Fuite de données : Desjardins savait qu’il y avait une faille de sécurité

Fuite de données : Desjardins savait qu’il y avait une faille de sécurité

Décembre 2020 - Desjardins a manqué à ses obligations légales lors de la fuite de données, tranche l’Autorité des marchés financiers (AMF), qui a exigé à la coopérative de resserrer ses mesures de sécurité.

Le 14 décembre dernier, l’AMF a publié un communiqué où elle mentionne avoir ordonné à la fédération de mettre en place de nouvelles mesures pour réduire les risques d’incidents reliés à la protection des renseignements personnels de sa clientèle. Durant 26 mois entre 2017 et 2019, un employé du département de marketing chez Desjardins a copié et revendu les données bancaires de la clientèle contenues dans les bases de données auxquelles il n’aurait normalement pas dû avoir accès. Cette anomalie de comportement d’usager n’a toutefois jamais été détectée… Il s’agit d’une fuite de données qui a compromis les données sensibles de près de 9,7 millions de Canadiens, telles que les noms, prénoms, dates de naissance, numéros d’assurance sociale, adresses, numéro de téléphone, courriel et historiques de transactions. Pourtant, des tests avaient déjà démontré à Desjardins qu’il y avait une faille de sécurité.

À la suite de ses travaux de surveillance réalisés au cours des derniers mois, l’Autorité a conclu, entre autres, que Desjardins avait « manqué à ses obligations légales de suivre des pratiques de gestion saine et prudente, ce qui a favorisé la survenance de l’incident », et ce, malgré « de multiples constats et recommandations de l’AMF et d’auditeurs ». Pour réaliser son rapport, l’AMF a intégré une équipe de surveillance au sein de l’institution financière québécoise dans le but de valider le respect des mesures de sécurité et des pratiques en exigeant d’ailleurs un bilan complet de l’incident.

Problème de gestion

L’AMF affirme que l’institution financière n’aurait suivi que partiellement les recommandations découlant de certains travaux de surveillances antérieurs à 2019, alors que le statut d’avancement fourni par Desjardins prétendait être complet. Elle mentionne avoir également identifié des lacunes au niveau des directions opérationnelles, des fonctions de supervision et de l’audit interne. « Les membres de la haute direction de la Fédération, de son conseil d’administration et certains de ses comités statutaires ont manqué à leur obligation d’agir avec prudence et diligence dans l’exercice de leurs fonctions, en ne mettant pas en place des mesures de gouvernance et mécanismes de contrôle suffisamment robustes », indique l’organisme de réglementation du secteur financier dans un communiqué.

Il y a du travail à faire

Le communiqué affirme, par ailleurs, avoir pris connaissance des différentes mesures déployées par Desjardins depuis 2019 afin d’apporter les correctifs requis. L’AMF estime que la coopérative doit encore en faire plus en matière de sécurité de l’information : « ces mesures doivent aller encore plus loin afin de répondre pleinement à ses exigences et de satisfaire aux meilleures pratiques observées au sein des institutions financières d’importance systémique ». Desjardins aurait accepté de mettre en place un plan pour l’amélioration de ses pratiques de gestion et de saine gouvernance. Si la coopérative ne respecte pas ses obligations, elle s’exposera alors à une amende de 10 000 $ de manquement par jour.

L’implication de la haute direction est essentielle

Considérant que 50 % des risques d’attaques viennent d’un mauvais positionnement de la direction face à la cybersécurité et qu’une cyberattaque peut engendrer la fermeture de votre entreprise, la gouvernance de la sécurité ne doit pas être déléguée. Le rôle de la direction est d’envoyer un message transparent concernant sa position face à la sécurité et de s’assurer que tout est en place selon les besoins de l’entreprise. L’implication de la haute direction dans la gouvernance de la cybersécurité implique d’avoir un positionnement clair de la direction face à la cybersécurité, de communiquer ce positionnement à l’ensemble des employés, de ne pas déléguer cette responsabilité, de rester informée des changements en cybersécurité et de s’impliquer par des suivis réguliers en revue de direction.

Source : TVA Nouvelles


Ce à quoi vous consentez en vous inscrivant.

En vous inscrivant sur notre site Web, vous nous autorisez à communiquer avec vous par courrier électronique, téléphone, courrier postal ou tout autre moyen de communication disponible. Soyez sans inquiétude, nous ne vendrons jamais vos informations ni n'envahirons votre boîte de courriels. À tout moment, vous pouvez vous désinscrire de nos communications.