Nous utilisons les témoins de navigation (cookies) afin d'opérer et d’améliorer nos services ainsi qu'à des fins publicitaires.
Le respect de votre vie privée est important pour nous. Si vous n'êtes pas à l'aise avec l'utilisation de ces informations,
veuillez revoir vos paramètres avant de poursuivre votre visite.Gérer vos témoins de navigationEn savoir plus
Fuite de données : Desjardins connaissait sa vulnérabilité, mais n’a rien fait
Le vol de données personnelles dont a été victime Desjardins est la pire crise qu'ait eu à traverser Guy Cormier depuis son arrivée à la présidence du Mouvement Desjardins.
Trois nouvelles enquêtes écorchent le Mouvement Desjardins sur la protection des renseignements personnels de ses clients avant la fuite massive révélée en juin 2019. Le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec et l’Autorité des marchés financiers ont tous dénoncé le manque de prudence du groupe financier coopératif.
Malgré que Desjardins était informé de la menace, elle n’a pas agi avec diligence, a fait savoir la présidente de la Commission d’accès à l’information du Québec, Diane Poitras. Son enquête révèle que la copie de données sur des clés USB par un employé était une vulnérabilité qui avait déjà été identifiée.
Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, est d’ailleurs d’avis que les mesures de sécurité étaient plus importantes pour les menaces externes qu’internes. C’est, selon lui, une des leçons pour les autres entreprises. Il ne faut pas négliger les menaces internes.
L’employé en question travaillait au sein du département de marketing de Desjardins. Ses droits d’accès aux bases de données ne lui permettaient pas normalement d’obtenir les renseignements personnels qu’il a pu dérober.
Ces renseignements se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing, contrairement à ce que prévoient les directives de Desjardins, peut-on lire dans le rapport de la Commission d'accès à l'information du Québec.
Le blocage des ports USB n’était pas activé, il n’y avait aucune limite physique quant au volume de données pouvant être téléchargées et la surveillance des accès aux répertoires était essentiellement passive.
Un contenu vidéo est disponible pour cet article
La suite est connue : l’employé a pu potentiellement transférer, sur des clés USB, les profils financiers et d’identité de 9,7 millions de personnes au Canada et à l’étranger, dont près de 7 millions de Québécois, pendant 26 mois à compter de janvier 2016, avant que Desjardins n’en soit avisée par les policiers.
Parmi les possibles victimes de la fuite, 4 millions de personnes n’étaient plus membres ou clients. Certains des comptes inactifs avaient plusieurs décennies, a souligné Daniel Therrien. Leurs informations auraient dû être détruites. Il ajoute que l’institution a somme toute été trop lente à réagir. Bref, la plus importante brèche de sécurité de l'histoire dans le secteur bancaire canadien est attribuable à un ensemble de lacunes administratives et technologiques.
Les deux organismes concluent que Desjardins n’a pas respecté plusieurs obligations imposées par les lois en vigueur, mais elle n’en subira aucune nouvelle conséquence.
En effet, la loi fédérale sur la protection des renseignements personnels et des documents électroniques et la loi provinciale sur la protection des renseignements personnels dans le secteur privé font présentement l’objet de réforme législative à Ottawa et à Québec pour en resserrer les exigences et les pénalités. Jusqu’à 25 millions de dollars d’amendes sont prévus dans les deux réformes.
Les mesures de sécurité ne vont pas encore assez loin
L’Autorité des marchés financiers a également dévoilé les conclusions de sa propre enquête lundi. Elle ordonne à Desjardins de mettre en place une série de mesures correctives ainsi que des mécanismes de contrôle interne robustes afin d’atténuer efficacement les risques d’incidents opérationnels [...] et de respecter ses obligations légales de suivre des pratiques de gestion saine et prudente.
L’organisme réglementaire reconnaît que Desjardins a mis en place différentes mesures pour rehausser son niveau de maturité global en matière de sécurité de l’information et de protection des renseignements personnels.
Ces mesures semblent encore insuffisantes, puisqu’elles doivent aller encore plus loin afin de répondre pleinement à ses exigences et de satisfaire aux meilleures pratiques observées au sein des institutions financières d’importance systémique.
Desjardins prend acte des enquêtes
Par communiqué, le Mouvement Desjardins dit prendre acte des résultats des trois enquêtes et assure qu’il a considérablement renforcé sa position en matière de sécurité et précise que, selon ses informations, ce sont les renseignements de 4,2 millions de membres sur le total de 9,7 millions de personnes qui auraient été transmis à des tiers.
Un bureau de la sécurité doté d’une enveloppe de 150 millions de dollars a notamment été mis en place fin 2019; elle serait augmentée à plus de 250 millions l'année prochaine.
Appelé à commenter plus en détails les conclusions des enquêtes, le groupe financier a indiqué qu'aucun dirigeant n'accordera d'entrevue sur le sujet.