Après L’Unique assurances générales, c’est au tour de Promutuel Assurances d’être aux prises avec une cyberattaque.
Des courtiers d’assurance en ont fait part au Portail de l’assurance au cours du weekend des 12 et 13 décembre. L’assureur n’a pas donné suite à notre demande d’information à cet égard au moment de publier le présent article.
Son site Web indique toutefois que ses systèmes informatiques sont hors d’usage. « Nos équipes sont à pied d’œuvre pour rétablir la situation dans les meilleurs délais et faire toute la lumière sur la situation. D’autres détails suivront », peut-on y lire.
Le 12 décembre vers 18 heures, l'assureur a aussi publié un avis dans lequel il indique être visé par une cyberattaque. « Aussitôt que l'incident a été porté à notre attention, nous avons agi sans délai en mandatant une équipe d'experts qui mène présentement une enquête approfondie destinée à faire toute la lumière sur la situation, sécuriser l'environnement informatique et rétablir la situation dans les meilleurs délais. Les autorités réglementaires ont aussi été avisées », y indique l'assureur.
Promutuel ajoute qu'à ce stade-ci de l'enquête, il est trop tôt pour s'avancer quant à la nature ou l'étendue des données visées par l'incident. « Malgré la robustesse des systèmes technologiques et des mécanismes de sécurité de Promutuel Assurance, il semble que notre organisation n'échappe pas à cette vague de cyberattaques qui frappe l'industrie de l'assurance. Nous traitons cette situation avec tout le sérieux et la rigueur nécessaires et nous prendrons tous les moyens requis pour favoriser un retour à la normale. Nous nous engageons aussi à informer nos membres assurés de l'évolution de la situation et nous les les remercions de leur patience et de leur collaboration. »
Promutuel a aussi indiqué qu'une ligne téléphonique temporaire sera mise en place incessamment pour les membres assurés qui ont des demandes prioritaires.
L’Autorité rappelle à Desjardins de respecter ses obligations
Lundi 14 décembre, au matin, l’Autorité des marchés financiers a sommé la Fédération des caisses Desjardins du Québec de mettre en place « une série de mesures correctives ainsi que des mécanismes de contrôle interne robustes afin d’atténuer efficacement les risques d’incidents opérationnels dont ceux liés à la protection des renseignements personnels et de respecter ses obligations légales de suivre des pratiques de gestion saine et prudente. »
En vertu des pouvoirs que lui confère la Loi sur les coopératives de services financiers, l’Autorité a transmis à la Fédération une ordonnance par laquelle elle expose de nombreux constats découlant de ses travaux de surveillance réalisés à l’égard de la fuite de renseignements personnels annoncée en juin 2019.
L’Autorité conclut au terme de ses travaux que le Mouvement Desjardins a manqué à ses obligations légales de suivre des pratiques de gestion saine et prudente, ce qui a favorisé la survenance de l’incident. Elle ordonne ainsi à la Fédération de mettre en place une série de mesures correctives visant à répondre adéquatement aux manquements relevés et d’en faire une reddition de comptes rigoureuse auprès de ses instances et de l’Autorité.
« L’Autorité a par ailleurs pris acte des différentes mesures déployées par le Mouvement Desjardins depuis l’incident en vue d’apporter les correctifs requis et de rehausser son niveau de maturité global en matière de sécurité de l’information et de protection des renseignements personnels. Ces mesures constituent une amélioration certaine et témoignent de la volonté du Mouvement Desjardins de maintenir la confiance de ses membres et clients », indique l’Autorité.
L’Autorité se dit toutefois d’avis que ces mesures doivent aller encore plus loin afin de répondre pleinement à ses exigences et de satisfaire aux meilleures pratiques observées au sein des institutions financières d’importance systémique. « À la demande de l’Autorité, le Mouvement Desjardins a donc élaboré des plans visant à rehausser ses pratiques de gestion saine et prudente, de saine gouvernance, et à assurer une gestion adéquate des risques quant à la sécurité de l’information et la protection des renseignements personnels », indique le régulateur.
La Loi ne prévoit pas la possibilité d’assortir l’ordonnance rendue de sanctions pécuniaires. Toutefois, en cas de non-respect de celle-ci, la Fédération s’expose à une sanction administrative de 10 000 $ par jour de manquement.
Le Portail de l’assurance suivra ces deux dossiers de près au cours des prochains jours.