Article publié dans l'édition Hiver 2021 de Gestion

Au printemps 2019, le mouvement Desjardins révélait qu’il avait été victime du vol de données le plus spectaculaire de son histoire. Au total, ce sont huit millions de clients dont les renseignements personnels ont été dérobés. Julien Le Maux, professeur titulaire au Département de sciences comptables de HEC Montréal et examinateur agréé en matière de fraudes, fait le point pour la revue Gestion.

En juin 2019, c’est un véritable coup de tonnerre qui a retenti dans le ciel sans nuages du Mouvement Desjardins. Après avoir détecté des activités suspectes et porté plainte auprès de la police de Laval à la fin de 2018, l’organisation a été plongée dans la tourmente quand l’enquête a permis d’apprendre, le printemps suivant, qu’une vaste fuite à l’interne avait été orchestrée par un employé. Au départ, on a estimé à 2,7 millions le nombre de clients touchés, mais les chiffres ont grimpé en flèche pour inclure tous les membres particuliers ainsi que des détenteurs de cartes de crédit et de polices d’assurance.

LIRE AUSSI : « La cybercriminalité au Canada »

Au total, on évalue que huit millions de personnes sont affectées par cette fraude, alors que Desjardins estime à 108 millions de dollars les coûts que cela lui a occasionnés, notamment en frais juridiques, en services de surveillance et en provision de protection contre le vol d’identité. En effet, l’institution financière a rapidement mis en œuvre plusieurs mesures pour protéger les victimes, notamment la surveillance de leur crédit par la firme Equifax, et ce, gratuitement pendant une période de cinq ans.

Cet électrochoc a-t-il eu le mérite de faire avancer les choses en matière de protection des renseignements personnels?

La réponse est nuancée.

Cette fraude d’envergure a-t-elle changé la donne?

Julien Le Maux : personne n’aurait cru qu’on pouvait voler autant de données personnelles! cela a incité les institutions financières à renforcer leurs mesures de cybersécurité et à créer des services entièrement voués à la lutte contre la cybercriminalité. En fait, jusqu’au vol de données chez Desjardins, les institutions financières croyaient qu’elles étaient bien au fait des risques existants. Mais elles n’avaient pas anticipé que l’attaque pouvait provenir de l’interne et pas seulement de l’extérieur. Elles se sont rendu compte que, de ce point de vue, elles étaient très fragiles.

Est-il possible de mesurer l’étendue des dégâts causés par cette fraude pour les clients de Desjardins?

C’est encore difficile à quantifier, car les informations personnelles dérobées pourraient n’être utilisées que bien plus tard. Immédiatement après un vol de données, les organisations renforcent généralement leur surveillance et les malfaiteurs attendent que celle-ci se relâche suffisamment pour passer à l’action. Les risques pourraient donc encore perdurer pendant un an ou deux.

Comment le gouvernement québécois a-t-il réagi à la suite de cette crise?

Le gouvernement a bien fait comprendre qu’il ne voulait pas que cela se reproduise. Ainsi, le degré d’exigences en matière de sécurité a été haussé par rapport au milieu bancaire et financier. Québec a également instauré une politique gouvernementale en matière de cybersécurité, adoptée en mars 2020, qui oblige les organismes publics à assurer la protection des données personnelles qui leur sont confiées. Le projet de loi 64 [Loi modernisant des dispositions législatives en matière de protection des renseignements personnels], déposé en juin 2020, prévoit aussi des amendes salées pour les entreprises qui n’assurent pas la protection adéquate des renseignements personnels de leurs clients.

L’Agence du revenu du Canada [ARC] et Revenu Québec ont aussi renforcé leurs mesures de protection contre le vol de données. Ils ne se considéraient pas comme des cibles, mais après le vol chez Desjardins, ils ont pris conscience du degré auquel les informations personnelles sont recherchées par les pirates.

LIRE AUSSI : « Cybersécurité : misez sur la prévention ! »

Cela dit, l’intrusion dans les banques de données de l’ARC en août 2020 nous rappelle que, quel que soit le système de protection mis en place, il ne peut qu’être insuffisant. Surtout, il devient très vite obsolète. Trop souvent, on sous-estime la créativité des pirates, qui cherchent à trouver le plus rapidement possible la faille dans l’écran de protection déployé. Être satisfait d’un outil de protection, c’est oublier qu’il sera contourné rapidement et qu’il faudra à court terme en concevoir et en adopter un nouveau.

De façon générale, les entreprises sont-elles conscientes du risque?

Il existe une certaine cybernaïveté au sein des entreprises. Beaucoup pensent qu’elles sont à l’abri de ce type d’attaque ou que les pirates préfèrent s’en prendre à de grandes structures, ce qui est inexact. Même les petites organisations peuvent être touchées : on pense par exemple aux demandes de cyber-rançons qui frappent les PME. Les secteurs d’activité concernés vont aussi changer avec le temps. Par exemple, les hôpitaux pourraient devenir des cibles intéressantes. Et il ne suffira pas d’ériger un mur extérieur : il faudra aussi se protéger des vols à l’interne, notamment par un employé qui téléchargerait les informations personnelles des patients pour ensuite les revendre à des malfaiteurs. Le piratage a radicalement changé de visage et on doit apprendre à anticiper les dangers.

Quelles pourraient être les répercussions du télétravail ? Y a-t-il un risque accru de piratage des données personnelles?

Lors du confinement décrété en 2020, le télétravail a été généralisé, avec tous les dangers que cela comporte en matière de cybersécurité. Si on se sert d’un ordinateur personnel mal protégé ou si on utilise les réseaux sociaux ou son courriel personnel sur un ordinateur de travail, par exemple, il y a des risques. Il va falloir changer nos habitudes, car les pirates sont à l’affût. Ils s’adaptent sans cesse et ont toujours une longueur d’avance. Le télétravail pourrait bien constituer une sorte de buffet à volonté pour eux!