La fuite de données vécue par le Mouvement Desjardins force l’institution financière à revoir toute sa gestion du risque informatique. Le président et chef de la direction de Desjardins, Guy Cormier, essaie de tirer des leçons utiles de cette fuite, tant pour son groupe financier que pour les membres et les clients de la coopérative.
M. Cormier était l’invité du déjeuner-causerie organisé le 11 septembre dernier par la Chambre de commerce et d’industrie de Québec (CCIQ). L’essentiel de son propos était relié à la fuite de données annoncée le 20 juin dernier, et qui a touché 2,9 millions de membres de Desjardins, dont 175 000 entreprises. Depuis la fuite, aucune hausse du nombre de fraudes n’a été observée.
« À la mi-juin, j’avais dit que comme membre de Desjardins et comme président, je me sentais trahi. Trois mois après, je peux vous dire que je me sens choyé », indique M. Cormier. Il a pris soin de remercier les employés de Desjardins, qui forment « une grande équipe. On se serre les coudes », dit-il.
Le président de l’institution financière a aussi tenu à remercier les membres pour leur patience, leur compréhension et les manifestations de confiance qui lui ont été faites durant tout l’été. M. Cormier affirme que « la protection de nos membres était notre seule priorité », et c’est pourquoi Desjardins a instauré son propre programme de protection lorsque son fournisseur Equifax a été incapable de répondre à la demande.
35 % ont adhéré au programme d’Equifax
Lors de la mêlée de presse qui a suivi, M. Cormier a confirmé qu’à ce jour, 35 % des membres touchés par la fuite de données ont adhéré au programme de protection offert chez Equifax. « Il n’y a que deux entreprises qui offrent ce service au Canada » et la firme retenue représente 70 % du marché, dit-il.
« Nous avons été victimes d’un employé malveillant », rappelle-t-il. M. Cormier avoue ne pas savoir pourquoi l’ancien employé de Laval responsable de la fuite de données n’a pas encore été accusé au criminel. « Les policiers de Laval et de la SQ poursuivent leur enquête et nous collaborons avec eux », dit-il.
L’institution financière a affiché des résultats positifs au trimestre terminé le 30 juin 2019, malgré les provisions de 70 millions de dollars (M$) qui ont été faites pour couvrir les nouvelles protections découlant de la fuite. Quelque 200 personnes sont désormais chargées de la cybersécurité. « Nous sommes dans un chantier permanent de sécurité informatique », précise-t-il.
Des leçons à tirer
« Quand tu es le capitaine du bateau, tu ne choisis pas tes tempêtes », lance Guy Cormier. Il entend inciter toute la population à améliorer ses pratiques en matière de sécurité des renseignements personnels.
Depuis 2015, Desjardins participe activement au sein du Digital ID & Authentification Council of Canada, qui prépare le terrain à l’arrivée d’une identité numérique au Canada. Les mécanismes actuels de protection ne sont pas adaptés à l’ère numérique, souligne-t-il, en rappelant l’utilisation désordonnée du numéro d’assistance sociale (NAS) comme moyen d’identification. Le NAS est « un système qui a été mis en place en 1964 et qui n’a pas été conçu pour ça », dit-il.
Desjardins a formé un groupe de travail pour adopter les meilleures pratiques en matière de protection des renseignements personnels. Les innovations technologiques ne doivent pas augmenter le niveau de risque, poursuit-il. « Il faut que ça soit comme une frontière entre pays amis : sécuritaire et fluide. »
Les réflexions de ce groupe de travail serviront à produire un rapport qui sera rendu public au premier trimestre de 2020. Il servira à produire un volet d’éducation citoyenne qui prendra la forme d’un guide pratique pour accompagner les membres et les clients. « Nous sommes ouverts à toutes les bonnes idées », ajoute M. Cormier.
Desjardins s’inspirera de ce qui se fait ailleurs et principale en Europe. Ni le Québec, ni le Canada ne sont des premiers de classe en matière de protection des renseignements personnels, fait-il remarquer. En Estonie par exemple, ça fait 20 ans que les citoyens sont dotés d’une identité numérique, mentionne Guy Cormier.
Fait ironique, le matin même de son discours, l’assureur iA Groupe financier annonçait que trois représentants avaient mordu à une tentative d’hameçonnage faite par des pirates informatiques. Cette brèche touche quelque 2900 clients de l’assureur.
Dynamisme à Québec
Le président de Desjardins a profité de sa présence devant la communauté d’affaires de Québec pour souligner la vigueur et le dynamisme de l’économie régionale. « L’expansion d’un nombre croissant d’entreprises est freinée par le manque de main-d’œuvre. Québec, championne toutes catégories de la performance économique, pourrait faire encore mieux sans cet obstacle », souligne M. Cormier.
Desjardins détient déjà le quart du marché du crédit fait aux entreprises dans la région métropolitaine de Québec, et l’institution financière continuera d’appuyer les efforts des entreprises qui veulent investir dans l’amélioration de leur productivité.
Par ailleurs, Desjardins a annoncé l’octroi de 2,1 M$ en appui à une dizaine de projets structurants de la Capitale-Nationale. À ce jour, quelque 360 projets ont ainsi été appuyés par le fonds de 100 M$ promis par M. Cormier lors de son élection à la présidence en 2016, et quelque 76 M $ ont déjà été promis pour financer divers projets communautaires tant au Québec qu’en Ontario.
La garantie en cybercriminalité
Valérie Lamarre, conseillère principale en relations publiques chez Desjardins, rappelle que la fuite de renseignements personnels est liée à une fraude interne et non à une cyberattaque. Elle précise que les clients de Desjardins Assurances Entreprises ont déjà accès à trois garanties optionnelles : la restauration d’identité, la compromission des données et l’attaque informatique.
Ces avenants touchant la cybercriminalité sont offerts aux entreprises de toutes tailles depuis 2018. « Aucun changement n’a été apporté à cette offre en lien avec le dossier de la fuite de données de l’été dernier, tant au niveau de la portée que de la tarification », explique Mme Lamarre.
Toujours selon la porte-parole, l’adhésion à ces garanties connait une belle croissance parmi la clientèle de l’assureur, même si plusieurs clients estiment que seules les grandes entreprises sont la cible des criminels du Web. Une trousse de cybersécurité en ligne est offerte aux clients.
La Protection membre Desjardins est offerte à l’ensemble des membres, tant aux particuliers qu’aux entreprises. Dans le cadre d’une démarche de restauration d’identité, le membre de la coopérative peut se faire rembourser jusqu’à 50 000 $ de frais encourus. Pour le client entrepreneur qui détient la garantie optionnelle sur la restauration d’identité, la couverture peut atteindre 85 000 $.
Les entreprises clientes qui désirent conserver seulement la Protection membre Desjardins pourront retirer cette garantie de leur contrat d’assurance. Elles obtiendront alors un remboursement de la prime payée depuis le 15 juillet 2019. Sinon, elles auront droit à la couverture totale de 85 000 $, conclut Mme Lamarre.