Vols de données personnelles et bancaires au Canada, une véritable pandémie?

Au Québec, de récents vols de données personnelles et bancaires inquiètent beaucoup la population. Le grand spécialiste en sécurité informatique, Paul Laurier, y voit un vrai problème de société. Pour Sputnik, il revient sur ces événements et critique la mauvaise gestion des données par les entreprises et organismes publics.
Sputnik

Le 20 juin dernier, la presse a appris qu’un employé du Mouvement Desjardins avait dérobé les données personnelles de 2,9 millions de ses clients. Des informations sensibles et susceptibles d’être utilisées par des criminels. Le Mouvement Desjardins est l’une des plus grandes institutions financières canadiennes. Le 29 juillet, la presse a ensuite appris que 6 millions de Canadiens avaient été victimes d’un piratage informatique visant la banque américaine Capital One. Un délit qui aurait été commis les 22 et 23 mars 2019.

Mais la saga n’était pas encore terminée. Le 7 août dernier, la presse a enfin appris que 23.000 employés de Revenu Québec avaient été touchés par une autre fuite de renseignements personnels. Revenu Québec est l'agence de l’État québécois chargée de percevoir et gérer les taxes et impôts de la population. La Sûreté du Québec a dû rapidement procéder à des arrestations. 

Des vols répétés et à grande échelle

Pour mieux saisir la situation, Sputnik s’est entretenu avec Paul Laurier, ex-enquêteur de la Sûreté du Québec et spécialiste mondialement reconnu en sécurité informatique. Formé par le FBI dans les années 2000, M. Laurier est l’un des premiers agents québécois à s’être intéressé aux questions numériques. D’entrée de jeu, il a souligné que le Québec n’était pas bien équipé pour faire face aux nouvelles menaces:

«Le Québec n’est pas nécessairement un exemple en matière de protection informatique. Nous l’avons vu à de nombreuses reprises avec le « bordel » informatique dans la fonction publique. C’est un phénomène mondial, mais les Québécois sont maintenant encore plus vulnérables avec la commercialisation des données», a d’abord mentionné l’expert.

Cinq risques liés au développement de l'intelligence artificielle

Paul Laurier, par ailleurs président fondateur de Vigiteck, juge que les mesures de protection demeurent nettement insuffisantes, dans les organismes publics comme dans les entreprises privées. Il en appelle à la mise en place de systèmes beaucoup plus costauds pour prévenir la fraude.

«Soyons francs: les grandes organisations sont à la merci de compagnies comme Microsoft et Google […] Si on ne prend pas les précautions nécessaires, on peut se retrouver avec des gens qui s’approprient toutes les données. […] En multipliant les sources de données sans les protéger, on s’expose de plus en plus à des cas comme celui de Desjardins et de Revenu Québec. Il faut appliquer exactement les mêmes principes que dans le monde physique. Si vous placez un joyau dans une pièce, vous devez savoir qui peut et ne peut pas y accéder», a poursuivi l’ex-enquêteur.

L’expert en sécurité informatique  estime par ailleurs que des institutions financières préfèrent même taire certains vols internes pour protéger leur réputation. Au Canada, les vols de données sont souvent révélés à la population plusieurs mois après avoir été commis. Cette réalité s’expliquerait notamment par les stratégies de communication employées par certaines institutions. Paul Laurier pense même que des voleurs se sont retrouvés dans d’autres entreprises après avoir été épinglés par leur précédent employeur.

Plus d’une centaine d’établissements de santé en France auraient subi une cyberattaque

«Combien d’entreprises québécoises se font faites «  pillées »et ne l’ont pas déclaré? Je suis intervenu dans de nombreux dossiers liés à des entreprises. Généralement, les directions préfèrent régler à l’amiable les cas de fraude ou de vol pour ne pas avoir de dommages corporatifs. Les entreprises signent une entente de confidentialité avec l’employé fautif qui sera ensuite peut-être engagé par une autre entreprise. […] C’est probablement ce qu’on a voulu faire dans le cas de Desjardins. Ce sont des réflexes simples: des entreprises cachent les délits pour leur image», a-t-il révélé au cours de l’interview accordée à Sputnik. 

Le 4 février dernier, le gouvernement Legault a annoncé qu’il entendait confier 80% des données personnelles des Québécois amassées par l’État à des firmes américaines. Un projet dénoncé par des élus du Parti libéral du Québec, le parti formant l’opposition officielle à Québec. Comme ces derniers, Paul Laurier s’oppose catégoriquement à cette idée. Selon lui, il en va de la sécurité, mais également de la souveraineté des Québécois:

Apple paiera un million de dollars à quiconque piratera l’iPhone

«Le gouvernement Legault veut confier les données recueillies par l’État à des entreprises pour économiser de l’argent. Est-ce une bonne idée de donner ça à des Américains? La réponse est non. […] C’est une très mauvaise idée, car c’est une question de souveraineté. Il vaudrait beaucoup mieux créer un consortium canadien en matière de gestion de données plutôt que de céder ça à des entreprises étrangères qui auront accès aux profils des Québécois», affirme l'expert d’un ton catégorique.

Les lacunes en matière de gestion de données semblent si grandes qu’il aimerait qu’on en fasse un enjeu électoral durant la prochaine campagne. Une élection fédérale a été fixée au 21 octobre prochain. La sécurité des données numériques, l’un des thèmes du prochain grand débat des chefs?

 

Discuter