•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol de données chez Desjardins : réunion d'urgence à Ottawa

Affiche d'un guichet automatique de Desjardins.

L’affaire des vols de données par un employé malveillant de Desjardins touche 2,7 millions de particuliers.

Photo : La Presse canadienne / Paul Chiasson

Radio-Canada

Bien des questions seront posées à Desjardins lundi à Ottawa lors de la réunion d’urgence du Comité permanent de la sécurité publique et nationale tenue spécialement pour comprendre ce qui s’est passé dans l’affaire du vol de données qui a éclaté le 20 juin dernier et éviter que cela ne se reproduise.

C’est une tribune qu’on offre à Desjardins pour que [l’entreprise] explique – dans la mesure du possible, parce qu’il y a une enquête présentement – ce qui s’est passé, quelles sont les mesures déjà en place et s’il y avait quelque chose qui aurait pu être fait pour éviter le vol de données confidentielles survenu à la mi-juin, affirme Michel Picard, député libéral et membre du Comité permanent.

Ce n’est pas un procès, mais c’est quand même une séance de travail où on pose beaucoup de questions, a ajouté celui qui a été analyste au renseignement criminel de l'équipe intégrée de la police des marchés financiers de la Gendarmerie royale du Canada (GRC) en entrevue sur RDI.

L’affaire du vol de données par un employé malveillant de Desjardins touche 2,7 millions de particuliers, ainsi que 173 000 entreprises, soit un peu plus de 40 % des clients du groupe financier.

Parmi les personnes qui ont été officiellement invitées à témoigner, on retrouve des représentants de Desjardins et du Centre canadien pour la cybersécurité, ainsi que l’ancien directeur du Service canadien du renseignement de sécurité (SCRS), Dick Fadden.

Le « risque humain », difficile à contrôler

Selon M. Picard, le Comité permanent a déjà entamé une étude sur la cybersécurité il y a six mois, bien avant la révélation du vol des données chez Desjardins.

Un homme portant un costume de couleur mauve pâle en entrevue dans le studio de RDI. Un logo du Mouvement Desjardins est visible en toile de fond.

Michel Picard, député libéral et membre du Comité permanent de la sécurité publique et nationale de la Chambre des communes.

Photo : Radio-Canada

On savait qu’il y avait des lacunes dans l’ensemble des institutions financières, puisque le niveau de sécurité n’est pas le même partout, explique-t-il. Toutes les informations recueillies permettront au Comité permanent de voir où sont les failles et les faiblesses pour que nous puissions faire des recommandations pour le long terme.

Le plus grand risque, toujours selon M. Picard, est le « facteur humain », comme cela a été le cas chez Desjardins, où un employé de la coopérative a perpétré le vol des données.

Des noms, prénoms, dates de naissance, numéros d'assurance sociale, adresses, numéros de téléphone, courriels, ainsi que d'autres renseignements portant sur les « habitudes transactionnelles » et les « produits » bancaires détenus par les clients de Desjardins ont ainsi été transmis illégalement à des tiers.

Au niveau des ordinateurs et des logiciels, il y a des solutions extraordinaires pour protéger les données et la plupart des institutions financières utilisent la haute technologie pour cela. Le seul risque contre lequel on n’est pas protégé est le risque humain, puisqu’il n’y a pas de contrôle sur l’employé qui décide un matin de commettre l’irréparable.

Michel Picard, député libéral et membre du Comité permanent de la sécurité publique et nationale

« Ceci dit, ajoute-t-il, il y a beaucoup de solutions qui s’annoncent pour réduire ce risque-là, notamment au niveau des restrictions d’accès. »

Victime d'un vol d'identité depuis 25 ans

Les victimes du vol des données devront toutefois s’armer de patience, affirme M. Picard, puisque leurs informations personnelles sont actives sur le marché et pourraient possiblement être utilisées cette année, dans trois ans ou dans dix ans.

Tel est le cas de Marc André De la Ronde, qui s’est battu pendant plus de 25 ans pour rétablir son identité. Victime d’un vol de données personnelles en 1992, M. De la Ronde s’est même retrouvé en prison pour un crime qu’il n’avait pas commis.

Un soir, je me suis fait arrêter pour un arrêt [obligatoire] que j’ai fait un peu trop rapidement et puis je me suis retrouvé quelques jours plus tard [dans la prison de] Bordeaux [à Montréal] pour finir une sentence de 18 mois qui ne m’appartenait pas.

Marc André De la Ronde, victime d’un vol d’identité en 1992.
Marc André De la Ronde.

Marc André De la Ronde a souffert pendant plus de 25 ans des conséquences du vol de ses données personnelles.

Photo : Radio-Canada

Croyant avoir réglé cette affaire en 1994, M. De la Ronde apprend en 2015, à sa grande surprise, que le dossier criminel en son nom existe toujours. Il se voit ainsi refuser un poste au sein d’une entreprise financière qui effectue une vérification de ses antécédents.

Depuis 1992, j’essaie de nettoyer tout ça, mais ça dure, ça dure et ça dure, lâche-t-il en entrevue sur RDI.

Son cas n’a finalement été résolu que cette année, la Cour supérieure du Québec ayant ordonné d’effacer les traces de son dossier criminel.

« Malheureusement, mon cas n’est pas une anomalie, conclut M. De la Ronde. C’est déjà arrivé dans le passé et ça arrive encore souvent. »

Vol de données chez Desjardins : entrevue avec Michel Picard

Cybersécurité

Économie