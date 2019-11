La solidité d’une chaîne est aussi résistante que son maillon le plus faible.

Desjardins, au même titre que toutes les autres banques, est soumise à des procédures de sécurité et de contrôle de haut niveau et elle oblige, a fortiori, les commerçants qui utilisent ses produits à l’être aussi.

Ces contrôles rigoureux et parfois austères permettent une surveillance informatique de tous les instants sur tous les aspects informatisés et humains considérés comme critiques.

En sécurité informatique, certains types de contrôle entrent dans un processus de surveillance des flux et d’intégrité des données critiques. Ils sont efficaces s’ils sont correctement appliqués sur tous les serveurs et sur toutes les applications abritant et transmettant des données critiques, comme des numéros de carte de crédit et la date de validité, des NAS, des identifiants, etc.

Toutes les compagnies, dont les banques, soumises aux normes de sécurité PCI-DSS (standard international de sécurité des données des cartes de crédit), ont l’obligation de se conformer à ces normes de sécurité en se dotant de systèmes de haut niveau de sécurité permettant, par exemple, l’encryption des données, la segmentation du réseau, la ségrégation des tâches et la formation du personnel. Même les allées et venues des employés qui y ont accès doivent être aussi contrôlées régulièrement : badges d’accès, authentification à plusieurs facteurs, caméras, etc.

Qui manque au respect des exigences de ces normes internationales est susceptible d’être condamné à payer de lourdes amendes, allant jusque, dans le cas d’une banque, à plusieurs centaines de millions, voire des milliards de dollars.

Une gouvernance défaillante, des retards de mise à jour des systèmes, de mauvaises planifications et un laisser-aller interne en matière de sécurité, des critères déterminants déjà démontrés dans les enquêtes sur le piratage d’Equifax ou de Target Corporation, peuvent avoir permis ces évasions de données.