Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule 25 - Procès-verbal du 11 mars 2015
OTTAWA, le mercredi 11 mars 2015
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd'hui, à 16 h 15, pour étudier l'utilisation de la monnaie numérique ainsi que l'ébauche d'un budget.
Le sénateur Irving Gerstein (président) occupe le fauteuil.
[Traduction]
Le président : Bonjour. Bienvenue à la séance du Comité sénatorial permanent des banques et du commerce. Nous tenons aujourd'hui la 16e séance de notre étude sur l'utilisation de la monnaie numérique, y compris les risques, menaces et avantages potentiels associés à ces types d'échanges électroniques.
À ce jour, le comité a entendu les témoignages d'une vaste gamme d'intervenants, dont des représentants d'organismes gouvernementaux, des spécialistes des opérations financières numériques, des universitaires et des entrepreneurs qui utilisent le bitcoin. Nous avons tous constaté que la question de la monnaie numérique est, en réalité, compliquée.
Aujourd'hui, nous allons continuer à discuter de l'un des aspects les plus compliqués de notre étude, la cybersécurité. Je suis heureux d'accueillir aujourd'hui Paul Milkman, vice-président principal et chef, Gestion du risque technologique et de la Sécurité des systèmes d'information, Groupe financier Banque TD. M. Milkman et son équipe orientent et appuient la TD dans ses démarches pour protéger ses renseignements par la mise en œuvre de politiques, de normes et de procédures en matière de sécurité de l'information.
Nous allons écouter le témoignage de M. Milkman avant de passer à la période de questions. Après la réunion, je demanderais aux sénateurs de rester pendant quelques minutes le temps d'une courte séance à huis clos.
Monsieur Milkman, la parole est à vous.
Paul Milkman, vice-président principal et chef, Gestion du risque technologique et de la Sécurité des systèmes d'information, Groupe financier Banque TD : Merci. Monsieur le président, je suis ravi de pouvoir témoigner devant vous aujourd'hui.
En ma qualité de chef de la Gestion du risque technologique et de la Sécurité des systèmes d'information pour la Banque TD, j'ai le mandat vaste, mais relativement simple d'assurer la sécurité de l'information, tant au sein de la banque en tant que telle que dans le cadre de nos interactions avec les clients. À ce titre, je suis quotidiennement confronté au sujet très très complexe que le comité a entrepris d'étudier : la monnaie numérique et les nouvelles formes d'échanges numériques.
Le domaine des transactions électroniques évolue rapidement. Pour bien encadrer cette discussion, la principale question à l'étude est celle du transfert électronique de valeurs. Elle peut englober le transfert de devises traditionnelles ainsi que de devises numériques, mais elle peut aussi comprendre, par exemple, des récompenses, des milles ou des points. Il est important d'aborder cette discussion au sens large, car les technologies que l'on utilise maintenant permettent à une entreprise de structurer ses affaires pour faire ces choses en totalité ou en partie.
Pour ce qui est des consommateurs, ils disposent maintenant d'un foisonnement d'options pour placer leur argent et d'autres formes de valeurs, ainsi que de technologies et d'entreprises auxquelles ils feront appel pour transférer ces valeurs. Les participants traditionnels, comme les banques, ont mis leurs services à niveau, mais il existe aussi une myriade de sociétés de technologie qui offrent de nouveaux produits de paiement de services collectivement appelés « fournisseurs de services de paiement ».
Les monnaies numériques sont un autre développement intéressant puisqu'elles cherchent à établir une nouvelle forme de valeurs au-delà des devises traditionnelles créées par les banques centrales. Il n'est donc pas surprenant que les décideurs et les banquiers centraux aient joué un rôle plus proactif dans les questions de monnaie numérique ces dernières années, non seulement pour faire en sorte que les utilisateurs et les détenteurs d'une monnaie en comprennent les risques, mais aussi pour veiller à ce que celle-ci ne corrompe pas les systèmes monétaires actuels.
Les entités réglementées ont un rôle à jouer. Pour les acteurs traditionnels comme les banques, on investit massivement chaque année dans les nouvelles technologies pour continuer à faire en sorte que les transactions soient aussi simples et sûres que possible.
Sur plan de l'évolution opérationnelle, on a constaté une transition plutôt fulgurante; on est passé d'un monde dans lequel le transfert d'argent entre particuliers se faisait normalement par chèque à un autre monde dans lequel toute banque sans application mobile serait considérée comme rétrograde.
La raison est simple. Les grandes banques hautement réglementées sont en concurrence directe l'une avec l'autre ainsi qu'avec les entreprises spécialisées dans la technologie de toutes tailles, des entreprises en démarrage aux grandes entreprises. Nous voulons tous offrir des services que les consommateurs veulent utiliser pour effectuer les transactions qu'ils souhaitent faire.
Le modèle opérationnel des fournisseurs de services de paiement varie grandement, mais leur objectif est le même — attirer des clients qui veulent effectuer des transactions par l'intermédiaire de leur service. Avant de discuter du cadre stratégique public dans ce domaine, il est important de prendre note que le but de la politique de sécurité et de viabilité du système de paiements canadien dépend encore grandement de la surveillance réglementaire des participants traditionnels dans le système, c'est-à-dire les institutions financières réglementées.
Il y a un certain nombre de risques à prendre en compte. À mon avis, le cadre stratégique canadien qui régit les entités réglementées fonctionne bien. Ces entités continuent de faire face à des défis dans l'environnement numérique, comme des cyberattaques, et la politique doit progresser dans certains secteurs, mais en général, le système fonctionne bien.
Pour vos travaux futurs dans ce dossier, j'aimerais cerner divers secteurs dans lesquels le fait d'avoir des fournisseurs de paiement non réglementés pourrait influer sur le marché canadien.
Je vais maintenant aborder le sujet de la protection des consommateurs. Les fournisseurs de services de paiement non réglementés opèrent à l'extérieur du cadre robuste de protection des consommateurs qui s'applique aux institutions financières réglementées. Ils ne sont pas tenus de présenter de façon uniforme les principaux éléments et risques d'un produit ou de mettre en place un processus de règlement des différends pour les éléments perdus, les transactions non autorisées ou les erreurs. Ils ne sont pas non plus assujettis à des règles pour veiller à ce qu'un consommateur puisse surveiller les transactions, ce qui leur permet de limiter leur responsabilité pour les transactions non autorisées ou les erreurs.
Un second risque est celui du blanchiment d'argent et du financement d'activités terroristes. Les banques ont mis en place des processus importants pour vérifier l'identité des particuliers avant d'effectuer une transaction, faire le suivi des transactions et signaler les activités suspectes au CANAFE. À l'heure actuelle, de nombreux fournisseurs de services de paiement ne sont pas réglementés. Ils pourraient être soumis à des exigences relatives à la lutte contre le RPC-FAT semblables aux obligations auxquelles sont soumis d'autres organismes de services financiers, comme celles de respecter les critères de présélection de base et de placer les fonds des clients dans des comptes séparés.
Il y a aussi un risque systémique. Avec le nombre croissant de fournisseurs de services de paiement en opérations dans le marché canadien et les augmentations croissantes du nombre de transactions et de leur valeur, il y a aussi un potentiel élevé de risque systémique à moins que les fonctions de contrôle de ces fournisseurs de services de paiement soient tenues de répondre aux mêmes normes que les entreprises réglementées traditionnelles.
Il est inévitable qu'il existe des tensions entre le désir d'une économie numérique ouverte et novatrice assortie de peu de barrières d'entrée et le besoin d'assurer la sûreté et la viabilité. J'ai cerné certaines de ces zones de tension.
Cependant, nous voulons nous éloigner d'un régime dans lequel les technologies ont seulement l'apparence d'être sûres et viables en raison des processus sous-jacents menés par une institution financière réglementée; nous voulons aussi nous éloigner des monnaies numériques qui ont seulement l'apparence d'être sûres et viables grâce aux monnaies garanties par les banques centrales.
Nous avons besoin d'un régime solide de protection des consommateurs, d'un régime prudentiel solide, de procédures énergiques pour lutter contre le blanchiment d'argent et le financement du terrorisme ainsi que d'un régime solide de protection contre le risque systémique.
Je me réjouis à la perspective de répondre à vos questions et de discuter activement avec vous.
Le président : Ce matin, j'ai lu avec intérêt un article dans lequel on disait que le numérique a surpassé la réglementation comme priorité absolue des banques à l'échelle internationale. Êtes-vous d'accord avec cette déclaration? L'auteur disait qu'il avait parlé à 268 dirigeants de banques. J'ignore si vous étiez du nombre.
M. Milkman : Je n'en faisais pas partie, non. Je dirais que la cybersécurité est en tête des priorités sur la liste des risques gérés à la Banque TD. Nous estimons généralement — surtout au cours des dernières années — être à peu près d'accord avec les organismes de réglementation sur l'importance de la sécurité, de la protection de la vie privée et des consommateurs, alors nous ne traiterions pas la question comme un risque ou une priorité. Nous dirions qu'il nous faut régler les vrais problèmes.
Le président : Avant de permettre aux sénateurs de poser des questions, je sais que ce n'est pas un domaine auquel vous participez directement mais, selon moi, vous y participez peut-être indirectement, alors pourriez-vous vous prononcer sur la sûreté et la viabilité de la technologie du chaînage de blocs s'agissant de la capacité de transférer des fonds?
M. Milkman : Je ne suis pas sûr d'être prêt à me prononcer sur cette technologie en général. Je dirais que je ne pense pas que la banque ait pris position sur le plan commercial. À titre de professionnel de la sécurité, je dirais que rien ne la disqualifie ni ne l'écarte entièrement si des mesures de contrôle appropriées ont été mises en place.
Le président : Ils ont fait la déclaration. Les témoins ont dit que cette technologie n'avait jamais été piratée.
M. Milkman : C'est vrai pour tout pendant un certain temps. Cependant, compte tenu du potentiel de l'informatique quantique et même de l'erreur humaine, il n'existe aucun système au monde qui ne puisse être piraté.
Le président : C'est une déclaration intéressante.
Le sénateur Tannas : Merci d'être venu. Nous avons entendu un certain nombre de témoins au cours des derniers mois qui nous confiaient qu'ils étaient incapables d'ouvrir un compte en banque s'il y avait la moindre possibilité qu'ils aient touché de près ou de loin au bitcoin. Je présume qu'ils ont présenté une demande auprès de la Banque TD et que, à ce stade, votre institution rejette les personnes qui ont quelque lien que ce soit avec le bitcoin.
Je pourrais me tromper, mais si nous adoptons la loi dont vous avez parlé et que nous envisageons pour assurer la viabilité de cette activité, votre banque commencera-t-elle à accepter des clients qui utilisent de la monnaie numérique?
M. Milkman : La réponse simple est oui. La Banque TD n'a pas de politique contre le bitcoin ni procédure officielle s'y rapportant, mais nous n'avons pas de produits standard qui puissent interagir avec cette devise.
Pour nous, cela demeure une devise incertaine. Sa valeur peut changer. Ni nous ni les banques centrales n'avons d'ascendant sur les forces susceptibles d'influer sur sa valeur, alors nous ne percevons pas le bitcoin comme un instrument important en ce moment pour le bien-être des consommateurs ou la prestation de services financiers.
Cependant, la Banque TD n'a pas de politique contre le bitcoin et, en général, nous ne sommes pas contre l'innovation dans l'espace et avons souvent adopté des méthodes novatrices.
Le sénateur Tannas : Je crois comprendre que si je gère une entreprise qui offre des services de consultation aux personnes qui veulent investir dans le bitcoin — si je suis un avocat qui accepte les transactions en bitcoin —, on ne demande pas à la banque de les accepter. Cependant, si une partie de leur entreprise touche le bitcoin, elles représentent, en quelque sorte, un risque pour la banque, le RPC-FAT, le protocole visant à connaître nos clients, et on leur refuse l'ouverture d'un simple compte-chèques au nom de leur entreprise.
M. Milkman : Je n'ai eu vent d'aucun cas semblable. Cela dit, nous avons 24 millions de clients; il est possible que quelque chose soit survenu, mais je serais prêt à faire un suivi.
Le sénateur Tannas : Vous n'êtes pas au courant d'une quelconque politique qui empêcherait aujourd'hui une personne qui offre un service d'échange des bitcoin d'avoir un compte-chèques à la Banque TD pour payer son personnel, ses factures et autres?
M. Milkman : C'est exact. En fait, ce serait contraire aux pratiques bancaires équitables.
Le sénateur Tannas : Nous nous sommes toujours posé la question.
M. Milkman : Nous devons suivre certaines exigences de base dans le cadre du protocole visant à connaître nos clients.
Nous sommes tenus de vérifier diverses listes sur lesquelles les gens peuvent se trouver. Cependant, il n'existe aucune politique de la sorte, et je ne pense pas que nous puissions légalement en justifier une.
Le sénateur Tannas : Pourriez-vous confirmer qu'à ce stade, la Banque TD serait disposée à accepter les clients commerciaux qui font des affaires en monnaie numérique? Pourriez-vous clarifier ce point d'une manière ou d'une autre et en informer la greffière du comité?
M. Milkman : Je vais le faire.
Le sénateur Massicotte : Savez-vous si l'un de vos clients échange des bitcoin ou fait des opérations dans cette devise? Avez-vous des clients actuels qui le font?
M. Milkman : Je ne sais pas si je serais au courant. Je suis un professionnel de la sécurité. Mon travail consiste plutôt à protéger les clients. Dans mes activités quotidiennes, je n'ai pas rencontré de personnes qui fassent des échanges importants en bitcoin, bien que je connaisse les enfants d'au moins deux employés qui ont travaillé au minage de bitcoin et qui ont mis en place des postes de traitement, et cela n'a semblé gêner personne.
Le sénateur Massicotte : S'agit-il de clients de la Banque TD?
M. Milkman : Il s'agit à la fois d'employés et de clients de la Banque TD.
Le sénateur Massicotte : L'information que nous détenons est que le système bancaire refuse ces types d'entreprises. Compte tenu de votre expertise, je présume que si ce type de client se rendait à votre bureau, il vous demanderait peut-être ce que vous pensez du risque, sur le plan de la sécurité, de faire affaire avec ces gens. Est-ce exact? Est-ce une probabilité?
M. Milkman : Si leurs activités ne requerraient pas de transactions avec nous — comme dans le cas de l'ouverture d'un compte en banque —, par curiosité, nous aimerions voir comment le bitcoin se prolifère. Cela dit, nous n'avons pas de position en faveur ou contre cette devise à l'heure actuelle.
Le sénateur Massicotte : Vous n'avez pas pris position, mais vous ne savez pas s'il y a une personne qui s'en sert parmi vos millions de clients.
M. Milkman : Je dirais que mathématiquement, il est très probable que nous ayons de nombreux clients qui travaillent avec le bitcoin. Je ne crois pas que nous puissions les identifier. Même si nous le pouvions, nous ne pourrions pas légalement révéler que nous connaissions cette information à leur sujet.
Le sénateur Massicotte : Avez-vous entendu parler d'une technologie appelée Ripple? Un témoin nous l'a mentionnée récemment. Est-ce que cela vous dit quelque chose? Qu'en pensez-vous? Peut-être que vous pourriez nous expliquer de quoi il s'agit et nous donner votre opinion concernant cette technologie?
M. Milkman : C'est une technologie semblable au bitcoin. C'est un modèle différent, un algorithme, une différente façon de calculer une valeur, mais l'idée est la même. C'est une monnaie qui n'est pas reliée au taux de change d'une banque centrale particulière, alors elle a un élément d'offre et de demande, comme le bitcoin. Je ne crois pas qu'elle diffère grandement du bitcoin.
Le sénateur Massicotte : La valeur du Ripple fluctue-t-elle?
M. Milkman : Toutes les valeurs des cryptomonnaies fluctuent. C'est inhérent au fait qu'elles ne sont pas assujetties à une monnaie centrale.
Le sénateur Massicotte : Un témoin nous a dit que ce n'était pas le cas du Ripple. Compte tenu de la structure en place, le fait de posséder la monnaie dans la structure n'a pas de valeur. Comme vous le savez, il s'agit d'un service central plutôt que d'une cryptomonnaie. J'ai été très intéressé d'apprendre que bien des banques dans le monde sont, grosso modo, clientes de cette technologie et qu'elles l'utilisent comme système de règlement. Ce que cela m'a dit, au fond, c'est « ça alors, c'est une confirmation immédiate de la pertinence, de la sécurité et de l'utilité, sur le plan technologique, au moins pour les banques importantes dans le monde. »
M. Milkman : Je ne vais pas m'aventurer dans les statistiques, mais je pense que vous verriez que le Ripple est moins important que le bitcoin, qui est lui-même sans conséquence pour ce qui est des transactions à l'échelle mondiale. Un certain nombre de banques mènent des expériences relatives au change. J'ai entendu parler de l'expérience avec le Ripple et je sais qu'il y a des personnes à la Banque TD qui se penchent sur la question bien que j'ignore si nous l'avons entreprise.
Pour nous, ces nouvelles technologies ne soulèvent aucune question éthique ou philosophique. Je crois que nous les examinons chacune en fonction de leurs mérites et de leurs risques. Quand nous payions tout par chèque, Interac a représenté une innovation importante, tout comme Visa, MasterCard et AMEX. La technologie des cartes à puce et des NIP aussi. Nous les jugeons selon leurs mérites. Deux facteurs doivent être réunis. Premièrement, nous devons voir comment nous pouvons protéger nos clients qui utilisent un instrument financier particulier et, deuxièmement, nous avons besoin de savoir que l'instrument est important. Si ces deux conditions sont réunies, en règle générale, les banques se montrent assez efficaces pour adopter de nouvelles technologies. Si l'une de ces conditions n'est pas présente, si une technologie n'est pas encore suffisamment importante pour que l'on sache comment la traiter ou que l'on estime qu'elle a un côté fondamentalement dangereux, alors nous ne l'adopterons pas.
Le sénateur Massicotte : Vous êtes un expert en technologie dans le domaine la sécurité. Considérez-vous la technologie du registre des translations, qu'elle soit centralisée ou non, comme une possibilité? Y a-t-il lieu de la mettre en application de façon efficace et à peu de frais? Cette nouvelle technologie présente-t-elle une menace pour votre type de système, étant donné qu'elle pourrait changer votre façon de faire des affaires? En effet, la concurrence s'intensifierait considérablement dans le domaine des systèmes de paiement de règlements. Il faudrait peut-être obliger la banque dans son ensemble à mieux s'en servir. Face à un nouveau concurrent, vous devriez peut-être trouver des moyens de mieux soutenir la concurrence ou adapter sans tarder la technologie pour qu'elle soit à la hauteur de ce qui s'en vient.
M. Milkman : Contrairement aux fournisseurs de services de paiement, qui pourraient se livrer concurrence de façon un peu plus féroce dans leur quête de revenus, je dirais qu'en l'occurrence, ce genre de règlement occasionne des dépenses pour une banque. Nous serions donc heureux de pouvoir compter sur des types de règlement moins coûteux et plus sûrs, parce que cela pourrait réduire nos coûts opérationnels, voire améliorer notre modèle d'affaires. Je ne pense pas que nous nous considérions comme des rivaux en la matière. De notre point de vue, nous ne faisons pas concurrence aux monnaies numériques. Elles ne nous sont ni néfastes ni bénéfiques.
S'il y avait moyen d'assurer la sécurité des monnaies numériques et de les soumettre à une réglementation et à des contrôles adéquats, le tout assorti d'un transfert de valeur raisonnable, nous les utiliserions comme tout autre produit. Je le répète, elles ne nous seraient ni néfastes ni bénéfiques. À la rigueur, elles pourraient faire baisser nos coûts d'exploitation, parce qu'elles seraient plus simples à utiliser, mais je ne crois pas qu'elles représentent une source de concurrence pour nous.
Le sénateur Black : Monsieur Milkman, merci beaucoup d'être ici. C'est très utile. J'ai une question d'ordre immédiat et une autre d'ordre prospectif.
Voici ma question d'ordre immédiat : vous avez soulevé, à juste titre, un point dont de nombreux témoins nous ont parlé — à savoir les risques concernant la protection des consommateurs et l'éventualité de blanchiment d'argent et de financement des activités terroristes. On nous a également dit — et j'aimerais savoir ce que vous en pensez — qu'en règle générale, selon l'état actuel du droit canadien sur ces deux questions, nous disposons, selon toute vraisemblance, des outils nécessaires pour nous attaquer à tout problème éventuel. Êtes-vous du même avis?
M. Milkman : Des outils sont prévus dans le cas des joueurs qui tombent sous le coup de la réglementation. En ce qui concerne certains des nouveaux joueurs qui ne sont pas assujettis aux mêmes normes réglementaires, les outils font souvent défaut. Dans le cas d'une grande banque, les frais généraux liés à la sécurité et à la protection des renseignements personnels sont énormes. La Banque TD a d'ailleurs déclaré publiquement qu'elle dépense entre 175 et 200 millions de dollars par année rien que pour ce volet. Cela ne comprend pas les dépenses pour la lutte contre le blanchiment d'argent, les mesures antiterroristes, la conformité ou la réglementation. On parle là uniquement des dépenses pour la sécurité. Il ne s'agit pas de dépenser pour le simple plaisir de dépenser. Ces dépenses englobent les outils, le matériel, les logiciels, les personnes qui surveillent les transactions, les gens qui mettent à l'essai nos systèmes, nos logiciels et tout le reste. Ce n'est pas le résultat d'un hasard. C'est le fruit de plusieurs années de travail. Lorsque les nouveaux joueurs collaborent étroitement avec les banques, on observe très souvent un degré plus élevé de maturité et de sécurité dans des domaines qui se caractérisent par des innovations beaucoup plus indépendantes. Une innovation a beau être exceptionnelle, il faut un certain temps avant que la société puisse déterminer comment l'utiliser en toute sécurité.
Je dirais donc que ces risques sont bien réels, mais ce n'est pas tout le monde qui déploie le même niveau d'effort pour protéger les consommateurs et les marchés financiers.
Le sénateur Black : Au fond, vous nous conseillez de tenir compte de ces deux questions dans le cadre de cette tribune.
M. Milkman : Je crois que c'est au cœur même de la question à l'étude dans cette tribune.
Le sénateur Black : Ma question d'ordre prospectif porte sur un commentaire que j'ai lu aujourd'hui dans le Financial Times. Avez-vous eu l'occasion de lire le Financial Times d'aujourd'hui, c'est-à-dire le numéro du 11 mars?
M. Milkman : Non. J'ai lu le Globe.
Le sénateur Black : Je voudrais vous lire un extrait, et j'aimerais savoir ce que vous en pensez. C'est à la première page de la section des affaires du Financial Times d'aujourd'hui. Il s'agit d'une citation de Blythe Masters, l'ancienne chef du service des marchandises mondiales à JP Morgan, et qui est maintenant nommée directrice générale d'une jeune entreprise de cryptomonnaie dans laquelle elle a investi. Elle réagit aux préoccupations des libertaires, qui affirment que le bitcoin existe parce que les gens veulent éviter les grandes entreprises et la grosse machine gouvernementale. Elle rejette cet argument en disant ceci :
Ils affirment vouloir que le monde change, mais nous y parviendrons en adoptant de nouvelles technologiques qui permettront d'accroître notre efficacité. L'un des plus grands défis de notre temps sera de réduire ce qui constitue une source de friction, à savoir les coûts des transactions financières.
Qu'en pensez-vous?
M. Milkman : Je ne sais pas si je peux me prononcer du point de vue d'une entreprise. En tant que professionnel de la sécurité, je dirais qu'il s'agit d'une observation intéressante. Je trouve intéressante l'idée d'avoir une monnaie qui vise l'anonymat et l'indépendance; une telle monnaie présente peut-être une certaine valeur, mais elle a toujours été utilisée, en premier, par des gens qui ont une bonne raison de vouloir rester anonymes.
Le blanchiment d'argent et le financement des activités terroristes ne datent pas d'hier et ils ne disparaîtront pas de sitôt; pourtant, la friction ne tient pas aux différents types de devises. On ne réglera pas le problème en appuyant telle ou telle monnaie. S'il y a de la friction, c'est parce qu'on veut, d'une part, garantir une valeur pour les gens et, d'autre part, assurer un degré de transparence concernant les activités monétaires à l'échelle mondiale.
Le sénateur Black : Merci beaucoup, monsieur Milkman. C'est très utile.
Le président : Monsieur Milkman, vous pourriez peut-être nous décrire certaines des tâches que vous accomplissez dans le cadre de vos fonctions, évidemment, ou le travail que fait toute autre personne occupant un poste équivalent — je ne veux pas tout réduire à la Banque TD — et nous dire comment vous abordez la question des cryptomonnaies et de la sécurité. Vous avez beaucoup de responsabilités sur les épaules.
Un des témoins précédents nous a remis une caricature qui, à mon avis, résume très bien la situation. On y voit une personne, avec une cagoule sur la tête et une arme à feu entre les mains, debout devant un commis de banque, qui lui dit : « Avez-vous essayé d'aller en ligne? » Je crois que ce dessin a été publié après la fin de semaine où près d'un demi-milliard de dollars avaient été prélevés dans les comptes bancaires auprès d'institutions financières très réputées à la suite d'une atteinte à la cybersécurité.
Dans votre cas, avez-vous adopté une approche proactive ou réactive? Pouvez-vous nous dire quelques mots sur ce que vous faites? Combien de fois recevez-vous des attaques? S'agit-il d'un problème quotidien ou récurrent?
M. Milkman : Les individus appartenant au crime organisé essaient sans cesse de nous attaquer, de scruter nos activités et de déceler les faiblesses de nos systèmes de défense, et ce, des milliers de fois par jour.
Le président : Par jour.
M. Milkman : C'est ce qui explique le montant que nous consacrons, et vous pouvez comprendre à quel point la tâche est ardue. Quand vous avez 24 millions de clients, des milliers de partenaires commerciaux et de nombreux fournisseurs, il faut faire une distinction entre, d'une part, ces gens, qui cherchent généralement à poursuivre leurs propres intérêts et à utiliser vos services ou à s'associer avec vous et, d'autre part, les méchants qui essaient de se faire passer pour ces autres clients. Cet aspect est devenu très difficile.
Je vais prendre l'exemple de la Banque TD. J'y suis arrivé il y a environ cinq ans et demi. À l'époque, l'équipe de base chargée de la sécurité comptait entre 40 et 45 personnes, et nous dépensions probablement 8 millions de dollars environ par année. Aujourd'hui, cette équipe compte entre 250 et 275 membres, sans parler des centaines de personnes qui s'occupent d'autres travaux liés à l'infrastructure afin de protéger la banque. Certains membres de notre équipe surveillent l'économie souterraine. D'autres collaborent avec des spécialistes du renseignement sur les menaces en Chine, des experts en Ukraine, des experts qui surveillent le clan Poutine en Russie et des experts qui guettent la menace croissante du cyberterrorisme à l'échelle mondiale.
À mon sens, il ne s'agit plus d'avoir un professionnel en cybersécurité qui lutte tout seul contre un pirate informatique, comme beaucoup de personnes pourraient le croire; il s'agit maintenant d'avoir une grande division dotée d'un mandat et d'un budget semblables à ceux de tout autre grand service au sein d'une organisation. La différence, c'est que nous essayons de résoudre des problèmes d'une très grande urgence. Mon téléphone cellulaire est actuellement éteint. Il ne sonnerait pas, mais à tout moment, je verrais un compte rendu des incidents possibles à longueur de journée.
La réalité, c'est que nous avons raisonnablement réussi à limiter les cas de fraude et nous avons évité de servir de moyen pour le blanchiment d'argent, mais cela ne s'est pas fait sans effort. Si vous avez suivi ce qui s'est passé l'année dernière, vous saurez que plus d'un milliard de numéros de carte de crédit ont été volés en 2014, non pas auprès des banques, mais plutôt auprès des commerçants. Cela nous amène à effectuer de nouveaux investissements et à commencer à travailler avec les commerçants pour essayer de moderniser leurs systèmes, parce que, dans bien des cas, le risque ne provient pas de la banque elle-même, mais des partenaires commerciaux ou des gens qui font semblant de mener des activités bancaires. Voilà pourquoi nous sommes un peu nerveux lorsque des gens qui n'ont pas de structures de sécurité solides veulent faire des transactions bancaires, car ce sont les banques qui paient la note. Très souvent, nous finissons par payer des garanties aux consommateurs. Nous avons l'impression de payer deux fois, parce que nous prenons les mesures de protection nécessaires et, dans bien des cas, ce sont nos partenaires, des tiers ou des commerçants qui se font pirater et qui deviennent victimes d'une atteinte à la sécurité.
Le président : Eh bien, nous vous avons posé beaucoup de questions sur l'état actuel des choses. Maintenant, nous allons vous rendre la tâche difficile. Nous allons vous demander de lire dans votre boule de cristal, ce qui n'est jamais facile. D'ici 5, 10 ou 15 ans, allons-nous voir la disparition des cartes de crédit, des cartes en plastique, c'est-à-dire des transferts de fonds au moyen d'une carte? Songeons à des applications comme Apple Pay et PayPal, qui permettent de transférer des fonds à partir de téléphones cellulaires. Selon votre boule de cristal, d'ici 20 ans, y aura-t-il encore des cartes de crédit?
M. Milkman : Je ne pense pas. Je crois qu'un téléphone cellulaire est probablement un moyen plus sûr. Nous parlons souvent d'identification et d'authentification. Vous en avez sans doute entendu parler un peu, mais quand un individu veut faire faire une transaction bancaire ou un transfert de fonds, on commence par lui demander qui il est. Il s'agit là de son identité. Ensuite, une fois qu'on sait qui est la personne, on lui demande comment on peut vérifier cette information. Il s'agit là de l'authentification. Comment savoir que la personne est bel et bien qui elle prétend être? On peut s'y prendre de trois façons. On peut lui demander une information dont elle est au courant, comme un mot de passe, le nom de jeune fille de sa mère, quelque chose qui peut être reproduit. On peut sauvegarder cette information et demander à la personne de nous la fournir chaque fois. C'est une possibilité. C'est mieux que rien, mais ce n'est pas nécessairement très rigoureux. En effet, quelqu'un pourrait voler le mot de passe.
L'autre moyen utilisé dans l'identification à deux chiffres, c'est quelque chose que la personne possède. C'est une chose physique qui ne peut pas être reproduite. Un téléphone cellulaire en est un bon exemple. Chaque téléphone cellulaire est doté de sa propre adresse physique et d'un lien avec une compagnie de téléphone. Si on pouvait saisir cette information, il serait très difficile pour une personne de la reproduire. Voilà donc un exemple de ce que la personne possède. Un autre exemple serait un porte-clé ou un jeton RSA, pour ceux qui savent de quoi il s'agit.
Troisièmement, il s'agit de déterminer qui vous êtes. Récapitulons : ce que vous savez, c'est un mot de passe; ce que vous avez, c'est un téléphone cellulaire ou un porte-clé; et, enfin, qui vous êtes, c'est la biométrie, votre ADN ou votre empreinte digitale si vous utilisez un iPhone. Sur ce plan, il y a une bonne et une mauvaise nouvelle.
Le fait est qu'une carte en plastique n'est pas très efficace, car elle peut être reproduite. Pour ce qui est d'une carte à puce, il y a moins de risques qu'elle soit reproduite; on passe donc au deuxième niveau d'authentification, mais ce n'est toujours pas pratique.
Par contre, une puce dans un téléphone cellulaire, que tout le monde semble utiliser, constitue la façon la plus probable dont nous ferons des transactions bancaires d'ici 10 ans. C'est ce que je prévois.
Voici maintenant la mauvaise nouvelle, selon ma boule de cristal. À l'échelle mondiale, Internet a permis d'éduquer beaucoup de personnes, si bien que les gens ayant accès à des ressources technologiques seront plus nombreux que jamais auparavant. Parallèlement, il y a une disparité de plus en plus évidente entre les riches et les pauvres. Cet ordre social binaire, conjugué à un nombre record de gens instruits — qui n'ont pas nécessairement accès à la richesse — et l'omniprésence d'Internet et de la technologie pourraient créer des conditions idéales pour une jolie tempête. J'ai plutôt des réserves à propos de la situation au cours des 10 prochaines années, car il y aura un nombre important et probablement croissant d'innovations de la part de gens qui n'ont pas accès à une meilleure qualité de vie, mais qui en sont conscients.
Je ne dirais pas que j'ai une vision pessimiste de l'avenir. Nous allons suivre le rythme de notre mieux, mais n'oublions pas que les forces qui nous ont placés dans cette situation sont toujours là.
Le président : Voilà qui met fin à la première série de questions. Il y a un sénateur qui veut intervenir au deuxième tour.
Le sénateur Massicotte : Étant donné que le président a pris l'initiative de s'écarter un peu du sujet, permettez-moi de dire que je trouve cette question très intéressante. En fait, j'essaie peut-être de trouver un réconfort. Nous étions récemment aux États-Unis, et quelqu'un a dit que le code à quatre chiffres ne servait à rien, car il peut être piraté en moins d'une demi-heure.
Je songe à mon expérience avec un de vos concurrents. Au lieu de permettre un code à quatre chiffres, on m'a demandé plutôt le nom de jeune fille de ma mère. Au Québec, les femmes gardent leur nom de jeune fille, alors autant dire que c'est là un secret de Polichinelle. Il faut deux secondes pour trouver le nom de jeune fille de ma mère. Ce n'est pas du tout sécuritaire. Ensuite, on m'a demandé ce que j'aime comme type de voiture. Eh bien, si quelqu'un sait quel type de voiture je conduis, il aura probablement une idée de ce que j'aime. On achète généralement la voiture qu'on aime. En tout cas, je n'ai pas trouvé cela très rassurant. Je me suis dit : « Eh bien, mon vieux, la sécurité fait vraiment défaut. »
Comment faire pour éviter d'être aux prises avec un grave problème et de devoir discuter avec la banque pour savoir à qui il faut en imputer la faute? La banque nous remboursera-t-elle, oui ou non? C'est plutôt inquiétant.
M. Milkman : En effet, et c'est ainsi que je passe mes journées. Je suis de plus en plus convaincu qu'au regard des types de questions historiques qui sont posées, les États-Unis ont une longueur d'avance, en raison de la normalisation accrue des bureaux de crédit et des données qui sont recueillies. Toutefois, cela se fait au détriment de la vie privée; il y a donc un certain équilibre entre la sécurité et la protection de la vie privée.
Je crois que nous finirons par recourir à ce que nous appelons l'authentification hors bande, qui combine deux éléments : ce que vous savez, c'est-à-dire certaines des questions qui pourraient être posées, et ce que vous avez, comme un texte envoyé à un numéro qui est connu comme étant le vôtre.
Cette approche est, en fait, pas mal efficace. Ainsi, il serait difficile pour un fraudeur d'avoir votre cellulaire en sa possession et de savoir, en même temps, quel type de voiture vous conduisez.
Nous devons abandonner l'idée de qualifier un système de sécuritaire ou de non sécuritaire. En réalité, nous examinons 99 p. 100 des cas; d'habitude, les gens ne sont pas exposés à des risques, et il y a un nombre limité de transactions frauduleuses. Je crois que toutes les banques continueront de relever la barre, petit à petit. Et nous utilisons tous différentes technologies et options pour continuer de devancer les fraudeurs éventuels.
Le sénateur Massicotte : Voulez-vous parler du système américain? J'ai également un compte à la Banque d'Amérique. Lorsque je m'y rends pour retirer de l'argent, le caissier demande un passeport, ou il y a maintenant des cartes de débit avec photo. Sans quoi, je ne peux pas retirer de l'argent. Lorsque j'effectue des opérations bancaires en ligne, il y a des photos et un bon système de vérification. On doit identifier la photo et saisir un numéro à six chiffres.
Les cartes de crédit ne sont pas encore munies de puce. La banque a un système de sécurité très rigoureux pour protéger les comptes, mais a toujours les vieilles cartes de crédit. Elle est enfin en train de reprendre son retard. Pourquoi y a-t-il d'aussi grandes différences au niveau de la sécurité?
M. Milkman : J'ai énormément travaillé des deux côtés de la frontière, et je dois dire que la réticence des États-Unis à adopter les cartes à puce et les NIP déconcerte tout le monde. Même maintenant, ils utilisent la puce et la signature, ce qui n'est pas aussi bon. Je pense qu'ils croient que les frais imposés aux petits détaillants pour renforcer les systèmes afin de protéger les opérations par carte seraient tout simplement trop élevés. Les banques qui finissent par payer la majorité des garanties aux États-Unis, comme c'est le cas au Canada, auraient probablement adopté cette nouvelle façon de faire bien avant, même s'il y avait des efforts de lobbying contre cette nouvelle mesure.
Je ne pense pas qu'il y a une justification pour expliquer pourquoi les États-Unis fonctionnent ainsi dans ce secteur particulier. Il n'y a pas de réponse. Ils adopteront les puces et les NIP. Ils commencent à les mettre en vigueur graduellement. Je pense que d'ici 2017, tous les détaillants, à l'exception des plus petits, auront ces mécanismes. Les petits détaillants ne les auront probablement pas avant 2020, mais les commerces de détail les mettront en place. Ils ont vu suffisamment de données probantes cette année qui démontrent que c'est une mauvaise idée de ne pas les avoir.
Entre-temps, les unités du crime organisé qui volaient les guichets automatiques au Canada, par exemple, se sont pratiquement tous déplacées au sud de la frontière pour faire le plus de dommages possible avant que la carte à puce devienne monnaie courante. On voit des banques américaines augmenter considérablement leurs mesures pour protéger les opérations aux guichets automatiques ou directement dans les comptes, mais elles ne peuvent rien faire au sujet des cartes, car les commerçants ne peuvent pas lire la puce.
Le sénateur Massicotte : Pourriez-vous nous parler de la technologie qui utilise l'empreinte du pouce? Est-ce très sécuritaire? Vous avez évoqué tout à l'heure votre...
M. Milkman : Mon iPhone.
Le sénateur Massicotte : Cette technologie est-elle vraiment bonne?
M. Milkman : Oui, elle l'est. Vous avez posé une question sur la vie quotidienne d'une personne qui œuvre dans le domaine de la cybersécurité. Nous, comme bien d'autres banques, avons dû examiner rigoureusement Apple Pay, et chez TD aux États-Unis, nos cartes Visa fonctionnent avec Apple Pay. Nous avons d'autres partenaires aux États-Unis. Ce faisant, nous avons dû évaluer la sécurité sous toutes ses coutures avec ce partenariat, car de nombreux aspects n'ont rien à voir avec les services bancaires.
La technologie d'authentification par le pouce d'Apple nous a rendus nerveux car nous n'étions pas certains si elle était bonne — nous savions qu'elle l'était —, mais nous avions peur que toutes ces informations soient recueillies dans une base de données chez Apple. Cela nous a fait peur, car si ces données étaient volées — et tout se fait voler à un moment donné —, une personne aurait ce type de renseignements sur des centaines de millions de personnes dans le monde entier. Nous jugions que c'était très dangereux.
Nous avons dû vérifier auprès de l'équipe de sécurité d'Apple pour savoir exactement si ces données étaient entreposées et, le cas échéant, à quel endroit. En fait, elles ne quittent jamais l'appareil de la personne. Si nous avions découvert que ce n'était pas le cas, nous n'aurions jamais fait affaire avec Apple aux États-Unis.
Le sénateur Massicotte : Puisque c'est l'appareil d'une personne, est-ce sécuritaire? Quelqu'un peut-il facilement le pirater?
M. Milkman : Ce n'est pas facile à pirater. Il y aura des cas au cours des prochaines années où certains appareils seront piratés, mais par l'entremise de quelques techniques simples qui ne sont pas électroniques, mais plutôt physiques.
Le sénateur Massicotte : Son utilisation est-elle très fiable?
M. Milkman : Je pense que oui, d'après notre expérience. Nous, en tant que banque, n'appuierons pas une technologie en particulier, mais je dirais que nous avons dû faire beaucoup d'essais pour déterminer si nous allions faire des affaires avec cette entreprise aux États-Unis. De façon générale, nous n'avons relevé aucune lacune importante.
Le sénateur Black : En ce qui a trait à la coopération en matière d'innovation, je sais que dans les sables bitumineux en Alberta, les principaux participants collaborent pour partager les technologies, car ils essaient de travailler de façon plus efficace. Vous avez mentionné le travail extraordinaire que votre banque fait.
Travaillez-vous avec vos concurrents pour partager les innovations?
M. Milkman : Oui, nous travaillons avec nos concurrents et avec les industries qui sont derrière les banques. L'industrie de l'énergie serait l'une de ces industries. Il y a donc deux principaux secteurs. Dans le secteur bancaire, par l'entremise de l'Association des banquiers canadiens, nous avons un ensemble de grandes banques et institutions financières qui se rencontrent régulièrement et ont aussi mis sur pied un groupe de travail. Lorsqu'il y a un incident ou une menace particulière, nous en informons toutes les institutions de façon anonyme pour qu'elles sachent ce qu'elles doivent surveiller, et non pas qui sont les fautifs.
À plus grande échelle, nous travaillons avec Sécurité publique, le CSARS, le SCRS et le CST sur un certain nombre de pratiques exemplaires et de moyens pour aider les autres industries. De façon générale, si vous êtes une banque et que quelqu'un subit un préjudice, votre institution sera également touchée d'une certaine manière, car il s'agit d'un client. N'importe quelle entité importante au Canada est un client de l'une de nos institutions.
Le sénateur Greene : Comme vous le savez, le système bitcoin ne tient pas une base de données. De ce point de vue, il est très difficile à pirater. Il ne sera peut-être pas difficile dans l'avenir de pirater une opération d'une personne, mais j'ai l'impression qu'il est virtuellement impossible de pirater une grande quantité de données, car cette grande quantité de données sur bitcoin n'existe pas vraiment, par opposition aux banques ou aux détaillants. Des commerces comme Target, comme nous l'avons vu, conservent d'énormes quantités de données et sont, par conséquent, des cibles pour les pirates informatiques. Dans cette optique, pourriez-vous nous parler des avantages et des risques pour les pirates?
Il semble que les avantages de pirater bitcoin sont très faibles, alors une telle éventualité est peu probable, tandis que les avantages de pirater une banque ou peut-être d'autres établissements tels que des commerces de détail sont probablement élevés en raison de la quantité de données qu'ils conservent.
M. Milkman : Je dois dire que le modèle est différent. Par exemple, admettons que tout le monde ici présent a beaucoup de bitcoins. Admettons que nous pouvons les manipuler et les gérer de la manière dont nous gérons d'autres comptes sur ordinateur. Un très grand nombre d'ordinateurs personnels sont compromis en ce moment. Admettons que vous vous faites voler vos bitcoins. Personne d'autre n'en souffre, mais cela change l'approvisionnement. Votre problème en ce moment, c'est qu'étant donné qu'aucun registre central n'est tenu par des banques centrales, quelqu'un a cet argent dans un pays étranger. Donc, premièrement, vous ne pouvez pas prouver que c'était votre argent, deuxièmement, vous ne pouvez jamais le récupérer et, troisièmement, il ne peut jamais être retracé. Vous n'avez essentiellement aucun recours.
Si vous aviez une base de données centrale et de nombreuses autres mesures semblables — prenons l'exemple de Target —, vous sauriez exactement les numéros de carte qui ont été volés, et vous sauriez que vous pourriez réémettre des cartes, protéger les clients ou leur offrir une surveillance spéciale de leurs renseignements personnels. Vous auriez ainsi des recours. De plus, vous pourriez offrir une protection aux consommateurs. Si vos bitcoins se font voler, vous pourrez peut-être prouver que vous avez été victime de piratage, mais personne ne pourra le démontrer avec des numéros de série plus tard.
Le président : Monsieur Milkman, je n'ai pas encore décidé si j'ai été étonné ou non lorsque j'ai demandé combien de fois la banque est la cible de cyberattaques par jour. Vous avez dit que c'était un millier de fois par jour. Cela semble beaucoup, mais j'imagine que si c'est tous les jours, vous y êtes assez habitué. J'aimerais respectueusement vous poser la question suivante : qu'est-ce qui vous empêche de dormir la nuit? Si ce n'est pas ces attaques, alors qu'est-ce que c'est? Il y a certainement quelque chose qui vous tient éveillé la nuit, sans vouloir entrer dans votre vie personnelle.
M. Milkman : Lorsque vous œuvrez dans ce secteur pendant 20 ans comme moi, il n'y a rien qui vous empêche de dormir.
J'ai déjà eu de longues nuits. Il y a quelques années, en 2012, un groupe soutenu par les Iraniens lançait des attaques pour causer des dénis de service afin de bloquer l'accès Web aux banques, surtout aux banques américaines, mais étant donné que nous sommes également une banque américaine, nous étions sur la liste. Il y a eu certaines nuits où nous avons travaillé très fort pour nous assurer que les clients de TD puissent effectuer des opérations bancaires le lendemain. Nous nous en sommes bien sortis dans l'ensemble.
Nous avons passé quelques nuits assez difficiles. Il y a des menaces qui font peur, mais elles sont davantage liées à la protection fondamentale d'Internet. Elles sont moins liées à des torts que des gens causeraient à TD ou à une autre banque. Elles sont davantage liées à la possibilité de perdre Internet complètement, par exemple, pour une certaine période. Cela perturberait pas mal nos activités. Nous pensons à certains scénarios de ce genre.
Le sénateur Massicotte : Je pense que dans un article du Globe and Mail ou d'un autre journal, on parlait d'un incident qu'une personne a eu avec la CIBC où sa carte a été annulée à sept reprises. C'était un désastre. Avez-vous lu l'article?
M. Milkman : Non, pas celui-là.
Le sénateur Massicotte : Sa carte est constamment annulée et copiée. Il n'arrive pas à obtenir les services. Est-ce inhabituel? L'article nous donne une bonne histoire, de toute évidence, mais il ne semble pas y avoir une raison particulière pour laquelle cet homme est continuellement ciblé.
M. Milkman : Nous devons dire que les entités les moins protégées à l'heure actuelle dans le milieu bancaire sont les consommateurs et les petites entreprises. Nous savons à quel point il est difficile de protéger un ordinateur personnel. Je ne connais pas les statistiques, mais souvent, une personne dont l'ordinateur a été compromis est incapable de nettoyer sa machine. Le pirate peut essentiellement voir toutes les opérations financières et continuera sans cesse à les compromettre.
En fait, plus cela vous arrive, plus il est probable que cela vous arrive à nouveau si vous êtes sur la liste d'un pirate. Dans le cas de ce genre de vol de carte de crédit ou de fraude directe, c'est quelqu'un aux États-Unis, au Canada, en Ukraine ou en Russie qui vous a sur sa liste. Au moyen de son ordinateur, il vous surveille et sait lorsque vous êtes en train de faire vos opérations en ligne, car un message apparaît sur son ordinateur. Ensuite, un enregistreur de frappe enregistre le numéro de votre nouvelle carte, puis il est libre d'effectuer une transaction.
Souvent, les gens dont les machines sont compromises feront l'objet de ces attaques plus d'une fois. Ce n'est pas rare.
Le sénateur Massicotte : Qu'en est-il du nouveau logiciel dont on entend beaucoup parler dans les journaux? Les gens nous ont parlé des logiciels malveillants et de ce genre de choses, grâce auxquels il est très facile d'entrer dans notre système puis de nous faire chanter pour nous soutirer de l'argent, que ce soit avec des photos de famille ou peu importe. Est-ce quelque chose dont nous devrions nous inquiéter?
M. Milkman : CryptoWall est fréquent, mais individuel. Comme nous sommes une banque, nous l'avons vu si souvent que nous le bloquons habituellement. Si quelqu'un réussit à l'obtenir, nous avons des procédures pour réinstaller l'image de la machine et la nettoyer. On ne paierait jamais. Pour une personne, c'est beaucoup plus difficile car elle doit s'adresser à un professionnel de l'informatique et, si elle n'a pas de copie de sécurité dans un endroit sécuritaire, elle risque de perdre des données. C'est une nuisance.
Nous avons vu relativement peu de gros problèmes, mais il est arrivé que quelques petites entreprises doivent cesser leurs activités pour quelques semaines à cause de ces attaques. Elles peuvent être nuisibles.
Le sénateur Massicotte : Qu'en est-il aux États-Unis, où il y a des problèmes avec les courriels, comme nous l'avons vu avec Hillary Clinton? Qu'en est-il de nos courriels? Quelqu'un peut-il obtenir des copies de courriels automatiquement, surtout avec les iPad, qui sont moins sécurisés que les BlackBerry? Devrions-nous nous en inquiéter?
M. Milkman : Le fait que des gens lisent vos courriels ne serait pas au haut de ma liste de préoccupations. Ce ne serait pas le cas le plus probable. C'est possible et le système gmail de Google est piraté périodiquement.
Le système de courriel Yahoo a été piraté. Il y a donc eu des cas. Mais le plus probable, si quelque chose de la sorte arrive, c'est un logiciel malveillant qui attaque un ordinateur personnel. Quelqu'un a réussi à vous faire cliquer sur un site sur lequel vous n'auriez pas dû cliquer ou à ouvrir une pièce jointe que vous n'auriez pas dû ouvrir et, il peut essentiellement voir ce qui se trouve dans votre ordinateur, ce qui signifie qu'il peut voir vos noms d'utilisateur et vos mots de passe pour accéder à vos courriels. Il peut créer un courriel ou un pourriel en votre nom. La plupart d'entre nous n'ont pas de courriels assez intéressants pour que quelqu'un veuille les lire, mais certaines personnes, comme des sénateurs, par exemple, pourraient s'en inquiéter un peu plus.
Mais ce n'est pas vraiment différent de n'importe quel autre mécanisme de protection pour les ordinateurs personnels.
Le sénateur Massicotte : Nous avons de nombreux logiciels qui vous vendent ces protections. Il y a Passbox, Dropbox, Password Box et d'autres. Ce qu'ils disent, c'est de saisir tous vos mots de passe et renseignements personnels sur ce site. Est-ce que cela règle le problème où une personne peut s'emparer de notre programme? Cela veut-il dire que vous avez une sécurité accrue, ou les gens peuvent-ils accéder à votre système?
M. Milkman : Ou c'est un autre endroit où les pirates peuvent voler l'information. Je ne sais pas si c'est forcément mieux.
Le sénateur Massicotte : Pourquoi pas? Ce pourrait être mieux que les renseignements normaux dans l'adresse ou les notes.
M. Milkman : Je ne pense pas que ce serait la méthode que j'utiliserais.
Le sénateur Massicotte : Quelle méthode utiliseriez-vous?
M. Milkman : Je fais une rotation de mes mots de passe et je ne les écris presque jamais. Je les change tous les 45 jours. J'ai un nombre limité de numéros de compte et des données précises que je garde dans un coffre-fort, et j'ai d'autres mesures qui sont sensées à mes yeux, mais que personne d'autre ne comprendrait. Il y a donc différentes façons d'entreposer ces données électroniquement.
Le sénateur Massicotte : Vous les changez tous les 45 jours?
M. Milkman : Je change mes mots de passe tous les 45 jours. Je suis obligé de le faire pour ceux du travail. Tous les mots de passe chez TD doivent être changés tous les 30 à 45 jours.
Le sénateur Massicotte : J'ai du mal à me rappeler le nom de mes enfants, alors imaginez si je dois changer mon mot de passe tous les 45 jours.
Le sénateur Tkachuk : Combien d'enfants avez-vous?
Le sénateur Massicotte : Je ne me souviens pas; quatre, à ma connaissance.
Le président : Chers collègues, vous vous éloignez trop du sujet. Monsieur Milkman, j'ai commencé par dire que c'est un sujet très compliqué. Je ne veux pas que vous preniez mal que je vous dise que c'est toujours compliqué pour nous mais, au nom de tous les membres du comité aujourd'hui, je tiens à vous dire que nous vous sommes reconnaissants d'avoir comparu aujourd'hui. Vous nous avez été d'une grande utilité pour y voir plus clair dans l'étude de cet important sujet. Merci de vous être joint à nous.
M. Milkman : Monsieur le président et honorables sénateurs, je vous remercie de m'avoir invité.
(La séance se poursuit à huis clos.)
(La séance publique reprend.)
Le président : Est-ce approuvé?
Le sénateur Tkachuk : J'en fais la proposition.
Le sénateur Massicotte : J'appuie la motion.
Le président : La motion est adoptée.
(La séance se poursuit à huis clos.)