Fuite de données à l’OCRI : l’ampleur réelle dévoilée

L’homme d’affaires utilise un ordinateur portable avec un graphique de croissance économique du monde virtuel avec un panneau d’avertissement rouge pour la prudence dans l’avertissement de la situation économique d’investissement, les risques.

Pakin Jarerndee / iStock

Environ 750 000 investisseurs canadiens ont été touchés par la cyberattaque survenue en août dernier à l’Organisme canadien de réglementation des investissements (OCRI), dévoile l’organisme dans un communiqué récent.

Les données compromises pourraient inclure :

des dates de naissance,
numéros de téléphone,
revenus annuels,
numéros d’assurance sociale (NAS),
numéros de pièces d’identité émises par un gouvernement,
numéros de compte de placement
et relevés de compte.

Les investisseurs concernés peuvent être des clients actuels ou anciens de sociétés membres du OCRI.

« Nous regrettons profondément que cet incident soit survenu et nous nous excusons pour tout inconvénient ou toute inquiétude que cela pourrait causer », assure l’organisme dans son communiqué.

L’OCRI a précisé avoir recueilli ces renseignements sur les investisseurs « dans le cours normal » de l’exécution de son mandat réglementaire, qui vise à protéger les investisseurs contre des comportements et pratiques de placement inappropriés, ainsi que dans le cadre de ses activités d’enquête, d’évaluation de la conformité et de surveillance des marchés.

À l’heure actuelle, aucune preuve n’indique que ces renseignements aient été utilisés de façon abusive, précise l’organisme.

L’OCRI a également précisé ne pas recueillir de données d’ouverture de session, comme les mots de passe, questions de sécurité ou NIP ; ces renseignements ne seraient donc pas à risque.

Sur sa page d’information destinée aux investisseurs touchés, l’OCRI indique supprimer les renseignements des investisseurs lorsqu’ils ne sont plus requis à des fins d’enquête, d’évaluation de la conformité ou de surveillance des marchés. « Nous ne sommes pas en mesure de traiter des demandes individuelles de suppression », indique-t-on.

L’OCRI communique actuellement avec les investisseurs concernés pour les informer de l’incident et leur offre deux années de services de surveillance du crédit et de protection contre le vol d’identité. Les investisseurs recevront des avis par courriel ou par la poste à compter du 14 janvier, selon le communiqué.

« Nous avons l’intention de faire ce qu’il faut pour les personnes directement touchées, affirme Andrew Kriegler, président et chef de la direction de l’OCRI, dans le communiqué. Nous prenons très au sérieux notre rôle d’intérêt public. Les questions de protection de la vie privée et de sécurité sont extrêmement importantes pour nous, tout comme nos valeurs organisationnelles fondamentales de transparence et de responsabilité. C’est pourquoi nous demeurons résolument engagés à renforcer davantage nos défenses en cybersécurité et nos pratiques de protection des données, et à appuyer les efforts continus de l’ensemble du secteur des placements. »

La faille de sécurité, attribuable à une attaque par hameçonnage, a été détectée le 11 août. L’OCRI avait d’abord indiqué que des données liées à l’inscription avaient été compromises, incluant des renseignements personnels tels que les adresses, numéros de téléphone, ainsi que la couleur des yeux et des cheveux des personnes inscrites. Selon l’organisme, l’ensemble des courtiers en fonds communs de placement et en valeurs mobilières, de même que les personnes inscrites, ont été touchés.

Les sociétés membres ont été avisées de l’incident le 18 août, et l’OCRI a commencé à envoyer des lettres aux personnes inscrites le 9 septembre pour les informer que leurs données avaient été compromises.

L’OCRI fait face à une éventuelle action collective découlant de cet incident. La demande d’autorisation d’exercer une action collective, déposée en octobre dernier devant la Cour supérieure du Québec, vise « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus » par l’OCRI « et ont été compromis lors de la fuite de données […] ou qui ont reçu un courriel ou une lettre de l’OCRI les informant de cette fuite ».

Dans un communiqué publié le 14 janvier, l’OCRI confirme que des centaines de milliers d’investisseurs ont également été touchés. L’organisme affirme toutefois avoir rapidement circonscrit l’incident et mis en œuvre des mesures immédiates afin de sécuriser ses systèmes et de protéger les données.

« Nous avons avisé les forces de l’ordre et toutes les autorités compétentes, y compris les commissariats à la protection de la vie privée, rapporte l’OCRI. Un important cabinet d’experts en informatique judiciaire indépendant a été retenu afin de déterminer précisément quelles données avaient été touchées. »

À la suite d’une enquête préliminaire, l’organisme a indiqué avoir partagé sans délai ses conclusions « publiquement et directement » avec les sociétés membres et les personnes inscrites. « À ce moment-là, nous avons précisé que l’enquête se poursuivait et nous nous sommes engagés à communiquer les conclusions du processus de découverte électronique une fois l’examen terminé, souligne l’OCRI. Après plus de 9 000 heures d’analyse, nous sommes maintenant en mesure de confirmer l’ampleur complète de l’incident. »

Fuite de données à l’OCRI : l’ampleur réelle dévoilée

Budget fédéral 2025: Webinaire avec Hélène Marquis

Créez d’excellents portefeuilles avec des FNB actifs et indiciels

Manchettes Dans Actualités

La Banque Nationale ouvre un bureau à Dubaï

La TD rachètera jusqu’à 61 millions de ses actions ordinaires

Le tribunal approuve le règlement sur les commissions de suivi de la CIBC

La Laurentienne réduit le risque lié à ses régimes de retraite

Grands titres

Que dire à un client qui n’en fait qu’à sa tête ?

Les Canadiens revoient leurs dépenses

La FINRA veut instaurer des « ralentisseurs » pour contrer la fraude

Raymond James acquiert Clark Capital Management