Tom Beaupré est directeur principal au sein des Services de cybersécurité de MNP
Tom Beaupré est directeur principal au sein des Services de cybersécurité de MNP
Cyberfraude, cyberattaque, cybercriminalité… Tout ce qui commence par le préfixe cyber et se termine par une tentative d’intrusion des systèmes informatiques est de la musique aux oreilles de Tom Beaupré.

Le leader des Services de cybersécurité pour le Québec chez MNP est en effet celui qui s’assure de l'étanchéité de la muraille qui doit normalement protéger l'infrastructure réseau d'une entreprise ou d’un cabinet.

Les intrusions sur les serveurs corporatifs sont un fléau. Un sondage interne mené par MNP auprès de ses clients canadiens en 2017 révélait que la moitié des dirigeants d'entreprises avaient été victimes d'une tentative d'intrusion informatique.

Armée d’une cinquantaine de tests, l'équipe dirigée par Tom Beaupré s’assure du contrôle de la sécurité des réseaux.

Le Franco-ontarien originaire de Timmins a commencé à s'intéresser à la cybersécurité il y a une dizaine d'années. « Je venais de passer une décennie dans les réseaux de télécommunication », explique l'ingénieur de formation.

« En 2008, j'ai voulu voir du côté de la cybersécurité. Les défis étaient nombreux -et le sont toujours- et c'est une excellente façon de s'attarder à plein d'autres enjeux des entreprises comme le développement des affaires. »

Depuis près de dix ans, le titulaire d'un diplôme de premier cycle en sciences appliquées à l’Université de Waterloo est donc devenu spécialiste de la sécurité des paiements électroniques. Il s’est joint à la torontoise NCI, où il a été chargé de mettre sur pied la tête de pont, au Québec, du spécialiste de la cybersécurité. NCI a été acquise par MNP l'an dernier.

Une négligence peut mener au litige

Tom Beaupré s'attaque surtout à la cyberfraude.

« D'emblée, lorsqu’on arrive dans une entreprise, on commence avec des questions simples sur les procédures en place », explique-t-il. Par exemple, dans le cas où une entreprise fournit les téléphones, il s'agit de savoir si on peut rapidement effacer les données sensibles d’un téléphone intelligent. « Si on nous répond qu'on n'a aucun moyen de le faire lorsqu'il est perdu ou volé, on part de loin... »

Faire preuve de diligence, « ce n'est pas seulement faire tout ce que tu peux pour protéger ton réseau, mais également intervenir rapidement, et correctement », dit encore Tom Beaupré.

Et c'est souvent ce qui fera la différence dans les litiges, observe-t-il. « Si on n'a pas rapidement de mesures correctives en place, si on ne fait que le minimum pour soutenir les clients lésés », c'est à ce moment que les requêtes en justice sont déposées.

Et que les avocats cognent à la porte de Tom Beaupré.

« On me demandera d'expertiser les systèmes en place, d'évaluer la maturité des protocoles » de protection et d'intervention. Et de donner un avis professionnel sur la possibilité qu'une faute ait été commise par l'entreprise.

Les coûts énormes d’une fraude

Le but visé par l'entreprise est non seulement d'endiguer la prédation, mais de réduire les coûts. La cybersécurité n'est pas tant une dépense qu'un investissement.

« Une fraude de carte de crédit peut coûter entre 100 et 200 dollars par carte, dit Tom Beaupré. Le vol de milliers de numéros de carte de crédit peut rapidement tourner au désastre financier. »

Sans compter que c'est toute la chaîne d'opération, voire le modèle d'affaires qui risque d'être déstabilisé par une telle fraude.

Visa, par exemple, impose aux utilisateurs de ses services de mettre en place des systèmes et des procédures adéquates pour contrer la fraude. À défaut de quoi, elle refuse de traiter les transactions en provenance d'un commerce qui n'aurait pas satisfait aux exigences de sécurité.

Tom Beaupré relate l'expérience d'une chaîne hôtelière ontarienne à qui Visa a ainsi refusé toute transaction. « Les clients de l'hôtel ne pouvaient plus utiliser leur carte Visa. Imaginez l'impact que cela a sur les affaires », raconte-t-il.

Une situation qui illustre également un des grands problèmes où Tom Beaupré et les juristes se rencontrent : les contrats de franchisés.

Des litiges en puissance

« Les entrepreneurs qui achètent une franchise ont surtout des préoccupations opérationnelles : gérer les inventaires, les employés, etc. Ils n'ont pas le temps de s'occuper des réseaux et des infrastructures informatiques dont ils ont besoin pour faire fonctionner le commerce », explique Tom Beaupré.

Lorsqu'on fait appel à MNP dans le cadre d'une acquisition par exemple, « on conseille les avocats qui tentent d'évaluer si les contrats des franchisés sont adéquats ».

Parmi les problèmes les plus courants, des contrats beaucoup trop vagues. « Une seule ligne en bas de page qui stipule qu'en cas de fraude, le franchisé est responsable, ça n'est pas très utile », dit-il.

Qui doit faire quoi quand un problème survient? Comment les clients sont-ils protégés? Par qui? Autant de variables qu'il faut considérer. Et préciser.

Et ce, afin d'éviter, toujours, des litiges. Tom Beaupré en tire une grande satisfaction professionnelle. « Réduire le risque, prendre la menace au sérieux, sensibiliser tout le monde aux dangers d'une sécurité défaillante... Les risques cybernétiques sont des risques commerciaux, purement et simplement », dit-il. Une intrusion n'est pas en elle-même problématique : ce sont les coûts et les dommages financiers qu'elle peut générer qui sont dommageables.

« Quand je retourne chez un client deux ou trois ans plus tard, et qu'il a mis en place des procédures, qu'il a pris conscience du risque et agi en conséquence, là je peux dire que j'ai bien fait mon travail. »


Tom Beaupre, B.Sc.A., PCI QSA, est directeur principal au sein des Services de cybersécurité de MNP. Il est également le leader de l’équipe affectée à l’industrie des cartes de paiement. En poste au bureau de Montréal, il aide les organismes gouvernementaux et les organisations de divers secteurs, comme ceux du commerce de détail, des finances, des assurances, de la fabrication, des technologies de l’information, des communications, des services publics, des soins de santé et des services d’affaires, à renforcer leur sécurité et à gérer leurs risques. Il possède le titre de Payment Card Industry Qualified Security Assessor (PCI QSA).