Une cyberattaque découverte le mois dernier par l’Organisme canadien de réglementation des investissements (OCRI) pourrait avoir exposé de nombreuses données personnelles de conseillers en services financiers et d’autres professionnels du secteur. L’incident inquiète les personnes touchées et soulève des questions quant à la sécurité des données sensibles dans l’industrie.
Des conseillers informés par l’OCRI que leurs renseignements ont été compromis dans la brèche, découverte le 11 août, rapportent que leurs données circulent désormais sur le dark web.
Par exemple, un conseiller indique que, dès son inscription aux services d’atténuation des risques offerts par l’OCRI en réponse à l’incident, il a reçu une alerte d’Equifax l’avertissant que son adresse courriel professionnelle était utilisée sur un site de négociation frauduleux.
L’OCRI offre deux ans de services d’atténuation des risques, soit de la protection contre le vol d’identité et de la surveillance des bureaux de crédit, en collaboration avec TransUnion et Equifax.
Le fait que des données mal acquises semblent déjà circuler renforce l’urgence pour les personnes touchées de s’inscrire aux services de protection proposés. L’ampleur de l’incident, qui touche toutes les firmes (passées et présentes) membres de l’OCRI, et la nature sensible des données en jeu exigent que les représentants prennent des mesures de protection immédiates.
Parmi les données potentiellement exposées, on trouve :
- les noms, adresses, adresses courriel,
- dates de naissance, caractéristiques physiques (couleur des cheveux et des yeux, taille, poids),
- des numéros de passeport,
- des informations financières personnelles exigées lors de l’inscription (divulgation sur les valeurs mobilières et les produits dérivés, solvabilité financière, activités extérieures),
- ainsi que des notes issues d’enquêtes réglementaires, et des divulgations civiles ou criminelles.
Comme certaines de ces données vont au-delà des informations habituellement visées lors d’une cyberattaque, certains représentants s’inquiètent de la réponse de l’OCRI, jugée potentiellement insuffisante.
L’OCRI défend toutefois les mesures en place. Dans une foire aux questions publiée sur son site web, l’organisme affirme que « ce [qu’elle offre] en matière d’atténuation des risques est considéré comme une pratique exemplaire ».
Concernant les numéros de passeport compromis, l’OCRI indique qu’il n’est pas nécessaire de remplacer les documents, mais recommande de signaler immédiatement toute utilisation frauduleuse aux autorités. Cela dit, il n’est pas clair comment un représentant pourrait savoir que son numéro de passeport est utilisé à mauvais escient, ce type d’abus ne figure pas sur un rapport de crédit.
Il reste donc à voir si d’autres répercussions découleront de cette attaque.
Le précédent de l’OCRCVM en 2013
En 2013, le prédécesseur de l’OCRI, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), avait subi une atteinte à la sécurité à la suite de la perte d’un ordinateur portable contenant des renseignements personnels sur des investisseurs. Une action collective avait alors été intentée, sans succès.
En 2021, la Cour supérieure du Québec a rejeté la demande de recours collectif. Elle jugeait que :
- les inconvénients subis (stress, inquiétude, désagrément) ne justifiaient pas une indemnisation,
- il n’y avait pas de preuve d’utilisation frauduleuse des données,
- l’organisme avait réagi avec diligence,
- et aucun dommage punitif ne s’imposait.
Cela dit, la brèche de l’OCRI est d’un autre ordre. Il ne s’agit pas d’un simple oubli humain, mais bien d’une cyberattaque externe, ce qui pose des questions plus profondes sur la cybersécurité des organismes de réglementation.
Ce piratage survient quelques mois seulement après que les autorités provinciales de réglementation ont délégué davantage de responsabilités à l’OCRI, notamment en matière d’enregistrement des représentants.
Dans le cadre de cette délégation, les autorités avaient promis de renforcer leur surveillance de l’OCRI. En vertu de son ordonnance de reconnaissance, l’OCRI devait assurer la sécurité et l’intégrité des données de ses systèmes, et signaler toute atteinte majeure à la sécurité aux régulateurs provinciaux.
Un bilan « positif » avant l’attaque
Dans leur plus récente évaluation, les autorités provinciales ont conclu que les systèmes informatiques de l’OCRI respectaient les exigences prévues dans son cadre de reconnaissance. Ce rapport, publié en juillet par les Autorités canadiennes en valeurs mobilières (ACVM), concluait que les systèmes critiques et les partenariats technologiques externes de l’OCRI étaient en règle, bien qu’une préoccupation ait été soulevée concernant la transmission de certaines données (non personnelles) via des serveurs situés aux États-Unis, pratique qui devait cesser en juillet.
Depuis la découverte de la brèche, les ACVM surveillent les démarches de l’OCRI. « Même si l’OCRI mène la réponse à l’incident, les ACVM continuent à superviser ses actions dans le cadre de notre rôle de surveillance. L’OCRI nous informe régulièrement des mesures prises et des progrès de son enquête », selon Ilana Kelemen, conseillère principale des communications et relations avec les parties prenantes aux ACVM.
Les ACVM ont aussi procédé à une vérification de leurs propres systèmes pour détecter d’éventuelles anomalies et aucune activité suspecte n’a été détectée.
À noter : la Base de données nationale d’inscription n’a pas été touchée par la brèche, selon les constats actuels.
Bien que l’OCRI n’ait pas signalé l’incident au Commissaire à l’information et à la protection de la vie privée de l’Ontario (IPC), ce dernier a contacté la Commission des valeurs mobilières de l’Ontario (CVMO) pour obtenir plus d’information.
Les OAR comme l’OCRI ne sont pas tenus de signaler les atteintes à la vie privée à l’IPC, mais les institutions provinciales, comme la CVMO, doivent le faire en cas de risque important de préjudice.
Or, les données compromises ont été recueillies en vertu des pouvoirs délégués par la CVMO à l’OCRI.