Desjardins et le coffre-fort sans surveillance

N’entre pas qui veut dans la chambre forte d’une institution financière. Béton armé, serrure sophistiquée. Tout est mis en œuvre pour éviter que des cambrioleurs ou des employés se remplissent les poches de billets de banque.

Si seulement Desjardins avait mis autant d’efforts à protéger les précieuses données de sa clientèle ! Mais non. La coopérative était au courant de la vulnérabilité de son système de sécurité informatique. Elle était consciente des failles de son coffre-fort virtuel. Mais elle n’a pas agi assez vite.

Voilà le désolant constat auquel sont arrivés le Commissariat à la protection de la vie privée du Canada et la Commission d’accès à l’information du Québec (CAI), qui ont présenté le résultat de leurs enquêtes, lundi.

Pendant 26 longs mois, la coopérative a laissé un employé malveillant copier sur des clés USB les informations névralgiques de 9,7 millions de Canadiens, dont près de 7 millions de Québécois, avant que les policiers de Laval sonnent l’alarme.

Noms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, courriels et historiques de transactions… Tout pour faire le bonheur des voleurs d’identité.

Ces données névralgiques étaient stockées dans deux entrepôts sécurisés. Mais Desjardins laissait le service du marketing copier mensuellement l’information dans son répertoire partagé. Ainsi, les renseignements confidentiels devenaient accessibles à tous ses employés, y compris à ceux qui n’avaient pas l’autorisation d’y accéder.

C’est à cause de cette grave entorse que l’employé malintentionné – par ailleurs un homme qualifié, performant et une personne-ressource pour plusieurs collègues – a pu dérober une masse de données ahurissante. Pendant tout ce temps, Desjardins n’y a vu que du feu. Il semble que l’entreprise, concentrée sur les risques externes de piratage, ait oublié que la menace pouvait aussi venir de l’intérieur.

« La surveillance des accès aux banques de données et aux répertoires était essentiellement passive, c’est-à-dire qu’elle se faisait à la suite d’un incident, mais non de manière proactive pour détecter des situations irrégulières », a expliqué la présidente de la CAI, Diane Poitras.

Or, une entreprise ne peut pas garder les yeux fermés et réagir seulement quand une bombe éclate. Elle ne peut pas avoir une confiance aveugle envers ses employés, même s’ils sont animés d’un fort sentiment d’appartenance comme chez Desjardins.

Il existe toutes sortes de mesures pour prévenir les dégâts : enquêtes de sécurité, respect des procédures, contrôle des accès, séparation logique, surveillance, etc.

« Une organisation de la taille de Desjardins a les moyens de déployer des mesures de sécurité pour protéger ses membres », assure le commissaire à la protection de la vie privée du Canada, Daniel Therrien.

Malheureusement, il y a trop d’entreprises qui se traînent les pieds en matière de protection des renseignements personnels. Ce qui est arrivé à Desjardins aurait pu arriver à bien d’autres.

« Il y a un manque de proportionnalité entre le volume d’informations que les entreprises colligent et les mesures de protection qu’elles mettent en place pour protéger ces informations », constate M. Therrien.

Avec l’avènement de l’économie numérique, les renseignements personnels sont devenus une mine d’or pour les entreprises qui monétisent nos données à toutes les sauces. Les fin finauds du marketing croisé décortiquent les moindres habitudes des consommateurs pour mieux leur vendre d’autres produits.

Mais en cas de fuite de données, ce sont les clients qui en subissent les conséquences. Ce sont eux qui vivent éternellement avec le risque d’être victimes d’un vol d’identité et d’une fraude financière. L’entreprise à l’origine de la fuite s’en sort à bon compte, car il est très difficile d’établir un lien avec la fraude dont son client est la cible.

Mais bientôt, les entreprises auront une véritable raison pour prendre davantage de précautions. Dans la foulée de la fuite de données monstre chez Desjardins, tant Ottawa que Québec ont déposé des projets de loi pour mieux encadrer la protection des renseignements personnels.

Désormais, il sera possible d’imposer des pénalités allant jusqu’à 25 millions de dollars aux entreprises fautives qui s’en sortent actuellement avec une pichenotte.

D’ailleurs, Desjardins n’aura pas un cent à payer à l’issue des enquêtes des deux chiens de garde de la vie privée qui ont révélé des manquements sérieux à la loi. Le plus bel exemple : la coopérative a conservé les données de près de 4 millions d’individus qui n’étaient plus membres ou clients depuis parfois des décennies.

Cela est contraire à la loi fédérale qui exige que les documents soient détruits lorsqu’ils ne sont plus nécessaires aux fins desquelles ils ont été recueillis.

Mais Desjardins n’a jamais eu de procédure concernant la destruction des renseignements personnels à la fin de leur cycle de vie, même si elle travaillait en 2018 sur un calendrier de conservation des documents qui n’est toujours pas finalisé.

C’est bien dommage. Si toutes ces données avaient été détruites, il y aurait 4 millions de victimes en moins. Espérons que cela serve de leçon à toutes les autres entreprises peu précautionneuses.