S5- Cas Desjardins (vol de données) PDF

Preview

Summary

Il s'agit d'une analyse de cas que nous avons faite en classe....

Description

Vol massif de données chez Desjardins Cas1 produit par Justine-Anne Rowell2 et Joé T. Martineau 3

« Chez Desjardins, dans un souci de bien commun, nous mettons tout en œuvre pour mériter et conserver la confiance de nos membres, clients et partenaires. Cette responsabilité exige honnêteté, objectivité, compétence et transparence ainsi que le respect des encadrements dans toutes nos pratiques d'affaires et de gestion. Gérer l'argent et le patrimoine de nos membres et clients est une grande responsabilité. » - Extrait tiré de la rubrique « Mission, vision et valeurs » du site internet de Desjardins 4

Montréal, le jeudi 20 juin 2019 Guy Cormier, président et chef de la direction du Mouvement Desjardins, s’apprête à dévoiler publiquement que les données personnelles de 2,9 millions de membres du groupe financier coopératif ont été volées par un employé malveillant. Parmi ces informations – noms, prénoms, dates de naissance, numéros d’assurance sociale (NAS), adresses, numéros de téléphone et courriels – des données couramment utilisées pour la fraude et le vol d’identité. Accompagné de Denis Berthiaume, premier vice-président exécutif et chef de l'exploitation, et de l’inspecteur François Dumais du Service de police de Laval, Guy Cormier est prêt à répondre aux questions des journalistes et des citoyens. À l’heure actuelle, rien ne permet de prédire l’ampleur des conséquences qu’aura une telle fraude, particulièrement sur la sécurité des citoyens et la réputation du Mouvement Desjardins.

1 Ce cas s’appuie sur des données publiques dont les sources sont indiquées en notes de bas de page et regroupées dans la section Références en fin de texte. 2 Justine-Anne Rowell est étudiante au doctorat en administration à HEC Montréal. 3 Joé T. Martineau est professeure adjointe au département de management de HEC Montréal. 4 Desjardins, « Mission, vision et valeurs – L’intégrité et la rigueur », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/a-propos/desjardins/qui-nous-sommes/mission/index.jsp

Vol massif de données chez Desjardins

Mouvement Desjardins Connu comme le premier groupe financier coopératif au Canada, le Mouvement des caisses Desjardins est fondé à Lévis en 1900 par Alphonse et Dorimène Desjardins. Le Mouvement regroupe aujourd’hui un réseau de caisses et de centres destinés à des membres individuels et à des entreprises. Il compte plus de 7 millions de membres et clients, et plus de 46 000 employés. En date du 31 décembre 2018, Desjardins est à la tête d’un actif total de 295,5 G$.5 Le réseau des caisses du Québec et l’Ontario comprend trois principaux secteurs d’activité : Particuliers et Entreprises, Gestion de patrimoine et Assurance de personnes et Assurance de dommages. Qu’est-ce qu’un groupe financier coopératif? Desjardins a la particularité d’être un groupe financier coopératif. En effet, plusieurs éléments distinguent le secteur bancaire, qui relève au Canada du gouvernement fédéral, et le secteur financier coopératif, qui relève du gouvernement du Québec. Selon la boussole entrepreneuriale : « La coopérative de solidarité est une entreprise gérée démocratiquement et conjointement par différents groupes ayant des intérêts et des objectifs communs. Ces groupes participent tous à la prise de décision stratégique de l'entreprise. Il peut s'agir des travailleurs, des clients, des fournisseurs ou des partenaires du projet, lesquels peuvent être travailleurs ou clients. La coopérative est ainsi gérée de façon à répondre aux besoins des différentes catégories de membres. »6 Chez Desjardins, cela se traduit par le principe « un membre, un vote ». Les membres peuvent ainsi s’exprimer aux assemblées générales, poser leur candidature comme administrateurs et recevoir des ristournes. 7 L’éthique et la déontologie chez Desjardins Parmi les politiques adoptées par le Mouvement Desjardins et ses membres, assurer la confidentialité et la protection des renseignements personnels des membres et clients fait partie des priorités. Plus

5

Desjardins, « Desjardins en chiffres », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/a-propos/desjardins/qui-nous-sommes/en-chiffres/index.jsp 6 Boussole entrepreneuriale, « Coopérative de solidarité », page consultée le 1er décembre 2019, URL : https://www.boussoleentrepreneuriale.com/coop-solidarite/ 7 Desjardins, « Fonctionnement coopératif », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/a-propos/desjardins/gouvernance-democratie/fonctionnementcooperatif/index.jsp

2

Vol massif de données chez Desjardins

spécifiquement, Desjardins s’est doté d’un code de déontologie regroupant les règles communes à toutes les composantes du Mouvement. 8 Adopté par le conseil d’éthique et de déontologie de la Fédération des caisses Desjardins, le code s’adresse aux administrateurs et employés, qui sont tenus de le respecter. L’éthique y est décrite comme visant à « assurer une cohérence entre les propos, les décisions et les actions. ».

Guy Cormier, président et chef de la direction Depuis 2016, Guy Cormier est président et chef de la direction du Mouvement Desjardins. Diplômé de HEC Montréal (BAA et MBA), il est à l’emploi de Desjardins depuis 1992. Il y a d’abord été directeur général de plusieurs caisses au sein du réseau, puis vice-président Finances, Réseau des caisses de 2009 à 2012. Depuis, il est membre de la haute-direction du Mouvement Desjardins, d’abord comme premier vice-président Réseau des caisses, ensuite comme premier vice-président Réseau des caisses et Services aux particuliers, et finalement comme président et chef de la direction. Il est à ce jour le plus jeune président du Mouvement.

Transactions suspectes à vol massif de données En décembre 2018, Desjardins porte plainte pour la première fois auprès du Service de Police de Laval (SPL) : des données personnelles confidentielles ont été retrouvées sur des clés USB. Il faudra toutefois attendre jusqu’au 14 juin 2019 pour que le SPL confirme à Desjardins l’ampleur du vol de données. Un employé malveillant, spécialiste des données travaillant depuis plusieurs années pour le Mouvement Desjardins, aurait trouvé le moyen d’accéder à des informations confidentielles et de les transmettre à de tierces personnes, à l’extérieur de l’organisation. Cette personne faisait partie de la centaine d’employés, sur près de 46 000, qui a accès à des informations sensibles. C’est finalement à l’issue de la conférence de presse du 20 juin 2019, où sont réunis Guy Cormier, président et chef de la direction du Mouvement Desjardins, Denis Berthiaume, premier vice-président exécutif et chef de l'exploitation, et François Dumais, inspecteur du Desjardins, « Code de déontologie Desjardins », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/ressources/pdf/d05-code-deontologie-f.pdf?resVer=1558966874000 8

3

Vol massif de données chez Desjardins

SPL, que l’on apprend l’ampleur de la situation : le vol de données concerne 2,9 millions de membres du groupe financier coopératif, soit 2,7 millions de membres particuliers et 173 000 entreprises. Parmi les données volées : des noms, prénoms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, courriels, ainsi que d’autres renseignements portant sur les habitudes transactionnelles et les produits bancaires détenus par les clients de Desjardins. Les mots de passe, numéros d’identification personnels (NIP) et questions de sécurité des membres n’ont heureusement pas été touchés. On y apprend par ailleurs que l’employé suspect a été interpellé, interrogé et remis en liberté en attendant les suites de l’enquête criminelle, qui a été confiée à l’équipe de lutte contre la fraude du SPL.

Établir les priorités : Protéger les membres et rétablir la confiance Dans le cadre de la conférence de presse du 20 juin 2019, Guy Cormier s’engage au nom du Mouvement Desjardins à communiquer par lettre avec chacun des membres touchés, dans un délai de deux semaines, pour leur offrir un service de surveillance contre le vol d’identité. D’une durée d’un an, ce service sera assuré par la société Equifax 9. Il garantit également aux membres qu’en cas de perte financière liée à la situation, ils seront intégralement remboursés. Il affirme finalement que les mécanismes de confirmation d’identité ont été resserrées dans les centres d’appel et les caisses Desjardins, et que d’autres mesures, dont la nature ne peut être révélée pour en préserver l’efficacité, ont été mises en place pour assurer la protection des données personnelles. Denis Berthiaume affirme également que « Si les gens ont quelque doute que ce soit au niveau d’un vol d’identité, ou d’une usurpation d’identité, ils ont un numéro où ils peuvent appeler. Ça leur donne accès à des avocats, ou des spécialistes qui peuvent les appuyer au niveau de

9

Il est à noter que plus de 143 millions de clients Equifax ont été victimes d’un piratage informatique en 2017. En effet, des numéros d’assurance sociale (NAS), dates de naissance et numéro de permis de conduire ont été dérobés, en plus de certains documents et cartes de crédits. En 2017, Equifax stockait les données de plus de 820 millions de consommateurs. Selon vous, qu’est-ce qui explique que Desjardins ait tout de même fait appel à cette agence? Radio-Canada, « Fuite de données : cinq grands scandales des dernières années », page consultée le 1er décembre 2019, URL : https://ici.radio-canada.ca/nouvelle/1193991/scandale-fuite-volrenseignements-personnel

4

Vol massif de données chez Desjardins

la restauration de l’identité. »

. En parallèle, un microsite, accessible via le site internet

10

de Desjardins, est mis sur pied pour répondre aux questions des membres et clients touchés. Au lendemain de l’annonce et face aux inquiétudes des membres et clients, l’offre de service de surveillance de crédit est prolongée à cinq ans. « Ce service inclut : 1) Surveillance du dossier de crédit d’Equifax et d’alerte dès que des modifications importantes sont observées à son score de crédit, indiquant des transactions inhabituelles. 2) Balayage internet pour détecter la présence de certains des renseignements personnels du membre sur des sites internet suspects. 3) Restauration de l’identité : prise en charge des démarches pour rétablir l’identité si un membre est victime de vol d’identité. » 11 En date du 3 juillet 2019, faisant face à de grandissants retards et périodes d’indisponibilité d’Equifax, Desjardins confie 30% de la protection des membres à TransUnion, une compagnie américaine de protection des données bancaires. Le 15 juillet 2019, Desjardins annonce finalement avoir mis en place un système de protection permanent contre la fraude et le vol d’identité pour tous ces membres, une offre qui s’ajoute aux services déjà offerts par Equifax et TransUnion.

Des risques à ne pas prendre à la légère Les informations personnelles dérobées par l’employé malveillant constituent, selon Claude Sarrazin, fondateur et président de l’entreprise d’investigation indépendante SIRCO - Enquête et protection : « les outils de base des fraudeurs pour obtenir, [au nom des victimes], une carte de crédit, un téléphone cellulaire, des prêts automobiles, ou même des prêts hypothécaires. » 12 En effet, cette fuite présente un risque de vol d’identité. En entrevue à RDI, M. Sarrazin conseille aux membres touchés d’être vigilants face aux

10

Labbé, Jérôme (2019). « Vol massif de données personnelles chez Desjardins », Radio-Canada, page consultée le 16 juillet 2019, URL : https://ici.radio-canada.ca/nouvelle/1193006/caisses-populairesdesjardins-vol-donnees-personnelles 11 Desjardins, « Renseignements personnels : le Mouvement Desjardins est à l’écoute de ses membres et prolonge à 5 ans le service de surveillance d’Equifax », page consultée le 19 juillet 2019, URL : https://blogues.desjardins.com/communiques-de-presse/2019/06/renseignements-personnels-lemouvement-desjardins-est-a-lecoute-de-ses-membres-et-prolonge-a-5-ans-l.php 12 Radio-Canada, « Fuite de données chez Desjardins : quels sont les risques et que doit-on faire? », page consultée le 16 juillet 2019, URL : https://ici.radio-canada.ca/nouvelle/1193373/fuite-donnees-desjardinsfraude?depuisRecherche=true

5

Vol massif de données chez Desjardins

messages frauduleux qu’ils sont susceptibles de recevoir par téléphone et par texto. Pour Line Dubé, professeure titulaire au Département de technologies de l’information à HEC Montréal, c’est surtout la combinaison de toutes ces informations volées qui pose des risques. En effet, ces données volées en blocs posent de multiples risques : « usurpation, réacheminement ou prise de contrôle d’un compte bancaire, fraude auprès de différents fournisseurs de services, fraude par carte de crédit, vol d’identité, émission de nouvelles cartes de crédit, acquisition d’une voiture, de meubles ou même carrément d’une hypothèque. » 13

Réactions des parties prenantes Quelques heures à peine après l’annonce publique du 20 juin, le premier ministre du Québec François Legault réagit : « Cet évènement nous rappelle que la sécurité liée aux TI (technologies de l’information) est un enjeu auquel font face toutes les organisations. Nous avons échangé avec les dirigeants de Desjardins, qui sont en contrôle de la situation. Nous leur faisons confiance. » 14. L’Autorité des marchés financiers (AMF) réagit elle aussi en évoquant le caractère sérieux de la situation, tout en se disant « satisfaite des gestes posés jusqu’ici par Desjardins afin de protéger l’intérêt de ses membres et leurs actifs ». 15 L’AMF « demeure confiante que les dirigeants de l’institution ont pris la situation en charge avec la rigueur, la transparence et la célérité que commande la situation ». Plusieurs députés et partis politiques, dont Vincent Marissal, député de Québec Solidaire et Andrew Scheer, chef du parti conservateur du Canada, demandent aux élus d’agir et de se pencher concrètement sur l’enjeu de la protection des données. En parallèle, bien que de nombreux acteurs jugent favorablement les actions entreprises par Desjardins pour assurer la protection des membres, la situation a de quoi inquiéter. En effet, moins de vingt-quatre heures après l’annonce du vol massif de données, deux demandes de recours collectifs sont

13

Girard, Joëlle (publié le 22 juin 2019), « Vol de données personnelles : jusqu’où peuvent aller les fraudeurs? », page consultée le 16 juillet 2019, URL : https://ici.radiocanada.ca/nouvelle/1195258/desjardins-caisse-vol-donnees-identite-fraude?depuisRecherche=true 14 Labbé, Jérôme (2019). « Vol massif de données personnelles chez Desjardins », Radio-Canada, page consultée le 16 juillet 2019, URL : https://ici.radio-canada.ca/nouvelle/1193006/caisses-populairesdesjardins-vol-donnees-personnelles 15 Idem

6

Vol massif de données chez Desjardins

déposées contre Desjardins. Par ailleurs, le nombre élevé de plaintes des membres qui éprouvent des difficultés ou qui sont incapables de s’inscrire aux services d’Equifax fait réagir. Chantale Bouchard, porte-parole de l’Office québécois de la langue française, presse aussitôt Desjardins d’agir concernant la qualité du service offert par Equifax aux clients francophones. En effet, plusieurs sont incapables de se faire servir en français. Plusieurs instances et comités prennent ainsi part à l’enquête, dont la Commission de l’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada qui souhaitent déterminer si Desjardins a respecté la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec et la Loi sur la protection des renseignements personnels et les documents électroniques. Le Comité permanent de la sécurité publique et nationale de la Chambre des communes se réunit aussi d’urgence pour se pencher sur l’affaire. Plusieurs parties prenantes seront appelées à témoigner, dont des représentants de Desjardins et du Centre canadien pour la cybersécurité.

Aux dernières nouvelles… Le vendredi 1er novembre 2019, après des mois de gestion de crise, Guy Cormier apprend par la Sureté du Québec que le vol de données qu’il croyait avoir touché 2,9 millions de membres, a finalement touché la totalité des 4,2 millions de clients particuliers du Mouvement. Le mardi 3 décembre 2019, on apprend que Denis Berthiaume, premier viceprésident exécutif et chef de l’exploitation ainsi que Chadi Habib, premier vice-président des technologies de l’information, ont été congédiés au terme de vérifications internes. Guy Cormier, qui a l’intention de solliciter un second mandat comme président et chef de la direction, évoque un bris de confiance pour justifier ces changements au sein de la hautedirection. Aux dernières nouvelles, l’enquête Portier, regroupant des enquêteurs de la Division des enquêtes sur les crimes économiques de la Sûreté du Québec, les membres du Service de police de Laval, du Service de police de la ville de Montréal, du Service de police de la ville de Québec et du Service de police de Lévis, poursuit son travail d’investigation. Jusqu’à présent, 17 personnes ont été interrogées en plus de l’employé initialement congédié, mais aucune accusation n’a encore été portée.

7

Vol massif de données chez Desjardins

Références Boussole entrepreneuriale, Coopérative de solidarité, page consultée le 1er décembre 2019, URL : https://www.boussoleentrepreneuriale.com/coop-solidarite/, Desjardins, « Code de déontologie Desjardins », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/ressources/pdf/d05-code-deontologief.pdf?resVer=1558966874000 Desjardins, « Desjardins en chiffres », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/a-propos/desjardins/qui-nous-sommes/en-chiffres/index.jsp Desjardins, « Fonctionnement coopératif », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/a-propos/desjardins/gouvernancedemocratie/fonctionnement-cooperatif/index.jsp, Desjardins, « Mission, vision et valeurs – L’intégrité et la rigueur », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/a-propos/desjardins/qui-noussommes/mission/index.jsp, Desjardins, « Renseignements personnels : le Mouvement Desjardins est à l’écoute de ses membres et prolonge à 5 ans le service de surveillance d’Equifax », page consultée le 19 juillet 2019, URL : https://blogues.desjardins.com/communiques-depresse/2019/06/renseignements-personnels-le-mouvement-desjardins-est-a-lecoute-deses-membres-et-prolonge-a-5-ans-l.php Desjardins, « Structure du Mouvement Desjardins », page consultée le 1er décembre 2019, URL : https://www.desjardins.com/a-propos/desjardins/gouvernancedemocratie/structure/index.jsp Girard, Joëlle (publié le 22 juin 2019), « Vol de données personnelles : jusqu’où peuvent aller les fraudeurs? », page consultée le 16 juillet 2019, URL : https://ici.radiocanada.ca/nouvelle/1195258/desjardins-caisse-vol-donnees-identitefraude?depuisRecherche=true Labbé, Jérôme (2019). « Vol massif de données personnelles chez Desjardins », RadioCanada, page consultée le 16 juillet 2019, URL : https://ici.radiocanada.ca/nouvelle/1193006/caisses-populaires-desjardins-vol-donnees-personnelles Radio-Canada, « Fuite de données chez Desjardins : quels sont les risques et que doit-on faire? », page consultée le 16 juillet 2019, URL : https://ici.radiocanada.ca/nouvelle/1193373/fuite-donnees-desjardins-fraude?depuisRecherche=true Radio-Canada, « Fuite de données : cinq grands scandales des dernières années », page consultée le 1er décembre 2019, URL : https://ici.radiocanada.ca/nouvelle/1193991/scandale-fuite-vol-renseignements-personnel

8...