Il faut faciliter le partage d’informations entre la police et le privé, disent les banques

PHOTO ALAIN ROBERGE, LA PRESSE

Pierre-Luc Pomerleau travaille depuis plus de 15 ans dans des institutions financières. Il vient de terminer une thèse dans le cadre d’un doctorat fait à titre personnel, sur le partenariat public-privé pour lutter contre les cybermenaces.

Coup d’œil sur les conclusions de la thèse de doctorat de Pierre-Luc Pomerleau, gestionnaire de sécurité d’entreprise dans une institution financière.

Publié le 10 févr. 2020

Daniel Renaud La Presse

Alors que l’affaire Desjardins a fait ressortir l’importance de lutter contre les cybercrimes, les banques canadiennes expriment leur impuissance à combattre ce fléau. Les grands patrons de la sécurité des principales institutions financières au pays se disent littéralement menottés et militent pour que les lois soient changées afin que les informations soient partagées plus facilement entre le privé et la police, et pour que les enquêteurs des deux secteurs puissent s’unir dans des équipes mixtes. C’est ce qui ressort d’entrevues accordées par neuf hauts dirigeants de banques à un gestionnaire de sécurité d’entreprise dans une institution financière qui vient de terminer un doctorat sur cette question. La Presse a pris connaissance de sa thèse et a rencontré son auteur.

Qui est Pierre-Luc Pomerleau et quel est l’objet de sa thèse ?

Pierre-Luc Pomerleau a étudié à l’École de criminologie de l’Université de Montréal et travaille depuis plus de 15 ans dans des institutions financières. Il a été gestionnaire d’équipes de lutte contre le blanchiment d’argent, de sécurité d’entreprise et de risques de fraudes. Il vient de terminer une thèse dans le cadre d’un doctorat fait à titre personnel, sur le partenariat public-privé pour lutter contre les cybermenaces. Durant ses travaux, il a réalisé des entrevues de fond avec neuf responsables de sécurité des cinq plus grandes banques canadiennes, qui représentent à eux seuls 23 % des cadres supérieurs de sécurité des plus importantes institutions financières canadiennes. Six d’entre eux ont travaillé dans le public auparavant – quatre dans la police et deux dans des services de renseignement – et peuvent donc comparer les façons de faire dans les deux secteurs, et cibler les lacunes. À partir de ces entrevues, Pierre-Luc Pomerleau a pondu une étude d’environ 200 pages qui vient d’être publiée, et dans laquelle il fait 19 recommandations.

Quelle est la principale constatation des responsables de sécurité interrogés ?

« Ce qui ressort des entrevues principalement, ce sont des lacunes au niveau des lois. On m’a surtout cité la Loi sur la protection des renseignements personnels, qui fait en sorte que c’est compliqué d’échanger des informations entre les banques, et entre les banques et la police. C’est comme un marasme. Les gens se demandent s’ils ont droit ou non de partager une information, mais la loi ne le permet pas. Cela force les banques et la police à travailler en silo, alors que l’on devrait travailler ensemble quotidiennement. On s’échange des informations après un crime, mais c’est très difficile de le faire avant qu’un crime soit commis. Il faut également obtenir le consentement des victimes, ça devient ingérable. Si on change la loi, il faudra toutefois avoir un organisme de gouvernance, pour surveiller, car la confidentialité au Canada est très forte ; les consommateurs se demandent qui a accès à leurs données. Mais il faut ramener le pendule au centre, pour mieux lutter contre les cyberattaques », répond M. Pomerleau, selon qui la loi actuelle empêche aussi d’autres acteurs importants, comme les entreprises de télécommunications, d’échanger des informations essentielles.

Quelle est la deuxième constatation qui retient l’attention ?

« Que des lois, comme la Loi sur la police au Québec, devraient être modifiées pour permettre à des policiers, des enquêteurs de banques, d’entreprises de télécommunications et d’autres infrastructures essentielles de travailler conjointement, en tout temps, dans des équipes mixtes. Les policiers ont les pouvoirs d’enquête et d’arrestation. De leur côté, les enquêteurs du privé ont beaucoup d’informations, mais n’ont pas ces pouvoirs. Quand tu ne peux mettre ces deux pièces du casse-tête ensemble, ça ne fonctionne pas. Il ne serait pas obligatoire que policiers et enquêteurs privés travaillent dans les mêmes locaux ; les équipes intégrées pourraient échanger des renseignements sur des plateformes sécurisées. Ces réseaux devraient être pancanadiens, avec l’implication de la Gendarmerie royale du Canada (GRC), mais également avoir des ramifications avec d’autres pays, dont les États-Unis, car les pirates sont souvent à l’extérieur du territoire canadien », explique le chercheur.

De telles escouades existent ailleurs ?

« Depuis une dizaine d’années, ils ont aux États-Unis la National Cyber-Forensics and Training Alliance (NCFTA), dans laquelle des enquêteurs de banques, d’entreprises de télécommunications et le FBI travaillent ensemble pour s’attaquer aux cybercrimes. Ils travaillent dans les mêmes bureaux. Ils en ont plusieurs à travers le pays qui sont tous reliés par un réseau sécurisé. En Grande-Bretagne, il y a la Joint Money Laundering Intelligence Taskforce (JMLIT). Cette escouade est spécialisée dans la lutte contre le blanchiment d’argent, mais la lutte contre le recyclage touche souvent aux fraudes et aux cyberattaques. Aux États-Unis et en Grande-Bretagne, ils ont dû modifier les lois pour créer ces escouades. Ni un modèle ni l’autre n’est parfait. Nous n’avons pas les mêmes lois et cultures, mais on pourrait trouver un juste milieu en s’inspirant de ces modèles-là », dit Pierre-Luc Pomerleau.

De quelle façon des lois modifiées ou l’existence d’une équipe mixte auraient pu améliorer les choses dans l’affaire Desjardins ?

« Du côté policier, on a dit que Desjardins a agi trop vite en demandant une perquisition au civil. Du côté de Desjardins, je peux comprendre qu’ils aient voulu ainsi protéger leurs clients et récupérer les clés USB des données piratées. Il y a un gap au niveau des rôles, des responsabilités et de la culture de chacun. Les banques veulent protéger leurs clients, c’est normal, elles sont fiduciaires de leur identité. C’est ce que les gens veulent, et c’est la responsabilité des banques. Alors que du côté policier, on veut arrêter les criminels. Ce ne sont pas les mêmes objectifs. Mais s’il y avait eu une équipe intégrée à ce moment-là, peut-être que la communication se serait faite plus rapidement, et qu’un plan d’action aurait pu être mis en place pour protéger les clients, répondre rapidement à la fraude, arrêter les suspects et montrer qu’au Québec et au Canada, on prend cela très au sérieux, que c’est tolérance zéro », affirme M. Pomerleau.

On entend souvent dire que la fraude, c’est moins grave, car ce n’est pas un crime avec violence et que ce sont souvent les banques qui absorbent les pertes, et non les consommateurs. Comme si c’était un crime sans victime. Qu’en pensez-vous ?

« Ce ne sont pas des crimes sans victimes. On le voit dans les cas de brèches survenues au Canada, l’impact social est important et le stress est grand pour les victimes qui se sont fait voler leur identité. C’est comme un viol, et tu ne sais pas jusqu’où ça peut aller et combien de temps ça peut durer. Sans compter tout ce que cela coûte à la société canadienne : 3,2 milliards par année, selon des chiffres produits par le gouvernement fédéral. Mais ce sont seulement 10 % des victimes qui déclarent le crime. On peut donc multiplier par 10, ce qui donnerait un chiffre pas mal plus important que ce que les études démontrent. En bout de ligne, c’est tout le monde qui en paie le prix », répond le chercheur, selon qui le peu de signalements et le manque de partage d’informations génèrent une « myopie institutionnelle », de sorte que les gouvernements n’ont qu’une vision floue de l’état actuel des cybermenaces. Les responsables de banque interrogés ont également parlé du Code criminel, qui devrait être mis à jour en matière de cybercriminalité et des peines qui devraient être plus sévères.

Vous croyez que l’on devrait profiter des travaux autour du livre vert de la police pour améliorer la lutte contre les cybercrimes ?

« Il y a un certain mouvement actuellement au Canada et au Québec, avec le livre vert, et je pense que c’est une très belle opportunité qu’on a de voir ce qui pourrait être fait, comment le privé peut aider le public, et vice versa, pour protéger la société et s’assurer que des crimes comme nous en avons vu principalement dans la dernière année, des crimes de grande envergure, n’arrivent plus. Il y aura encore des fraudes et des événements de brèche, mais il faut être capable de mieux travailler ensemble, et je pense que l’opportunité est là », conclut Pierre-Luc Pomerleau. Ce dernier siège à un comité dont le rôle sera d’évaluer comment le privé pourrait travailler avec la police pour lutter contre les fraudes et les autres cyberattaques. Le directeur général de l’Association des directeurs de police du Québec, Didier Deramond, et les chefs de police accueillent bien l’étude. « On ne peut être contre la vertu. On a tout avantage à se partager les informations. Cette réflexion va faire partie d’un comité de travail qui débutera ses travaux la semaine prochaine », annonce M. Deramond.

Pour joindre Daniel Renaud, composez le 514 285-7000, poste 4918, écrivez à drenaud@lapresse.ca ou écrivez à l’adresse postale de La Presse.

Justice et faits divers En continu

Justice et faits divers

Neuf ans de prison Il fonce sur un policier avec sa voiture

Un homme de Longueuil fatigué d’accumuler les contraventions a admis avoir volontairement foncé sur un policier qui tentait de l’intercepter sur l’autoroute en mai 2022. L’agent de la Sûreté du Québec (SQ), grièvement blessé, avait été hospitalisé pendant plus d’une semaine.

Publié à 16h02
Justice et faits divers

Procès de Véronique Manceaux La défense jette le blâme sur l’ado à la machette et un autre homme

Qui a tué Jimmy Méthot ? Un ado meurtrier muni d’une machette, un criminel violent prêt à éliminer les témoins ou Véronique Manceaux, alors sous l’effet du crack ? « Ce n’est pas une partie de Clue », a plaidé la défense jeudi. Néanmoins, les deux hommes ont possiblement commis le meurtre, selon le camp Manceaux.

Publié à 15h55
Justice et faits divers

2,2 millions de pertes financières depuis 2022 Le crime organisé impliqué dans des fraudes de type « grands-parents »

(Montréal) La police provinciale ontarienne (OPP) a mis la main au collet de plusieurs individus liés à un important réseau de fraudeurs opérant partout au pays. Ce groupe relié au crime organisé pourrait avoir dérobé au moins 2,2 millions de dollars depuis deux ans à des personnes vulnérables en usant du stratagème connu sous le nom de fraude grands-parents.

Publié à 11h20 Mis à jour à 12h28
Justice et faits divers

Saint-Georges Un corps retrouvé après l’incendie d’une résidence

(Saint-Georges) Un corps a été retrouvé, mercredi soir, dans les décombres de la résidence qui a été ravagée par les flammes à Saint-Georges, en Beauce, dans la nuit de mardi à mercredi. Selon la Sûreté du Québec (SQ), « tout porte à croire » qu’il s’agirait de l’adolescent qui manquait à l’appel depuis l’incendie.

Publié à 10h02
Justice et faits divers

Violation de la vie privée La Cour supérieure autorise une action collective contre Google

Rejetée en 2021 et réanimée en 2023, une action collective contre Google a été autorisée, lundi. Selon les allégations du représentant du groupe proposé, Michael Homsy, le traitement des données biométriques de l’application Google Photos viole le droit à la vie privée des personnes qui figurent sur les photos.

Publié hier à 22h31
Justice et faits divers

« Un des plus importants vols d’or » Six suspects arrêtés par la Police régionale de Peel

La Police régionale de Peel a arrêté six hommes en lien avec un vol d’or d’une valeur de 22,5 millions de dollars commis il y a un an à l’aéroport international Pearson de Toronto. Trois autres hommes sont encore recherchés.

Mis à jour hier à 21h45
Justice et faits divers

Un policier tire sur des voleurs de voitures, en blesse un gravement

Un patrouilleur du Service de police de la Ville de Montréal a ouvert le feu sur des voleurs de voitures présumés qui fonçaient vers lui, près de la station Vendôme, dans le quartier Notre-Dame-de-Grâce, mercredi après-midi. Au moins l’un des deux suspects aurait subi de graves blessures.

Publié hier à 19h30
Justice et faits divers

États-Unis Un Québécois écope de dix ans de prison pour une fraude postale

(Montréal) Un ancien résidant de Montréal a été condamné plus tôt cette semaine à 10 ans derrière les barreaux dans un pénitencier fédéral aux États-Unis pour une fraude étalée sur plusieurs décennies.

Mis à jour hier à 17h12
Justice et faits divers

Procès pour le meurtre de Jimmy Méthot Véronique Manceaux a battu à mort sa victime, plaide la Couronne

Jimmy Méthot ne voulait pas « crever » ainsi. Véronique Manceaux et un adolescent le battaient depuis des heures. Quand le jeune homme s’est enfui, ses bourreaux l’ont rattrapé, l’ont poignardé, puis ont nettoyé la scène pendant des jours. Selon la Couronne, Véronique Manceaux doit être déclarée coupable de meurtre au premier degré.

Publié hier à 14h26
Justice et faits divers

Fraudes au Québec Hausse des cas de 15 % en deux ans

Les fraudes via des stratagèmes de plus en plus sophistiqués se multiplient à un rythme alarmant, ont réitéré les autorités lors d’un point de presse de l’Association des directeurs de police du Québec (ADPQ). Près de 37 000 Québécois ont été victimes de fraudes en 2023, un bond de 15 % en deux ans, selon elle.

Mis à jour hier à 13h27
Justice et faits divers

Saint-Georges Une personne manque à l’appel après l’incendie d’une résidence

(Saint-Georges) Une personne manquait à l’appel, mercredi matin, à la suite d’un incendie qui a ravagé une résidence de Saint-Georges, en Beauce. Cinq autres personnes sont aussi hospitalisées, mais leur vie ne serait pas menacée.

Publié hier à 7h23
Justice et faits divers

Production de pornographie juvénile La double vie d’un acteur communautaire

Il était une figure de proue du monde communautaire. Il dirigeait un centre d’aide aux nouveaux arrivants. Mais Gilles Provencher vivait une double vie. Pendant des années, il aurait payé des complices au Mali pour exploiter sexuellement des enfants dans la « misère humaine ». Des agressions diffusées en direct pour son seul plaisir. Jusqu’à 40 filles seraient tombées dans ses griffes.

Mis à jour hier à 5h00
Justice et faits divers

Un éducateur spécialisé acquitté d’avoir exploité sexuellement un adolescent

Un technicien en éducation spécialisée accusé d’avoir exploité sexuellement un adolescent rencontré dans une maison pour jeunes a été acquitté mardi, même s’il est « probable » qu’il ait commis les crimes. Le témoignage « cohérent » et « corroboré » de David Gingras a suscité un doute raisonnable dans l’esprit du juge.

Publié le 16 avril
Justice et faits divers

Ex-fonctionnaire accusé d’abus de confiance « Il a des réponses faciles pour tout », lance le juge

Un ex-gestionnaire de la Ville de Montréal accusé d’abus de confiance pour avoir favorisé un ténor de l’immobilier affirme être devenu ami avec celui-ci en le croisant dans un Costco de Laval. Et s’il l’a appelé le jour même d’un jugement défavorable, c’est une coïncidence, selon l’accusé. Une défense qui a laissé le juge perplexe.

Publié le 16 avril
Justice et faits divers

Saguenay Un homme blessé gravement après avoir été atteint par balle

(Saguenay) La police de Saguenay a déployé un poste de commandement dans le secteur de La Baie, mardi matin, à la suite d’un évènement de coup de feu lors duquel un homme a été gravement blessé.

Publié le 16 avril
Justice et faits divers

Procès pour abus de confiance Un gestionnaire de la Ville aurait « réglé » des dossiers pour un promoteur immobilier

Sans savoir qu’il parlait avec un agent d’infiltration, un riche promoteur immobilier s’est vanté d’avoir à sa solde un gestionnaire corrompu à la Ville de Montréal. Son « gars » aurait ainsi manœuvré pour passer l’éponge sur la transformation illégale d’un immeuble résidentiel.

Mis à jour le 16 avril