Le Groupe Cloutier, qui fournit des services à plus de 1000 conseillers en sécurité financière à travers le Canada, a été victime d’un incident de cybersécurité à la mi-février qui aurait permis de mettre la main sur les renseignements personnels de certains de ses clients, rapporte un article du Journal de Montréal.
« Il y a quelques semaines, nos systèmes de surveillance de la sécurité des données ont effectivement détecté et immédiatement bloqué des activités suspectes sur nos serveurs informatiques », nous a confirmé par courriel Karine Cloutier, vice-présidente marketing et développement corporatif au Groupe Cloutier.
Après la remise en marche sécuritaire des systèmes de l’entreprise, qui s’est faite dans un « délai extrêmement court », selon elle, une investigation a été menée révélant que des renseignements personnels de certains de ses clients avaient été « potentiellement compromis ».
Les données incluent des informations telles que le nom, l’adresse, le numéro d’assurance sociale et la date de naissance.
« Il est important de rappeler que, pour l’instant, rien n’indique que ces données auraient été utilisées à des fins malveillantes », assure Karine Cloutier.
Le Groupe Cloutier s’est conformé à son obligation d’informer la Commission d’accès à l’information (CAI) de la cyberattaque, précise le Journal de Montréal.
Même si l’entreprise n’en avait pas l’obligation, elle a aussi avisé l’Autorité des marchés financiers (AMF) qui suit de près l’évolution de la situation afin de s’assurer que « les mesures mises en place par l’entreprise sont efficaces », a expliqué Sylvain Théberge, porte-parole de l’AMF, par courriel.
Qui sont touchés ?
Les personnes qui détiennent (ou ont détenu) des fonds d’un conseiller faisant affaire avec le Groupe Cloutier dans l’assurance ont pu être touchées. Il en va de même pour les investisseurs qui ont (ou avaient) des fonds de commun de placement d’un représentant rattaché à Groupe Cloutier Investissements.
« Par mesure de précaution, tous les individus concernés par la situation ont été dûment notifiés afin de les informer de la marche à suivre et des mesures de protection qui seront déployées, notamment un abonnement à un service de surveillance et de protection du crédit, à nos frais, de même qu’une procédure pour demander un gel de sécurité de leur dossier de crédit auprès des agences Equifax et TransUnion », affirme Karine Cloutier.
Des centaines de cas
Actuellement, il ne se passe pas une journée ou presque sans que l’on apprenne qu’une entreprise a été victime d’une cyberattaque. Ce ne serait que la pointe de l’iceberg puisque bon nombre d’organisations préfèrent taire le fait qu’elles ont été attaquées.
« Selon des données recueillies par ceux qui suivent les activités du dark web, il y aurait entre 500 et 600 entreprises qui auraient été hackées au Québec ces deux dernières années », précise Patrick R. Mathieu, cofondateur du Hackfest et conseiller en sécurité informatique.
Il déplore le manque de transparence des entreprises en la matière. « Connaître la source de l’attaque, comment elle a été décelée, c’est de l’information qui serait utile pour tous. Cela permettrait aux entreprises de savoir si elles sont aussi à risque », affirme-t-il.
Même si le Groupe Cloutier se veut rassurant en disant que les données n’auraient pas été utilisées à des fins malveillantes, il n’en reste pas moins que les victimes de cette fuite sont à risque d’un vol d’identité.
« Les cyberpirates détiennent les principales informations nécessaires pour faire des demandes de crédit. Une fois que les données sont entre leurs mains, elles peuvent être utilisées », affirme Patrick R. Mathieu
« Abonner les victimes au service de surveillance d’Equifax ou de Transunion, ça ne donne pas grand-chose à part financer ces sociétés », déplore-t-il.
Contrairement aux idées reçues, une entreprise n’a pas forcément besoin de dépenser des millions de dollars pour se protéger des hackers. « Procéder à des sauvegardes régulières et faire les mises à jour de ses systèmes permet de prévenir environ 80 % des attaques », affirme Patrick R. Mathieu.
Réparer les dommages après une cyberattaque peut par contre coûter cher à une entreprise tant sur le plan réputationnel que financier. Selon un rapport d’IBM Security, le coût moyen d’une cyberattaque est évalué à 4,35 M$.