En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Le cas Desjardins : une facture de 150 millions de dollars

par Denis Méthot | 22 janvier 2020 10:58

Photo: Denis Méthot

L’atteinte à la sécurité des données dont le Mouvement Desjardins a été victime en juin 2019 a certainement été l’évènement le plus retentissant du genre à ce jour au Québec.

Au moyen de simples clés USB, un employé est parvenu à voler les renseignements personnels de 4,2 millions de membres. Même si la fraude a été commise à l’interne par un membre du personnel, elle a ébranlé les colonnes du temple et créé une onde de choc dans toute la province.

« Le retentissement qui est arrivé chez Desjardins a été un éveil brutal qu’on ne doit certainement pas gaspiller », a commenté son président, Guy Cormier, lors de son passage en commission parlementaire à Québec, le 21 novembre. Devant les élus qui l’ont interrogé de près sur cette affaire, il a soutenu que la fraude interne est la plus difficile à contrer, même si le Mouvement dit investir 70 millions de dollars par année en sécurité informatique et en cybersécurité.

L’employé fautif travaillait avec les bases de données de Desjardins depuis plusieurs années. Il a déjoué les paramètres de sécurité. Ce stratagème, a insisté un expert du Mouvement, ne pourrait pas être répété. Depuis ce vol massif, Desjardins dit avoir créé dans un temps record de nouvelles protections qui seraient sans égal au Canada. Cinq mois après son geste, l’employé congédié n’a toujours pas fait l’objet d’accusations criminelles malgré la gravité de l’affaire.

Même si Desjardins possède des réassureurs, cet incident lui aura couté extrêmement cher : le Mouvement a fait une provision de 70 millions de dollars au deuxième trimestre, 40 millions pour la Protection Membres Desjardins et 30 millions pour le service d’Equifax, plus les frais juridiques, pour un total de près de 150 millions de dollars.

Environ 28 millions de Canadiens touchés

Le vol de données est devenu un fléau mondial, a rappelé Guy Cormier devant les parlementaires. Il parle d’un jeu du chat et de la souris avec les cyberpirates. Chaque année, a-t-il raconté, la multinationale québécoise CGI discute avec 5 500 de ses clients dans le monde. En 2019, au cours de ses échanges, 20 % de ses clients ont indiqué n’avoir aucun plan pour améliorer la sécurité des données personnelles qu’ils gèrent, et 20 % ont indiqué qu’ils souhaitaient investir dans ce domaine, mais ne connaissaient tout simplement pas les balises à utiliser pour le faire.

Le Canada n’y échappe pas. Selon le Commissariat à la protection de la vie privée, 28 millions de Canadiens ont été touchés par des vols de données l’an dernier. Le président de Desjardins a refusé que son groupe porte seul le bonnet d’âne. Il a rappelé et souligné qu’à l’exception des pays de l’Union européenne, la grande majorité des pays de l’OCDE tarde trop à réagir à l’enjeu majeur que représente la protection des renseignements personnels.

D’ailleurs, le 22 novembre, on apprenait que deux anciens employés de la Banque Nationale et de la Banque TD avaient usurpé l’identité de plusieurs milliers de clients, trois ans plus tôt. Eux sont actuellement devant les tribunaux.

L’Autorité avait sonné l’alarme dès 2013

Comparaissant après Guy Cormier, le PDG de l’Autorité des marchés financiers, Louis Morisset, a indiqué aux élus que son organisme avait commencé à sonner l’alarme en 2013 au sujet des cyberrisques et des cyberattaques.

L’Autorité avait demandé à 80 institutions financières, dont Desjardins, de remplir un questionnaire d’autoévaluation de 78 questions. Elles se disaient alors conscientes des menaces et affirmaient avoir entrepris des mesures pour améliorer leurs pratiques et être mieux préparées. L’Autorité dit avoir accru elle-même l’intensité de ses activités de surveillance des risques de cyberattaque auprès des institutions financières.

L’organisme dit avoir été avisé dès les premières heures par Desjardins de la fraude dont elle avait été victime. Louis Morisset se dit satisfait des mesures prises à ce jour par le Mouvement pour protéger ses membres et leurs actifs. L’Autorité aura pleinement accès à l’analyse et au plan d’action que produira Desjardins à la suite de ce vol de données et dit qu’elle fera un suivi serré de leur mise en œuvre dans les délais prévus.