Desjardins : un an plus tard que retenir de la fuite de données
Hier, cela faisait un an jour pour jour que la société Canadienne en Desjardins a été victime d’un des plus grands vols de données de l’histoire du Québec.
Qu’est-ce qui a été retenu de ce grand incident informatique. Il y aurait-il des améliorations quant à la protection des données des personnes. Il Y a-t-il encore du progrès à faire dans ce domaine ? autant de questions que se posent à la fois, les particuliers les spécialistes et les autorités.
Cet article va aussi vous intéresser : Desjardins : le vol de données ne concernait pas seulement la banque Canadienne
Depuis 1 ans, le gouvernement Legault n’a pas cessé de multiplier les initiatives pendant à améliorer la sécurité des données personnelles dans des citoyens québécois et la cybersécurité des infrastructures informatiques. Cela s’établit clairement dans sa promesse de transformation numérique, justifiant la nomination de Éric Caire comme délégué.
Durant le mois de décembre 2019, un projet de loi a été proposé, dans l’optique d’encadrer certaines agences en particulier celles chargées d’évaluation de crédit. La loi a pour but déposer une sorte de « gel de sécurité » aux consommateurs, de sorte à empêcher que des prêts soient accordés à ces derniers. Depuis le mois de mars dernier avec le projet de loi 64, le gouvernement québécois met l’accent encore plus haut sur la cybersécurité en obligeant tous les organismes publics, à assurer de manière ponctuelle la sécurité des données personnelles qui leur seront confiées. En plus des institutions publiques, les organisations privées sont aussi dans la ligne de mire de cette nouvelle proposition législative. Ces dernières risquent des amendes pouvant monter jusqu’à 25 millions de dollars en cas de problème relatif à la protection des informations personnelles de leur clientèle. « Ça s’en va dans la bonne direction », selon Steve Waterhouse, spécialiste de sécurité de l’information et professeur à l’Université de Sherbrooke. « Ça va se travailler dans les prochaines années et ça va aider à raffermir la sécurité des données personnelles au Québec. » ajoute l’expert.
Pour un autre enseignant, le professeur José Fernandez, chargé de cours au département de génie informatique et génie logiciel de Polytechnique de Montréal, l’affaire Desjardins a été quelque chose qui aurait boosté d’une certaine manière les mesures de protection des systèmes informatiques au Québec, en particulier l’authentification. « C’est quelque chose dont on ne parlait plus il y a trois ou quatre ans, maintenant on en parle. Est-ce que Desjardins a poussé Québec à aller plus loin ? Oui, sans doute. On parle du long hiver de l’intelligence artificielle ; il y a eu le long hiver de l’identité numérique, on est peut-être maintenant au printemps, espérons-le. » souligne le Professeur.
Selon le PDG de la société spécialisée dans la cybersécurité Eva technologies, le Québec est suffisamment outillé avec une balise assez solide en matière d’authentification, et de préservation de l’identité numérique, à l’instar bien sûr du permis de conduire : « On en est tellement proches… Il y a déjà un code à barres à l’arrière, on n’aurait qu’à faire une base de données avec l’assurance maladie, on aurait la base de notre carte d’identité nationale. ».
L’incident informatique de Desjardins, qui a coûté près de 108 millions de dollars à l’institution financière, et affecté 8 millions d’individus, et même pas assez pédagogique sur l’ensemble du paysage informatique du Québec. En effet que ce soit les autorités les entreprises au même la population, ce problème a été suffisant pour sensibiliser tous ces acteurs sur le danger que représente la cybercriminalité et l’enjeu important de la sécurité informatique dans le quotidien. Aucune compagne de sensibilisation ou même marketing aurait eu autant d’effet. « Quand je travaille chez un client, la première chose que je lui demande, c’est : “Voulez-vous qu’un scénario à la Desjardins arrive chez vous ?”, C’est une ficelle que je n’aime pas tirer, mais c’est un fait : le cas Desjardins sert d’épouvantail… » expliquait Jean Loup Le Roux, un spécialiste de spécialiste en sécurité informatique. Le fait que le vol de données subi Desjardins a été grâce à une méthode assez classique connue déjà par les responsables de la sécurité et grâce à des outils technologiques limités, la cybersécurité a été littéralement démystifiée. « On a fait beaucoup de bruit autour du dark web et des pirates chinois ou russes, mais la réalité du terrain est beaucoup plus banale. Quelqu’un de l’interne a eu accès à beaucoup trop d’information, il l’a exfiltrée avec des méthodes qui auraient dû être surveillées et l’a revendue à des contacts dans la vraie vie. On part de scénarios à la James Bond et on se rend compte que la réalité est souvent bien plus simple. » ajoute notre spécialiste.
« Chaque semaine, il y a une nouvelle là-dessus, Avon, Visa, des PME, des institutions financières… » Les Québécois ont compris à quel point il était assez vulnérable face à la cybermalveillance. Comme le note Steve Waterhouse. Éric Parent, un autre professionnel de la sécurité renchérit : « Ça a changé la perception des gens qui se pensaient intouchables : tout le monde a été touché, même moi qui ne suis pas client ».
Du côté de l’organisation, Desjardins a annoncé plusieurs réformes en son sein. Le mouvement assure même « avoir rehaussé sa sécurité à l’interne, mais il n’y a aucun audit d’une organisation indépendante qui a pu le confirmer », rapporte Steve Waterhouse. En décembre dernier, le mouvement Desjardins crée un bureau de la sécurité. Unité qui rassemble près de 900 experts de la société. Ce bureau a effectivement en son sein une autre unité destinée spécialement à lutter contre les crimes financiers, tel que décrit par Chantal Corbeil la parole du mouvement. « Depuis plusieurs années, Desjardins augmente ses investissements significativement en sécurité de l’information [plus de 100 millions cette année par rapport à 70 millions l’an dernier]. Nous allons continuer de le faire », ajoute-t-elle.
Accédez maintenant à un nombre illimité de mot de passe :