Récemment, des incidents ont fait les manchettes:la fuite de données au Groupe Cloutier en avril dernier, et peu après, la brèche à InvestorCOM, qui a mis indirectement à risque les renseignements personnels des clients de Placements Mackenzie et Empire Vie.
Lorsqu’un incident survient, les conseillers, en particulier, se retrouvent en première ligne pour
informer et rassurer leurs clients. Ils sont alors confrontés au défi de savoir comment et quoi communiquer à ces derniers.
« Chaque cas d’intrusion génère un volume supérieur d’appels ou de courriels de la part des investisseurs », confirme Gino-Sébastian Savard, président de MICA Cabinets de services financiers, une victime collatérale des événements survenus chez Mackenzie et Empire Vie.
Pour guider ses conseillers, MICA a essentiellement repris les messages préparés par ces deux firmes faisant état de la situation et de la marche à suivre pour les individus concernés. « Personne n’aime apprendre que ses renseignements personnels se trouvent aux mains de cyberpirates. Les conseillers se devaient de transmettre l’information fournie pour rassurer les clients et les inciter à se protéger », explique Gino-Sébastian Savard.
Dans sa communication, Mackenzie — tout comme Empire vie et avant eux le Groupe Cloutier — offrait aux investisseurs un abonnement à un service de surveillance et de protection du crédit, à ses frais, pour une période de deux ans. La firme conseillait également à ses clients de verrouiller leur dossier de crédit auprès des principales agences de crédit, comme Equifax et TransUnion.
Placements Mackenzie indiquait également la date de l’incident et les renseignements personnels en cause dans la violation de données. L’émetteur de fonds soulignait aussi que les renseignements financiers (soldes de comptes et titres détenus) n’ont pas été exposés lors de l’incident. « Les placements des investisseurs détenus dans les fonds Mackenzie n’ont pas été touchés et nos systèmes n’ont pas été compromis », lit-on dans une note.
Par ailleurs, Finance et Investissement a également constaté comment un conseiller d’un autre courtier a géré la situation. Il a d’abord été transparent sur l’incident, communiquant par courriel avec ses clients afin qu’ils s’attendent à recevoir la lettre de Mackenzie à ce sujet.
En plus de rappeler l’essentiel de la communication de Mackenzie, il a souligné que l’incident n’avait rien à voir avec son courtier et, ainsi, n’a pas compromis ses données ni ses systèmes. Il a rappelé qu’aucun ordre ne peut être exécuté sans qu’il n’en soit avisé.
Le représentant termine en offrant sa disponibilité pour répondre aux questions de ses clients, y compris s’ils sont inquiets parce qu’ils détiennent un fonds de Mackenzie.
Est-ce que ces messages suffisent à rassurer les clients ? Ces mesures, qui sont devenues courantes, n’offrent dans les faits qu’une protection limitée, selon Patrick R. Mathieu, cofondateur du Hackfest et conseiller en sécurité informatique. « Ce n’est pas une bonne façon de gérer les données de ses clients, affirme-t-il. De plus, la surveillance et le gel du dossier de crédit n’offrent aucune protection si les données piratées sont utilisées dans un pays où les agences ne sont pas actives. »
Plus de transparence souhaitée
Il plaide pour une meilleure communication en cas de cyberattaque. « Les messages se ressemblent d’une entreprise à l’autre, c’est presque du copier-coller, poursuit-il. Sans révéler des informations sensibles qui pourraient aider les cyberpirates, les organisations doivent faire preuve de plus de transparence envers leurs clients. »
Il est d’avis qu’elles devraient en dire davantage sur leur politique de cybersécurité (à condition qu’elles en aient une). Elles gagneraient à expliquer les différentes mesures mises en place pour protéger les données (sauvegardes, mises à jour des systèmes, tests d’intrusion, etc.) de manière à démontrer qu’elles se soucient réellement de la sécurité des données. Cela renforcerait également l’information que les conseillers pourraient transmettre à leurs clients.
Il est fréquent que les entreprises restent silencieuses après une attaque. Dans le cadre de cet article, plusieurs firmes ont été contactées, dont Placements Mackenzie, et seule MICA a accepté de répondre à nos questions. C’est pourtant en partageant ce qu’elles font de bien en matière de cybersécurité que les organisations peuvent s’inspirer les unes des autres et aider l’industrie à limiter les tentatives d’intrusion, soutient Patrick R. Mathieu.
Francis Ménard, vice-président, transformation numérique à MICA, reconnaît le besoin d’une plus grande transparence des entreprises, il comprend toutefois la réticence à médiatiser les incidents. Selon lui, une veille technologique est essentielle.
Pour améliorer les pratiques de l’entreprise, il a constitué un réseau d’experts composé notamment d’anciens collègues qui se réunissent sur une base régulière afin de partager les moyens mis en place pour déjouer les tentatives d’intrusion toujours plus sophistiquées, rétablir rapidement les systèmes dans le cas d’incidents, etc.
« C’est important de rester connectés entre professionnels du même domaine. On est ainsi exposés à diverses situations, et on saura mieux y répondre en bénéficiant de l’expérience des uns et des autres », dit Francis Ménard.
Protéger et pérenniser
Ces dernières années, MICA a investi massivement pour renforcer ses protections contre les attaques de pirates. « Nous détenons des informations très sensibles sur nos clients. C’est important de mettre en place des méthodes efficaces de cyberprotection pour faire en sorte qu’elles ne tombent pas entre les mains d’esprits malfaisants et assurer la pérennité de l’entreprise », rappelle Gino-Sébastian Savard.
Il a posé « un geste important » en embauchant Francis Ménard, qui était consultant en cybersécurité pour MICA depuis quelques années. Entre autres responsabilités, il s’assure d’informer en continu les conseillers sur les meilleurs moyens de contrer les menaces de sécurité.
« Les outils technologiques évoluent sans cesse. Il y a par exemple ChatGPT, que les conseillers utilisent de plus en plus pour corriger une communication qui sera envoyée aux investisseurs. On leur a recommandé de supprimer les informations personnelles de leurs clients avant de soumettre le texte au robot conversationnel. On ne sait pas comment sont conservées les données sur cette plateforme, il vaut mieux l’utiliser avec prudence », donne-t-il en exemple.
Nouvelle loi, nouvelles obligations
Les représentants de l’industrie ont l’obligation de préserver la confidentialité des renseignements personnels de leurs clients et d’en assurer la sécurité. « Concrètement, le représentant doit prendre les mesures nécessaires pour protéger la confidentialité de ces renseignements, que ce soit lors de leur collecte, de leur utilisation, de leur communication, de leur conservation ou de leur destruction », indique le site Internet de la Chambre de la sécurité financière.
Par ailleurs, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 25) a récemment instauré d’autres obligations dans les cas d’incident de confidentialité impliquant un renseignement personnel.
Selon celle-ci, les entreprises doivent prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent ; aviser la Commission d’accès à l’information du Québec (CAIQ) et la personne concernée si l’incident présente un risque de préjudice sérieux ; tenir un registre des incidents, dont une copie devra être transmise à la CAIQ à sa demande.
Depuis septembre, selon la loi 25, les entreprises doivent avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur leur site Internet, d’après la CAIQ. Ces politiques peuvent être utiles afin d’agir rapidement en cas d’incident.
– finance et investissement