Vol de données: Desjardins rajuste le tir

Le président et chef de la direction du Mouvement Desjardins, Guy Cormier, a défendu la gestion de son organisation dans la fuite de données qui touche près de trois millions de citoyens.
Photo: Paul Chiasson La Presse canadienne Le président et chef de la direction du Mouvement Desjardins, Guy Cormier, a défendu la gestion de son organisation dans la fuite de données qui touche près de trois millions de citoyens.

Insatisfaite du faible taux d’inscription au service de surveillance d’Equifax, la direction de Desjardins a choisi lundi d’offrir à tous ses membres une protection automatique et permanente contre le vol d’identité. Mais au-delà, le président de l’institution estime que la fraude dont a été victime Desjardins doit forcer Ottawa à s’attaquer au problème de la protection des données.

« Ce qui se produit chez Desjardins s’est produit ailleurs et pourrait se reproduire ailleurs, dans n’importe quelle entreprise privée ou [n’importe quel] organisme public, dont la mission implique la gestion de renseignements personnels », a soutenu Guy Cormier en après-midi devant le Comité permanent de la sécurité publique et nationale.

Ce dernier tenait une réunion spéciale pour étudier le dossier de la fuite des données personnelles qui touche 2,7 millions de membres Desjardins. Une séance « prématurée », selon Guy Cormier, qui s’est dit « ambivalent » quant aux motifs la justifiant.

Aux députés conservateurs du comité qui voulaient savoir pourquoi le gouvernement fédéral n’était pas plus « proactif » dans ce dossier — Alupa Clarke a suggéré que c’est le gouvernement qui aurait dû appeler les millions de victimes et « s’occuper de tout » —, le chef de la direction du Mouvement Desjardins a répondu que la collaboration avait au contraire été très bonne.

Mais surtout, il estime que le rôle du gouvernement est de réfléchir aux paramètres réglementaires. Et en ce sens, il y a urgence de prendre acte d’un défi qui dépasse le cas de Desjardins, dit-il.

« Le Canada est-il bien outillé pour encadrer des développements technologiques qui sont pleins de promesses, mais qui comportent aussi des risques nouveaux ? a-t-il demandé. Y a-t-il lieu d’adapter nos systèmes d’identification à cette ère numérique pour garantir la protection des renseignements personnels et mieux lutter contre les cybercriminels ? »

Sur ces deux points, M. Cormier estime que le « statu quo n’est plus une option ». D’autant que les défis iront croissant, a-t-il souligné en citant deux changements majeurs à venir : l’arrivée imminente de la connectivité mobile 5G, « qui va décupler les flots de données en circulation », de même que la réflexion en cours à Ottawa sur « un système bancaire ouvert [open banking] qui amènerait une ouverture du secteur transactionnel. »

Guy Cormier plaide donc pour la formation d’un groupe de travail multipartite qui viendrait « conseiller le gouvernement sur la manière d’encadrer la gestion des données personnelles et de l’identité numérique ».

Protection étendue

Plus tôt dans la journée, le président de Desjardins avait annoncé de nouvelles mesures pour répondre à la crise provoquée par ce vol de données, qu’il a présenté comme étant une « situation déplorable [provoquée par] un employé malveillant ».

Dorénavant, tous les membres de Desjardins — victimes de la fuite de données ou non — seront automatiquement protégés en cas de vol d’identité, et cela aussi longtemps qu’ils resteront clients de l’institution. Les entreprises sont aussi concernées. « Si un vol d’identité arrive, Desjardins accompagnera tous ses membres, sans limite de temps », a soutenu M. Cormier.

Gratuite, l’offre vient en complément des services de surveillance de la firme privée Equifax. « On recommande aux gens victimes de la fuite qu’ils continuent activement de s’inscrire à Equifax, parce que ça leur donne le service d’alertage [sur les opérations frauduleuses], ce qui n’est pas inclus dans le système » interne de Desjardins, a précisé le chef de la direction.

Il y a trois axes au plan dévoilé lundi. La protection sans plafond des actifs détenus chez Desjardins était connue (toute opération non autorisée sera remboursée). On y ajoute maintenant une « assistance restauration en cas de vol d’identité », qui promet un « accompagnement personnalisé effectué par des avocats ». « Ce ne sera pas un service où on va vous dire quel organisme contacter : c’est un réel accompagnement », a affirmé Guy Cormier.

Finalement, Desjardins offrira une aide financière allant jusqu’à 50 000 $ en cas de vol d’identité. Cela pourrait par exemple servir à rembourser des pertes de salaire ou des frais pour des documents notariés.

Bonne direction ?

« J’en retiens que Desjardins a voulu rassurer sa base de clients avec un service étendu à vie et offert à tous », analyse Steve Waterhouse, spécialiste en sécurité de l’information et chargé de cours à l’Université de Sherbrooke. « C’est innovateur, parce que ça va changer la façon dont les institutions financières s’occupent de ces situations et prennent soin de leurs clients. »

Même écho auprès de Micho Schumann, consultant en cybersécurité. « C’est un pas dans la bonne direction, qui va au-delà de ce qu’on a pu voir avant — notamment parce que la brèche était plus grande que ce qu’on a pu voir avant… Je pense qu’à l’avenir, devant ce genre de problèmes, les compagnies n’auront pas le choix que d’offrir plus qu’un an d’abonnement à Equifax. On met la barre plus haute. »

Selon Guy Cormier, c’est le faible taux d’inscription à Equifax (13 % des victimes en date de lundi) qui a incité Desjardins à réagir ainsi, et non pas les difficultés rencontrées par la firme pour répondre à la demande. « La raison pour laquelle on annonce ça est simple : on voit qu’on a un plafond devant nous. Même en les incitant à s’inscrire, on évalue que seuls 15 % à 20 % » des victimes vont le faire, a dit M. Cormier. « On ne veut pas laisser 80 % de membres sans protection. »

Par ailleurs, les membres du comité permanent ont aussi entendu lundi des fonctionnaires spécialistes de la cybersécurité. La sous-ministre adjointe à Emploi et Développement social Canada, Elise Boisjoly, a notamment fait valoir que de changer de numéro d’assurance sociale (NAS) pourrait entraîner plus de problèmes que de bénéfices. « On ne préviendra pas le risque de fraude future », a-t-elle souligné.

Depuis le 20 juin, date où Desjardins a dévoilé le vol des données, quelque 1400 citoyens ont fait une demande de changement de NAS.

6 commentaires
  • Olivier Lalonde - Abonné 15 juillet 2019 23 h 02

    Inscription à Equifax : pas un manque d'intérêt

    Bonjour,
    La formulation utilisée dans les articles de presse sous-entend que les membres Desjardins refusent en grand nombre à s'inscrire au service Equifax. Ce que l'article ne dit pas (les journalistes ne le sachant possiblement pas), c'est que de nombreux membres Desjardins n'ont jamais reçu la «fameuse» lettre dans laquelle sont indiquées les consignes pour l'abonnement à Equifax. Desjardins l'a annoncé «dans les prochains jours» il y a près d'un mois. Il y a possiblement eu des problèmes à la photocopieuse :-)

    • Daniel Vézina - Abonné 16 juillet 2019 18 h 19

      Non, c'est plutôt le contraire, les lettres sont parties et les lignes chez Equifax ne dérougissent pas
      J'essaye moi-même depuis 2 semaines d'obtenir la ligne et c'est impossible.
      Je vais plutôt attendre lorsque le service sera disponible via AccesD.

  • Fanny Tremblay - Inscrite 16 juillet 2019 00 h 11

    Inscription non fonctionnelle

    Bonjour,
    Si plusieurs sont comme moi ce n'est pas par manque de volonté de s'inscrire à Equifax, j'ai tenté à 7 reprises minimum de m'inscrire sur le site d'Equifax tel qu'indiqué dans les instructions envoyées par Desjardins, mais à chaque fois soit le site plante, soit à la dernière étape ça m'indique d'appeler à un numéro et ce dit numéro sonne engagé constamment. Donc, peut être le problème est plus à ce niveau là...

    • Daniel Vézina - Abonné 16 juillet 2019 18 h 19

      Tout à fait, le système d'Equifax est sursaturé.
      Attendez lorsqu'AccesD offrira le service.

  • Marcel (Fafouin) Blais - Abonné 16 juillet 2019 04 h 59

    Bref !

    « le président de l’institution estime que la fraude dont a été victime Desjardins doit forcer Ottawa à s’attaquer au problème de la protection des données. » (Guillaume Bourgault-Côté, Le Devoir)

    Possible, mais avant de « forcer » la main du législateur, faudrait-il que les autorités de Caisse Desjardins soient en mesure d’assurer ses propres membres d’aucune faute en matière de sécurité et de protection : ce qui n’a pas été fait !

    Si, d’exemple, je me mets à voler et partager des données sensibles de mon employeur, je présume que cet employeur n’ira pas voir le Gouvernement pour étendre sa déresponsabilisation dont il est pourtant RESPONSABLE !

    Bref ! - 16 juillet 2019 -

  • François Boulay - Abonné 16 juillet 2019 10 h 22

    Avoir du crédit -Trop facile- Les fraudeurs en profitent

    C'est évident que les institutions et commerces doivent faire plus d'efforts pour protéger nos données. Mais on sait maintenant qu'un jour ou l'autre..... Un gros problème c'est qu'il est trop facile d'obtenir du crédit. Vous allez dans une grande surface et il y a toujours quelqu'un pour vous offrir une carte ou du financement. En deux minutes vous obtenez une carte ou un financement de plusieurs millers de $. On reçoit aussi beaucoup de correspondance -SIGNEZ ICI VOTRE CRÉDIT EST DÉJÀ APPROUVÉ-. Le paradis pour les fraudeurs. Par exemple, si chaque demande de crédit était suivie d'une simple lettre demandant au client de confirmer sa demande, on réduirait de beaucoup les fraudes. Mais en pratique, les commerçants et banques vont s'y opposer car le client aurait quelques jours pour réfléchir et aucun gouvernement n'osera leur déplaire.