01

02

03

Intelligence sur les menaces fragmentée

Le Centre canadien pour la cybersécurité (CCCS), le FinCEN et les rapports des fournisseurs sur les menaces contribuent tous à dresser un portrait d’ensemble. Aucune ressource ne les synthétise en un modèle unifié et contextualisé pour le Canada, assorti d’orientations pratiques en matière de mise en œuvre. La couche de coordination n’existe pas encore.

Des normes sans orientations de mise en œuvre canadiennes

Le NIST SP 800-63-4 impose désormais des contrôles contre les hypertrucages et les attaques par injection — mais ne propose aucune correspondance avec la réglementation canadienne. Les propres orientations du Canada (ITSP.30.031 v3) sont antérieures à l’IA générative, laissant les organisations interpréter les cadres américains et européens sans adaptation propre à leur secteur.

Absence d’interopérabilité de l’assurance de l’identité entre secteurs

Les identités synthétiques exploitent les failles entre les institutions. L’investissement individuel dans la détection ne peut combler cette lacune sans indicateurs partagés, normes de vérification communes et capacité à faire confiance à l’assurance de l’identité entre secteurs. Le CCP a démontré que cela est techniquement réalisable — mais la mise à l’échelle requiert une coordination à l’échelle de l’écosystème.

SECTEUR

PRINCIPAUX VECTEURS DE MENACE

FACTEURS DE RISQUE SPÉCIFIQUES

Services financiers

Ouverture de comptes par identités synthétiques; fraude par accumulation de crédit; paiements autorisés par hypertrucage; contournement des obligations de lutte contre le blanchiment d’argent

Obligations envers le BSIF et le CANAFE; expansion des services bancaires ouverts; intégrité de Paiements Canada; exposition des caisses populaires

Juridique

Fraude lors de la vérification de l’identité à distance des clients; exploitation des comptes en fiducie; usurpation d’identité par hypertrucage dans les transactions immobilières

Plus de 700 000 transactions de vérification de l’identité à distance signalées par les membres; élargissement de la pratique à distance; les passeports représentent 44 % des documents frauduleux soumis dans le secteur des services professionnels à l’échelle mondiale

Santé

Fraude à l’identité des patients; fraude aux ordonnances; fraude aux prestations; accès aux données de santé

Vérification des cartes d’assurance maladie provinciales; normes d’Inforoute Santé du Canada; législation sur la protection des renseignements personnels en matière de santé

Gouvernement

Fraude aux prestations; identités synthétiques pour la délivrance de justificatifs; ingérence électorale; exploitation des services aux citoyens

Programmes provinciaux d’identité numérique (C.-B. : 4,6 M d’utilisateurs); prestation de services fédéraux; intégrité du processus démocratique

Télécommunications

Fraude par échange de carte SIM; fraude à l’identité des abonnés; prise de contrôle de compte; manipulation du service à la clientèle par hypertrucage

Les télécommunicateurs comme point d’ancrage de la vérification de l’identité pour d’autres secteurs; exigences du CRTC

Énergie / Infrastructure critique

Compromission de l’identité interne; accès aux systèmes SCADA/OT par exploitation de l’identité; fraude à l’identité dans la chaîne d’approvisionnement

Désignation d’infrastructure critique par le CCCS; législation sur la protection des infrastructures critiques; convergence OT/TI