Les conséquences de la crise de sécurité informatique qui sévit depuis plus d’un mois chez Promutuel Assurance continuent d’inquiéter dans le milieu de l’assurance dommages au Québec malgré les quelques bribes d’informations que l’assureur est parvenu à offrir à ses clients ces derniers jours sur son site internet, en fonctionnement très minimal, et par l’entremise de sa page Facebook.

Martin Vallières Martin Vallières
La Presse

« On suit la situation de près chez Promutuel, d’autant que la sécurité informatique est un enjeu qui est pris très au sérieux dans le secteur de l’assurance », indique Pierre Babinsky, directeur de communications au Bureau d’assurance du Canada (BAC), qui représente les assureurs en dommages et responsabilités.

« Quand un assureur est touché par une cyberattaque, il est très important qu’il prenne toutes les mesures qu’il juge nécessaires avec ses spécialistes [en sécurité informatique] pour assurer l’intégrité et la sécurité de son réseau, et protéger les données de ses clients.

« Un assureur affecté par une cyberattaque doit prendre les mesures pour rétablir et maintenir les services essentiels à ses clients, ajoute M. Babinsky. C’est sa responsabilité de pouvoir répondre aux assurés en cas de réclamation de sinistre, avec la priorité mise sur les sinistres plus graves qui, par exemple, empêchent les assurés d’utiliser leur véhicule ou d’habiter leur résidence. »

Dans le cas de Promutuel Assurance ? « Nous avons reçu quelques appels à notre centre d’information de la part de clients de Promutuel incommodés par la situation, que nous avons dirigés vers les contacts d’information de l’assureur pour un suivi particulier », indique M. Babinsky.

« Entre-temps, poursuit-il, les informations mises sur le site internet de Promutuel devraient servir à rassurer les clients que leur protection d’assurance demeure valide et que les mesures ont été prises vers un éventuel retour à la normale. »

Au Regroupement des cabinets de courtage d’assurance du Québec (RCCAQ), qui regroupe quelque 3000 courtiers répartis dans 400 bureaux, on fait état d’une continuité d’informations « satisfaisante dans les circonstances » de la part de Promutuel depuis le début de cette panne majeure de systèmes informatiques.

« Contrairement à ce que l’on semble percevoir parmi les assurés en vente directe [sans courtier], les courtiers d’assurance qui font affaire avec Promutuel ne se sont pas sentis laissés pour compte. Ils ont continué d’avoir accès aux informations de compte et de contrat d’assurance de leur client chez Promutuel », indique Mathieu Brunet, président du conseil d’administration du RCCAQ et directeur d’un cabinet de courtage à Laval.

AMF, Commission d’accès à l’information

N’empêche, à l’Autorité des marchés financiers (AMF), le principal régulateur du secteur de l’assurance au Québec, on indique que « la situation qui prévaut chez Promutuel a occasionné quelques appels de questions et de demandes d’information à notre service d’assistance ». Sylvain Théberge, porte-parole principal de l’AMF, ajoute : « Notre suivi de la situation chez Promutuel demeure très serré car l’Autorité est très consciente des impacts que cela peut avoir sur la clientèle » de l’assureur.

« Il s’agit d’une situation très sérieuse envers laquelle l’Autorité a rapidement mis en place des échanges avec Promutuel afin de veiller à ce que les suivis requis soient effectués, que les services puissent être rétablis dans les meilleurs délais possibles et que les membres [de la mutuelle] et les clients soient protégés. »

Pendant ce temps, à la Commission d’accès à l’information du Québec, chargée de l’application de la Loi sur la protection des renseignements personnels dans le secteur privé, on indique à La Presse être « beaucoup préoccupé par ce qui arrive chez Promutuel ».

En l’absence de « déclaration d’incident de sécurité d’information » de la part de Promutuel, la Commission a établi des contacts spécifiques auprès de la direction de l’assureur afin de « savoir si la situation est en contrôle et si les personnes affectées [par une fuite de leurs renseignements] ont été avisées », explique Isabelle Gosselin, porte-parole de la Commission.

La Commission vérifie si Promutuel est en mesure de « limiter les préjudices » découlant de cette situation de sécurité informatique, tout en « s’assurant qu’un évènement semblable ne se reproduise pas. »

Rappelons qu’à la suite de la fuite massive d’informations personnelles de millions de clients du Mouvement Desjardins, mise au jour en juin 2019, la Commission a effectué une enquête spéciale qui a abouti en décembre dernier à un rapport qui blâme sévèrement le géant financier coopératif pour des « lacunes administratives et technologiques » dans sa gestion de la sécurité informatique.