Alors que le Mouvement Desjardins a été victime d’une brèche de sécurité, le cas d’un assureur titre américain montre les impacts possibles d’une telle faille informatique sur les institutions visées. Ainsi, la compagnie d’assurance First American a vu quelque 900 millions de documents être exposés en mai dernier.
En effet, en changeant un seul chiffre dans l’adresse URL de la plateforme numérique de l’assureur, il était possible d’avoir accès à une foule de données personnelles, dont plusieurs essentielles comme le numéro d’assurance sociale et les données bancaires des clients. Aucune authentification n’était nécessaire pour avoir accès à ces données.
« C’est un système qui avait probablement été mis en place au début des années 2000, souligne Jean-Philippe Racine, président du Groupe CyberSwat et spécialiste en cybersécurité, en entrevue au Journal de l’assurance. Même à ce moment-là, cela n’aurait pas dû être acceptable. »
Ce dernier explique que les pratiques de programmation utilisées n’étaient pas adéquates et que les programmeurs ne respectaient probablement pas les normes en matière de cybersécurité.
De plus, d’après M. Racine, un simple test d’intrusion aurait pu aider à découvrir la faille dans leur système informatique. « Ce test est une simulation de piratage informatique. En temps normal, si un tel test avait été effectué, le problème aurait été découvert par les équipes spécialisées en la matière », dit-il.
Apprendre des erreurs des autres
Jean-Philippe Racine affirme qu’avec la réforme de la Loi sur la distribution de produits et services financiers (LDPSF), qui autorise et encadre depuis le 13 juin la vente de produits d’assurance en ligne, les assureurs devront apprendre des cas comme celui de First American.
« Je vois beaucoup d’enjeux, dans les prochaines années, qui seront en lien avec la cybersécurité. Les entreprises et cabinets devront mettre en place les mécanismes nécessaires afin de permettre la soumission [et la vente] en ligne. Les gens devront communiquer des renseignements personnels, il faudra donc faire attention pour ne pas reproduire la situation de First American », soutient M. Racine.
Selon lui, lors de la mise en place de leur plateforme transactionnelle, les assureurs devraient mettre en place un processus d’identification sécuritaire pour tous ceux qui ont un dossier client. Une authentification en deux étapes, d’après lui, permettrait également d’ajouter « une couche supplémentaire », afin d’être certain qu’il n’y ait pas de fuite de données.
Il mentionne également que des tests d’intrusions récurrents permettraient d’assurer un fonctionnement adéquat des systèmes informatiques.
« Les nouveaux règlements forcent les assureurs à penser à la manière dont ils mettront en place leur système. Spécifiquement, il va falloir faire au moins un test de sécurité par année, qui devra être réalisé par des experts afin valider ce qui en est, dit Jean-Philippe Racine. À l’interne, les compagnies doivent s’assurer qu’elles sont à jour et qu’elles mettent régulièrement en place de nouvelles protections. Après tout, tous les jours, il y a de nouvelles vulnérabilités qui se créent. Il faut donc constamment être aux aguets. »