Desjardins, Equifax et Revenus Québec, victimes de vol de données - Comprendre et se protéger.

12/08/2019 |


 

Depuis plusieurs semaines on assiste au Canada à une succession de crise concernant le vol de données personnelles. Pas plus tard qu’il y a une semaine, c’était la panique lors de l’annonce que les données de 6 millions de Canadiens, avaient été volés à la suite d’un piratage informatique survenu chez Capital One. Précédent cet incident, c’était la banque Desjardins qui a été la cible de vol de données

Puis on vient d’annoncer qu’à Revenu Québec, quelque 23 000 employés sont touchés par une fuite de renseignements personnels qu’un membre du personnel aurait transféré, hors des lieux de travail de l’organisation

Cette succession d’incidents graves révèlent que le système est miné par des failles qui sont clairement  des symptômes de problèmes plus profond qui, si les gouvernements ne mettent pas en place des règles plus strictes concernant l’identité numérique et touchant les entreprises, risque de se répéter plus souvent que nous avons pu l’observer dans le passé. Un proverbe français dit ceci : “Aux grands maux, les grands remèdes”. En ce sens, nous pensons que toutes les entreprises, peu importe leur secteur d’activité doivent prendre au sérieux la menace concernant le vol de données afin de:

  • Ne pas en devenir des victimes

  • Protéger leurs clients 

  • Minimiser des pertes  (souvent chiffré en millions de dollars)

En gros, il vaut mieux prévenir que guérir, et c’est maintenant qu’il faut s’y prendre. 

Récemment, dans une entrevue accordée à Radio-Canada sur l’analyse du récent piratage de Capital One, José Fernandez, professeur au Département du génie informatique et de génie logiciel à polytechnique Montréal, disait ceci :

« On peut se demander si les banques font un bon travail, affirme M. Fernandez. La réponse est qu’elles font un travail acceptable, bien au-delà de la moyenne. Elles sont parmi les meilleures des classes. »

Dans cette entrevue, M. Fernandez exprime que le blâme ne doit pas uniquement être porté sur les institutions financières et que ceux qui pensent ainsi font partiellement fausse route. Tel que rapporté par Radio Canada, il dit ceci: 

« Le problème, ce n’est pas les banques, c’est la société dans laquelle on vit, c’est le gouvernement, c’est le numéro d’assurance sociale, poursuit-il. Tant qu’on va continuer à utiliser des informations personnelles pour authentifier les gens, il y aura un incitatif pour les criminels d’aller voler ces informations. »

Les méthodes d’authentification

Au Canada, chaque individu a un numéro d’assurance sociale qui lui est assigné et qui est aussi utilisé comme une méthode d'authentification pour tous types de démarches, financière ou sociale. Devrait-on déplorer le fait que les institutions financières, gouvernementales et entreprises privées considèrent la date de naissance , le numéro d’assurance sociale et le nom de jeune fille de la mère comme des informations secrètes alors que nous savons tous qu’il est très facile d’avoir ces informations qui sont pour la plupart déjà très publique. 

Du coup, la véritable menace, se trouve-t-elle donc du côté des institutions financières? 



Je vous dirai que non car je pense qu’elle se trouve avant tout auprès des entreprises qui se servent de ces informations personnelles pour identifier leurs clients seulement, dans les cas les plus flagrants révélés au grand public, c’est toujours des institutions financières et multinationales qui sont exposées. D’ailleurs j’aimerais rebondir sur ce constat en vous illustrant quelques cas pas toujours connus du public: 

  • UBER : en novembre 2017, le PDG d’Uber révèle que les données (noms, adresses électroniques et numéros de téléphone mobile) de 57 millions d’utilisateurs à travers le monde, dont celles de 600 000 chauffeurs, ont été piratées fin 2016.

  • ASHLEY MADISON : en août 2015, c’est un groupe de pirates informatiques qui publie 30 gigaoctets de données clients du site canadien de rencontres adultères Ashley Madison contenant les noms, courriels, voire les préférences sexuelles d’utilisateurs. Les révélations tournent au tragique avec le suicide d’inscrits aux États-Unis et au Canada. Le patron d’Ashley Madison doit quitter ses fonctions. 

  • MARIOTT : la chaîne d’hôtels et de résidences Marriott a été victime en novembre dernier d’un vaste vol d’identité de ses clients. Les informations concernant près de 500 millions des clients de sa chaîne Starwood ont été dérobées par des pirates informatiques.

  • FACEBOOK : des pirates informatiques ont profité en septembre 2018 d’une faille de sécurité pour dérober les données personnelles de 29 millions d’usagers de Facebook. Les pirates ont accédé à leurs noms, adresses électroniques et numéros de téléphone, voire, pour certains, à leur situation amoureuse ou à leur lieu d’habitation.

Comment se protéger

Si vous êtes une entreprise, il est important de prendre certaines dispositions pour réussir à vous protéger des vols de données (peu importe leur type). Ceci passe par : 

  • La compréhension des types de données générés et traité par votre entreprise

  • La mise en place d’une architecture de données saines, personnalisée et tenant compte des failles de vulnérabilité

En plus de ces recommandations il faudrait aussi au sein de votre entreprise: 

  • Octroyer des droits d’accès différents

  • Utiliser une double authentification forte

  • Durcir la protection des informations

  • Mettre en œuvre une gestion des droits d’information

  • Enregistrer toute modification

 

CONCLUSION: 

Tout comme Desjardins, Equifax, ou Revenu Québec, aucune compagnie peu importe sa taille n’est à l’abri des risques de vol de données. Les entreprises doivent donc réviser et améliorer continuellement leurs systèmes puis réviser et mettre à jour leurs procédures de sécurité pour réussir à minimiser les risques de vol de données. Aussi, la menace croissante que représentent les employés de l’entreprise dans le cadre de vols de données est de plus en plus grandissante et pour vous protéger vous devez prendre des mesures parfois coûteuses mais importantes pour la sécurité de vos informations et la confiance que vous dégagez auprès de votre public. 

Chez Oshara Inc, nous avons des experts en sécurité pouvant vous aider à modéliser ou renforcer vos systèmes de sécurité afin de protéger votre entreprise. 

Was this article useful?

Les lecteurs de cet article lisent aussi ...

Une agence de communication tout ce qu il faut savoir

Une agence de communication tout ce qu il faut sav...

Par définition, Une agence de communication (marketing) est une entreprise qui planifie et harmonise la communication interne et / o...

Une agence de communicati...


Développer une application Native, Hybride ou Web ? Quels sont les différences ?

Développer une application Native, Hybride ou Web...

Il existe différents types d'application (app), ayant chacune leurs avantages et inconvénients. Nous essayerons ici d'éclaircir vos ...

Développer une applicati...


Les secrets d'une stratégie marketing conforme au RGPD sans diminuer vos revenus ?

Les secrets d'une stratégie marketing conforme au...

Le GDPR ou en francais RGPD est l’initiale de Réglement Général pour la Protection des Données et désigne la dernière directive...

Les secrets d'une straté...


Comment choisir son CMS : Wordpress, Joomla ou Drupal

Comment choisir son CMS : Wordpress, Joomla ou Dru...

Comment choisir son CMS :...


Bonne ou mauvaise idée d'investir dans une bonne identité visuelle

Bonne ou mauvaise idée d'investir dans une bonne ...

Bonne ou mauvaise idée d...


Comment obtenir une certification instagram ?

Comment obtenir une certification instagram ?

A l’identique de Twitter et Facebook, Instagram offre la possibilité aux administrateurs d’une page Instagram de certifier certai...

Comment obtenir une certi...


×
Processing.....