La fuite de données chez Desjardins, la plus importante à ce jour dans le secteur bancaire canadien, est due à un ensemble de lacunes administratives et technologiques qui ont permis à un employé du marketing d’exploiter les failles du système pendant 26 mois, concluent les commissaires à la protection de la vie privée du Québec et du Canada.

Les deux organisations présentaient ce lundi matin les conclusions de leurs rapports d’enquête respectifs au sujet de cette fuite qui a touché au total 9,7 millions de personnes, dont 7 millions de Québécois et Québécoises.

Le rapport d’enquête de la Commission d’accès à l’information précise que l’employé du marketing qui a subtilisé les données n’avait pas accès au répertoire de données bancaires confidentielles de Desjardins, mais pouvait par contre consulter les données confidentielles de crédit de l’entreprise.

L’employé avait également accès, à partir de son poste de travail, à un répertoire partagé accessible à l’ensemble de l’équipe de marketing, où se trouvaient des renseignements personnels confidentiels que tous les employés du département pouvaient consulter à des fins de recherche, peu importe leurs droits d’accès aux données. « C’est comme ça qu’il a pu avoir accès à de l’information confidentielle à laquelle il n’avait normalement pas accès », a précisé Me Diane Poitras, présidente de la Commission d’accès à l’information.

Ports USB ouverts

« L’Employé a pu, à l’aide de ses propres scripts, compiler les données des entrepôts de données auxquelles il avait accès avec celles auxquelles il n’avait pas accès. Il a alors pu constituer des fichiers d’extraction qu’il a fait transiter sur son poste de travail, conclut le rapport. Par la suite, il a pu les exporter sur des périphériques amovibles de stockage de type clés USB. »

« Desjardins reconnaît que l’utilisation des dépôts de données dans les répertoires partagés de l’équipe marketing était contraire aux encadrements en place au moment de l’incident et aux meilleures pratiques de travail », lit-on dans le document de 22 pages.

La commissaire Diane Poitras a souligné qu’aucun blocage des ports USB des ordinateurs n’avait été mis en place et que les employés pouvaient télécharger sans limites de contenu ce qui se trouvait sur les bases de données auxquelles ils avaient accès. « Desjardins reconnaît que l’utilisation des dépôts de données dans les répertoires partagés de l’équipe marketing était contraire aux encadrements en place au moment de l’incident et aux meilleures pratiques de travail », lit-on dans le document de 22 pages.

La fuite a eu lieu pendant 26 mois sans que Desjardins ne s’en rende compte. Mais selon l’enquête, l’entreprise savait, à la suite de rapports de vérification internes, que le fait que les employés pouvaient accéder aux ports USB de ses ordinateurs représentait une vulnérabilité importante. « Malgré le fait que Desjardins était au courant de cette menace, elle n’a pas agi de façon diligente. Pour nous ce n’est pas acceptable », a commenté Me Poitras.

Manque de prudence

Compte tenu de la quantité de données détenues par Desjardins et de la sensibilité de celles-ci, Desjardins aurait dû avoir des « systèmes proactifs » en place pour déceler les transferts anormaux, estime le commissaire fédéral à la protection de la vie privée.

« Desjardins n’a pas fait preuve de la prudence nécessaire à l’égard des données personnelles sensibles qui lui ont été confiées », conclut pour sa part le commissaire à la protection de la vie privée du Canada, Daniel Therrien. Selon lui, l’entreprise avait déjà décelé certains des problèmes qui ont mené au vol massif de données, mais l’entreprise a été « trop lente à réagir », a-t-il commenté.

La Commission d’accès à l’information du Québec a ordonné à Desjardins de lui transmettre tous les six mois un état d’avancement détaillé de déploiement d’un plan d’action pour remédier aux lacunes constatées.

L’Autorité des marchés financiers, qui s’est également penchée sur le dossier, a pour sa part conclu que la haute direction et le conseil d’administration des Desjardins « ont manqué à leur obligation d’agir avec diligence dans l’exercice de leurs fonctions » en ne mettant pas en place des mesures de contrôle suffisamment robustes. L’Autorité ordonne à Desjardins de mettre en place des pratiques visant à « rendre imputables les personnes responsables à l’égard de l’incident » ainsi que tous les correctifs nécessaires.

Desjardins dit prendre acte des conclusions des enquêtes et ne conteste pas les faits, mais n’a pas voulu commenter directement les conclusions des commissaires et de l’AMF. L’entreprise souligne avoir pleinement coopéré aux enquêtes « et a établi depuis l’année dernière des stratégies qui couvrent leurs recommandations, qui sont déjà implantées ou en voie de l’être », affirme le Mouvement dans un communiqué. Selon le commissaire à la protection de la vie privée, Daniel Therrien, Desjardins a « agi de façon appropriée une fois la fuite découverte. »