•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol de données : Desjardins se défend devant un comité à Ottawa

Le PDG de Desjardins, Guy Cormier, a témoigné devant un comité parlementaire, lundi, à la suite du vol de données.

Photo : Radio-Canada

Radio-Canada

Desjardins a défendu lundi, devant un comité à Ottawa, sa gestion de la fuite massive de données qui touche près de trois millions de citoyens. L'entreprise a soumis aux parlementaires des propositions pour améliorer la protection des données personnelles des Canadiens.

Le président et chef de la direction du Mouvement Desjardins, Guy Cormier, a recommandé la mise en place d’un groupe de travail spécial et multipartite pour encadrer la protection des données personnelles.

Il a évoqué deux cas pour étayer son propos : le déploiement prochain de la technologie 5G et le système open banking (système bancaire ouvert), qui est considéré comme la prochaine révolution dans le monde de la finance. Selon M. Cormier, ces deux développements technologiques présentent des avantages, mais aussi des menaces.

Dans le cas du système bancaire ouvert, qui fait actuellement l'objet de consultations publiques, les banques seraient amenées à ouvrir leurs données à des programmeurs qui créeraient de nouvelles applications.

Le Canada est-il bien outillé pour encadrer ces développements technologiques?, a demandé M. Cormier aux membres du Comité permanent de la sécurité publique.

Selon lui, les données aujourd'hui, ça devient aussi important que l'eau, le bois et les matières premières. C'est l'économie dans laquelle on va vivre dans les prochaines années, alors il faut s'assurer que les données sont traitées avec des processus adéquats et que leur circulation se fait sur des réseaux de façon sécuritaire.

Entrevue avec Victor Henriquez à l'émission 24/60

Un groupe de travail

Le président de Desjardins suggère donc la création d’un groupe de travail spécial qui serait composé de représentants du gouvernement, ainsi que du secteur financier et des assurances, sans oublier des représentants du secteur des télécommunications et du milieu juridique.

Ce dernier aurait notamment pour mandat de conseiller le gouvernement dans l’élaboration de lois qui viseraient notamment à assurer la protection du public et qui veilleraient à effectuer une veille technologique sur les meilleures pratiques.

On ne doit pas se satisfaire du statu quo.

Guy Cormier, président et chef de la direction du Mouvement Desjardins

Même si M. Cormier a indiqué qu'il trouvait cette convocation à témoigner prématurée, il a ajouté que son témoignage est l’occasion d’alerter le législateur et le public sur la protection des données personnelles au Canada.

Appel à la vigilance

Parmi les personnes qui ont été officiellement invitées à témoigner, on retrouve également des représentants du Centre canadien pour la cybersécurité, de l'Agence du revenu du Canada (ARC), ainsi que des représentants des ministères des Finances et de l'Emploi.

C’est Mark Flynn, directeur général des opérations criminelles de la Gendarmerie royale du Canada (GRC), qui a été le premier à répondre aux questions du Comité permanent. Il a appelé les Canadiens à faire preuve de vigilance face aux tentatives de fraude qui sont en augmentation et à prendre les mesures nécessaires pour protéger leurs renseignements.

Vous devez garder un certain doute si vous recevez un supposé appel de votre banque, par exemple, dit-il. Rappelez votre banque pour vérifier si l’information est véridique.

Sans vouloir entrer dans les détails de l’affaire de Desjardins, en raison de l’enquête en cours, M. Flynn a assuré que la GRC collabore avec l’international pour identifier et poursuivre les auteurs des cybercrimes.

Nous assistons à une augmentation de la cybercriminalité, que ce soit avec la création de logiciels espions ou l’échange de renseignements contre rémunération. Un aspect essentiel de notre mandat est de cibler ces activités pour lutter efficacement contre la cybercriminalité plutôt que de nous attaquer à chaque individu.

Mark Flynn, directeur général des opérations criminelles de la GRC

André Boucher, du Centre canadien pour la cybersécurité, a de son côté évoqué les mesures que les institutions peuvent mettre en place pour minimiser la fuite des données personnelles due à la malveillance d’un employé, comme cela a été le cas dans l’affaire Desjardins.

Selon lui, il est important pour les entreprises d’investir le plus tôt possible à construire la confiance et de s’entourer de gens fiables.

Un nouveau NAS « ne protégera pas les particuliers »

La question du numéro d’assurance sociale (NAS) a été longuement évoquée au cours de la réunion, notamment par Elise Boisjoly, du ministère de l’Emploi et du Développement social.

Mme Boisjoly a dit que le NAS n’est pas un identificateur national et ne peut être utilisé pour obtenir une identification.

Le NAS à lui seul n’est pas suffisant pour accéder à un programme ou un avantage gouvernemental, ou pour obtenir des services dans le secteur privé. Des infos supplémentaires sont toujours requises.

Elise Boisjoly, sous-ministre adjointe, Direction générale des services d’intégrité du ministère de l’Emploi et du Développement social

Selon elle, le nombre de Canadiens dont le NAS a été remplacé par Service Canada en raison d’une fraude est demeuré stable, à environ 60 par année depuis 2014, malgré le nombre grandissant de fraudes.

La raison principale pour laquelle le gouvernement fédéral n’attribue pas automatiquement un nouveau NAS est « simple », affirme-t-elle, car l’obtention d’un nouveau NAS ne protégera pas les particuliers contre la fraude, étant donné que l’ancien NAS existera toujours et qu’il sera toujours lié aux particuliers.

Aucune copie possible

Le porte-parole de l’Agence du revenu du Canada, Maxime Guénette, affirme que l’institution a déjà mis en place des mesures pour « s’assurer que les employés qui accèdent aux renseignements des contribuables ne puissent le faire que dans le cadre de leur travail, afin de détecter les activités douteuses ».

Les employés sont incapables de copier les données sur des clés USB ou des disques, et ne peuvent pas utiliser leur cellulaire personnel au travail.

S’ils devaient naviguer dans des sections ou des fichiers qui ne sont pas directement liés à leur travail, un système d’alerte avertirait automatiquement leur supérieur immédiat, a-t-il ajouté. Maxime Guénette a aussi mentionné que les données des contribuables sont stockées dans des serveurs qui ne sont pas connectés à Internet.

La réunion d’urgence du Comité permanent de la sécurité publique et nationale s’est tenue cet après-midi à Ottawa. Elle visait à comprendre les circonstances du vol de données survenu le 20 juin dernier chez Desjardins et à envisager des mesures à prendre pour le futur.

Réactions

Selon le député bloquiste Rhéal Fortin, qui participait à la réunion d'aujourd'hui, le fédéral doit passer au 21e siècle. Le Bloc québécois demande au gouvernement fédéral de mettre en place le plus rapidement possible une carte d’assurance sociale plus sécuritaire, en s'inspirant notamment de l'Inde ou de l'Estonie, qui utilisent des cartes de citoyenneté cryptées à l’aide de numéros d’identification personnels ou de données biométriques, comme les empreintes digitales.

Le Parti conservateur a reproché au gouvernement libéral de ne pas être suffisamment proactif sur la question de la protection des données personnelles. Du côté du Nouveau Parti démocratique, le député Matthew Dubé a affirmé à l'émission Le 15-18 qu'on doit traiter ces crimes-là de façon beaucoup plus sérieuse. Il croit en outre que le gouvernement fédéral devrait organiser une tournée de séances publiques afin de mieux informer la population sur les risques qu'ils encourent.

L’affaire du vol de données par un employé malveillant de Desjardins touche 2,7 millions de particuliers, ainsi que 173 000 entreprises, soit un peu plus de 40 % des clients du groupe financier.

Des noms, prénoms, dates de naissance, numéros d'assurance sociale, adresses, numéros de téléphone, courriels, ainsi que d'autres renseignements portant sur les « habitudes transactionnelles et les produits bancaires détenus par les clients de Desjardins ont ainsi été transmis illégalement à des tiers.

Relisez notre couverture en direct

Cybersécurité

Économie