Fournisseur de régimes enregistrés d’épargne-études (REÉÉ), Kaleido Croissance (anciennement Universitas) a annoncé le 26 janvier 2023 qu’il compensera entièrement les sommes volées dans les comptes de ses clients, suivant l’incident de sécurité du 18 janvier 2023.
Après avoir détecté des tentatives de transactions frauduleuses dans les comptes en ligne de certains clients le 18 janvier, les experts en sécurité de Kaleido ont désactivé les services en ligne de l’entreprise (Espace client). Le 25 janvier, La Presse révélait l’ampleur des retraits frauduleux. La chronique de Marie-Ève Fournier mentionne que le REÉÉ au bénéfice de la fille d’une cliente a été vidé de son contenu de 10 000 $ ; une autre s’est fait ravir « une somme dans les cinq chiffres », peut-on lire.
Présidente et cheffe de la direction de Kaleido, Isabelle Grenier a assuré que l’épargne accumulée au bénéfice des enfants de ses clients n’est pas à risque. « La direction et le conseil d’administration de Kaleido confirment la décision de compenser les sommes dérobées, y compris les rendements, s’il y a lieu. »
55 personnes affectées
Kaleido soutient que la vaste majorité des clients n’ont pas été touchés par la fraude. L’entreprise n’a pas encore précisé comment se déroulera le processus de compensation. Vice-présidente, marketing et expérience client de Kaleido, Julie Cyr a précisé au Portail de l’assurance que les modalités de compensation seront précisées et communiquées aux 55 personnes concernées dès que possible, dans les prochains jours.
« Notre équipe est actuellement à l’œuvre pour communiquer avec toutes ces personnes afin de les accompagner dans le processus. Nous devons d’abord finaliser notre enquête, l’évaluation des dossiers avec les clients touchés et le calcul des rendements, que nous nous sommes également engagés à compenser », signale Mme Cyr.
L’entreprise dit surveiller plus étroitement son service Espace client, qu’elle a réouvert le 24 janvier. Selon son partenaire externe de sécurité, aucune nouvelle tentative malveillante n’aurait été effectuée. Il y a beaucoup à perdre pour ses clients. Kaleido dit détenir plus de 1,8 milliard $ en actifs sous gestion, au bénéfice de plus de 236 000 jeunes. Kaleido a des clients au Québec et au Nouveau-Brunswick.
Anciens et nouveaux produits
Julie Cyr a refusé de révéler la somme des montants dérobés aux clients de Kaleido. Elle n’a pas non plus voulu dire quels produits ont été touchés. Dans les deux cas, elle dit ne pas vouloir nuire à l’enquête en cours. Le 30 avril 2022, Kaleido Croissance a cessé de distribuer ses REÉÉ collectifs REEEflex et Universitas. Or, des sommes demeurent administrées dans les régimes collectifs souscrits avant cette date.
Le 1er mai 2022, Kaleido a lancé IDEO+, une gamme de trois plans de bourses d’études individuels correspondant chacun à un profil différent de tolérance au risque de placement (IDEO+ Prudent, IDEO+ Évolutif et IDEO+ Responsable).
Au moment du lancement, Isabelle Grenier a affirmé qu’il était devenu nécessaire de moderniser son modèle d’affaires, « pour mieux répondre aux attentes du marché et assurer notre croissance à long terme ». La PDG de Kaleido avait qualifié les nouveaux produits de « plus souples, qui éliminent la rigidité et la complexité parfois associées aux plans de bourses d’études collectifs ».
Sans lien avec la cyberattaque de 2020
Julie Cyr a assuré qu’il n’y avait pas de lien entre les fraudes commises en janvier 2023 et la cyberattaque perpétrée à l’encontre de Kaleido en mars 2020. Elle rappelle que ce sont des données personnelles qui ont permis aux fraudeurs d’accéder à des comptes de clients. Les fraudeurs ont ensuite présenté de fausses preuves d’inscription aux études pour effectuer les retraits. Mme Cyr précise que les fraudes ont pu se perpétrer à l’aide d’une combinaison d’adresse courriel et de mot de passe. « Kaleido ne détient ni n’a accès à aucun mot de passe de ses clients », soutient-elle.
Une firme externe a conclu que la cyberattaque de juin 2020 n’avait entraîné aucune perte ou compromission de données, souligne Julie Cyr. Elle ajoute que Kaleido avait alors fait connaître les conclusions de la firme indépendante à ses clients. « Les données personnelles qui ont permis d’accéder à certains comptes clients dans le présent événement ne proviennent pas de nos systèmes », ajoute la vice-présidente du marketing et de l’expérience client de Kaleido.
Depuis cet événement, l’entreprise dit raffermir ses défenses. « Toutes les entreprises vivent désormais avec un certain élément de risque de cette nature. Dans notre cas, nous évoluons constamment en matière de sécurité. D’ailleurs, selon l’analyse de nos partenaires externes en sécurité, notre indice de sécurité est supérieur à la moyenne québécoise des entreprises dites à haute maturité », soutient Julie Cyr. La Fondation Kaleido (autrefois Fondation Universitas) existe depuis 1964.
