Négligence chez Desjardins?

Négligence chez Desjardins?

Janvier 2020 - Le Mouvement Desjardins prétend vouloir limiter les dégâts causés par la fuite de données personnelles de sa clientèle alors qu’il congédie deux hauts dirigeants ayant un rôle important pour la cybersécurité de la coopérative.

Le 3 décembre dernier, Desjardins annonçait le départ du bras droit de son président, Denis Berthiaume, qui était premier vice-président exécutif et chef de l’exploitation en plus de Chadi Habib, premier vice-président des technologies de l’information. À la suite de « vérifications internes » entourant la fuite de renseignements personnels dévoilée en juin dernier, ces deux gestionnaires auraient perdu la confiance du président et chef de la direction de Desjardins, Guy Cormier, qui a affirmé vouloir un « leadership renouvelé ». Ceux-ci avaient été nommés au comité de haute direction en juin 2016 par monsieur Cormier lui-même, peu de temps après son remplacement de Monique Leroux à la présidence. « La confiance que j’accorde aux membres de mon comité de direction est essentielle. Les événements des derniers mois m’amènent à la conclusion qu’il faut apporter des changements dans la composition de la haute direction. », a fait valoir M. Cormier, par voie de communiqué. En s’adressant aux employés, M. Cormier n’a pas donner de détails sur les raisons de ces congédiements, se limitant à prétendre que les changements permettraient d’assurer davantage la sécurité à l’interne ainsi qu’à l’externe.

Le premier vice-président exécutif aux finances, trésorerie, administration et chef de la direction financière, Réal Bellemare, assumera également, de façon intérimaire, la responsabilité des technologies de l’information. Difficile de se sentir soulagés par cette décision pour le moment. Le groupe financier coopératif a également annoncé la création d’un « bureau de la sécurité » visant à coordonner les différentes initiatives en matière de sécurité et de protection des données.

Il y a définitivement un problème de gestion au sein du Mouvement Desjardins : ce n’est que 6 mois après le dévoilement de la fuite de données que l’on apprend qu’elle n’aurait pas seulement touché 2,9 millions de membres, mais bien tous les membres particuliers en plus de 173 000 entreprises et 1,8 million de détenteurs de cartes de crédit. On a également appris tout récemment la présence de logiciels pisteurs (trackers) qui récoltent des données personnelles sur les clients d’Equifax, dont les supposés protégés de Desjardins. Cette inquiétante nouvelle s’ajoute à celle de la cyberattaque massive dont Equifax avait été victime en 2017 en raison d'une vulnérabilité que l’agence américaine de crédit connaissait depuis plus de 2 mois, mais n'avait pas corrigée. Plus de 6 mois avaient passé suite à la brèche avant que leurs consommateurs canadiens en soient informés. Les malfaiteurs avaient d’ailleurs manœuvré pendant 77 jours sans être détectés, ce qui leur a permis d’accéder à des renseignements personnels canadiens.

Ce n’est toutefois pas en éliminant des joueurs que la coopérative gagnera la partie. Ça risque même d’empirer la situation vu le déficit actuel de compétences pour gérer les besoins en cybersécurité de l’organisation. Il ne s’agit pas d’un jeu de chaise musicale, mais bien de la responsabilité de veiller sur la sécurité de plusieurs millions de clients. Avant de vouloir sauver l’image de marque, il faudrait d’abord faire preuve de proactivité et agir de manière raisonnable en s’alliant afin d’assurer une véritable protection sans équivoque aux victimes.

La cybersécurité implique tellement de conséquences pour la présidence d’une entreprise qu’elle ne peut plus être complètement déléguée sans son implication. Elle ne doit pas être confiée à leur département TI sans en assurer la gouvernance à temps plein par les membres de la haute direction. Celle-ci devrait être en mesure d’identifier ce qui est important pour l’entreprise de sécuriser et s’assurer qu’il l’est en tout temps. Depuis trop longtemps, la sécurité des données est traitée comme s’il s’agissait exclusivement d’un enjeu technologique à confier au responsable du département TI. Il appartient à la présidence d’en assumer la responsabilité et d’élaborer sa stratégie de prévention en cybersécurité, notamment par la formation continue des employés pour les sensibiliser et par un service de gestion d’information de sécurité et d’événements (SIEM).

Le SIEM devient un outil de gestion pour la haute direction qui doit désormais prendre pleinement part à la gestion de la sécurité globale de l’organisation, en équipe avec son département des TI, afin d’en assurer la viabilité financière et de veiller à ce que les intérêts des actionnaires, des clients et des employés soient protégés. Desjardins ne démontre pas avoir pris les précautions nécessaires en ayant en place un système de surveillance comme le SIEM. On a réagi au lieu de prévenir pour minimiser les dommages et avoir la preuve que les bonnes précautions ont été mises en place afin d’éviter le vol d’informations, que ce soit par un employé malveillant à l’interne ou par des cybercriminels externes.

Sources : Journal Métro et Radio-Canada


Leave a comment!

All fields marked with an asterisk* are required.

Ce à quoi vous consentez en vous inscrivant.

En vous inscrivant sur notre site Web, vous nous autorisez à communiquer avec vous par courrier électronique, téléphone, courrier postal ou tout autre moyen de communication disponible. Soyez sans inquiétude, nous ne vendrons jamais vos informations ni n'envahirons votre boîte de courriels. À tout moment, vous pouvez vous désinscrire de nos communications.