policier, on a dit que Desjardins a agi trop vite en demandant une perquisition au civil. Du côté de Desjardins, je peux comprendre qu’ils aient voulu ainsi protéger leurs clients et récupérer les clés USB des données piratées. Il y a un gap au niveau des rôles, des responsabilités et de la culture de chacun. Les banques veulent protéger leurs clients, c’est normal, elles sont fiduciaires de leur identité. C’est ce que les gens veulent, et c’est la responsabilité des banques. Alors que du côté policier, on veut arrêter les criminels. Ce ne sont pas les mêmes objectifs. Mais s’il y avait eu une équipe intégrée à ce moment-là, peut-être que la communication se serait faite plus rapidement, et qu’un plan d’action aurait pu être mis en place pour protéger les clients, répondre rapidement à la fraude, arrêter les suspects et montrer qu’au Québec et au Canada, on prend cela très au sérieux, que c’est tolérance zéro », affirme M. Pomerleau.

On entend souvent dire que la fraude, c’est moins grave, car ce n’est pas un crime avec violence et que ce sont souvent les banques qui absorbent les pertes, et non les consommateurs. Comme si c’était un crime sans victime. Qu’en pensez-vous ?

« Ce ne sont pas des crimes sans victimes. On le voit dans les cas de brèches survenues au Canada, l’impact social est important et le stress est grand pour les victimes qui se sont fait voler leur identité. C’est comme un viol, et tu ne sais pas jusqu’où ça peut aller et combien de temps ça peut durer. Sans compter tout ce que cela coûte à la société canadienne : 3,2 milliards par année, selon des chiffres produits par le gouvernement fédéral. Mais ce sont seulement 10 % des victimes qui déclarent le crime. On peut donc multiplier par 10, ce qui donnerait un chiffre pas mal plus important que ce que les études démontrent. En bout de ligne, c’est tout le monde qui en paie le prix », répond le chercheur, selon qui le peu de signalements et le manque de partage d’informations génèrent une « myopie institutionnelle », de sorte que les gouvernements n’ont qu’une vision floue de l’état actuel des cybermenaces. Les responsables de banque interrogés ont également parlé du Code criminel, qui devrait être mis à jour en matière de cybercriminalité et des peines qui devraient être plus sévères. 

Vous croyez que l’on devrait profiter des travaux autour du livre vert de la police pour améliorer la lutte contre les cybercrimes ?

« Il y a un certain mouvement actuellement au Canada et au Québec, avec le livre vert, et je pense que c’est une très belle opportunité qu’on a de voir ce qui pourrait être fait, comment le privé peut aider le public, et vice versa, pour protéger la société et s’assurer que des crimes comme nous en avons vu principalement dans la dernière année, des crimes de grande envergure, n’arrivent plus. Il y aura encore des fraudes et des événements de brèche, mais il faut être capable de mieux travailler ensemble, et je pense que l’opportunité est là », conclut Pierre-Luc Pomerleau. Ce dernier siège à un comité dont le rôle sera d’évaluer comment le privé pourrait travailler avec la police pour lutter contre les fraudes et les autres cyberattaques. Le directeur général de l’Association des directeurs de police du Québec, Didier Deramond, et les chefs de police accueillent bien l’étude. « On ne peut être contre la vertu. On a tout avantage à se partager les informations. Cette réflexion va faire partie d’un comité de travail qui débutera ses travaux la semaine prochaine », annonce M. Deramond. 

Pour joindre Daniel Renaud, composez le 514 285-7000, poste 4918, écrivez à drenaud@lapresse.ca ou écrivez à l’adresse postale de La Presse

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.