•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Fuite de données : Desjardins connaissait sa vulnérabilité, mais n’a rien fait

Guy Cormier quittant la conférence de presse de jeudi.

Le vol de données personnelles dont a été victime Desjardins est la pire crise qu'ait eu à traverser Guy Cormier depuis son arrivée à la présidence du Mouvement Desjardins.

Photo : Radio-Canada / Ivanoh Demers

Trois nouvelles enquêtes écorchent le Mouvement Desjardins sur la protection des renseignements personnels de ses clients avant la fuite massive révélée en juin 2019. Le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec et l’Autorité des marchés financiers ont tous dénoncé le manque de prudence du groupe financier coopératif.

Malgré que Desjardins était informé de la menace, elle n’a pas agi avec diligence, a fait savoir la présidente de la Commission d’accès à l’information du Québec, Diane Poitras. Son enquête révèle que la copie de données sur des clés USB par un employé était une vulnérabilité qui avait déjà été identifiée.

Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, est d’ailleurs d’avis que les mesures de sécurité étaient plus importantes pour les menaces externes qu’internes. C’est, selon lui, une des leçons pour les autres entreprises. Il ne faut pas négliger les menaces internes.

L’employé en question travaillait au sein du département de marketing de Desjardins. Ses droits d’accès aux bases de données ne lui permettaient pas normalement d’obtenir les renseignements personnels qu’il a pu dérober.

Ces renseignements se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing, contrairement à ce que prévoient les directives de Desjardins, peut-on lire dans le rapport de la Commission d'accès à l'information du Québec.

Le blocage des ports USB n’était pas activé, il n’y avait aucune limite physique quant au volume de données pouvant être téléchargées et la surveillance des accès aux répertoires était essentiellement passive.

Me Diane Poitras, présidente de la Commission d’accès à l’information du Québec
Un contenu vidéo est disponible pour cet article

La suite est connue : l’employé a pu potentiellement transférer, sur des clés USB, les profils financiers et d’identité de 9,7 millions de personnes au Canada et à l’étranger, dont près de 7 millions de Québécois, pendant 26 mois à compter de janvier 2016, avant que Desjardins n’en soit avisée par les policiers.

Parmi les possibles victimes de la fuite, 4 millions de personnes n’étaient plus membres ou clients. Certains des comptes inactifs avaient plusieurs décennies, a souligné Daniel Therrien. Leurs informations auraient dû être détruites. Il ajoute que l’institution a somme toute été trop lente à réagir. Bref, la plus importante brèche de sécurité de l'histoire dans le secteur bancaire canadien est attribuable à un ensemble de lacunes administratives et technologiques.

Les deux organismes concluent que Desjardins n’a pas respecté plusieurs obligations imposées par les lois en vigueur, mais elle n’en subira aucune nouvelle conséquence.

En effet, la loi fédérale sur la protection des renseignements personnels et des documents électroniques et la loi provinciale sur la protection des renseignements personnels dans le secteur privé font présentement l’objet de réforme législative à Ottawa et à Québec pour en resserrer les exigences et les pénalités. Jusqu’à 25 millions de dollars d’amendes sont prévus dans les deux réformes.

Les mesures de sécurité ne vont pas encore assez loin

L’Autorité des marchés financiers a également dévoilé les conclusions de sa propre enquête lundi. Elle ordonne à Desjardins de mettre en place une série de mesures correctives ainsi que des mécanismes de contrôle interne robustes afin d’atténuer efficacement les risques d’incidents opérationnels [...] et de respecter ses obligations légales de suivre des pratiques de gestion saine et prudente.

L’organisme réglementaire reconnaît que Desjardins a mis en place différentes mesures pour rehausser son niveau de maturité global en matière de sécurité de l’information et de protection des renseignements personnels.

Ces mesures semblent encore insuffisantes, puisqu’elles doivent aller encore plus loin afin de répondre pleinement à ses exigences et de satisfaire aux meilleures pratiques observées au sein des institutions financières d’importance systémique.

Desjardins prend acte des enquêtes

Par communiqué, le Mouvement Desjardins dit prendre acte des résultats des trois enquêtes et assure qu’il a considérablement renforcé sa position en matière de sécurité et précise que, selon ses informations, ce sont les renseignements de 4,2 millions de membres sur le total de 9,7 millions de personnes qui auraient été transmis à des tiers.

Un bureau de la sécurité doté d’une enveloppe de 150 millions de dollars a notamment été mis en place fin 2019; elle serait augmentée à plus de 250 millions l'année prochaine.

Appelé à commenter plus en détails les conclusions des enquêtes, le groupe financier a indiqué qu'aucun dirigeant n'accordera d'entrevue sur le sujet.

Par ailleurs, l’enquête de la Sûreté du Québec dans ce dossier n’a à ce jour conduit à aucune arrestation ni accusation.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Vous avez repéré une coquille?

Signalez-la-nous

Vous avez des questions sur notre travail?

Consultez nos Normes et pratiques journalistiques