Dans un courriel reçu par Finance et Investissement, l’OCRI affirme : « Rien n’indique que des données ont été utilisées à mauvais escient. » Harold Geller, défenseur des droits des investisseurs chez Geller Law, en doute, mais il ne peut démontrer le contraire. Il fait simplement le constat que deux recours judiciaires ont émergé très rapidement, sans être encore officialisés, un au Québec et un autre en Colombie-Britannique, après que l’OCRI a eu reconnu, dans un communiqué du 14 janvier 2026, que le cyberincident « a touché environ 750 000 investisseurs canadiens ».

Me Geller fait l’hypothèse que des poursuites ne se seraient pas matérialisées aussi rapidement après le communiqué du 14 janvier (survenu cinq mois après la première annonce du cyberincident), « si des dommages impliquant des investisseurs n’avaient pas surgi un certain temps avant le communiqué ».

Rappelons que le Mouvement Desjardins a accepté un règlement à l’amiable d’environ 200 millions de dollars (M$) pour clore les poursuites liées à une fuite de données survenue en juin 2019. Il n’est pas dit que l’OCRI s’en sortira indemne ; cependant il vaut la peine de se remémorer le cas Lamoureux c. OCRCVM, où un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) (maintenant l’OCRI) avait oublié un ordinateur non crypté dans un train. L’action collective a été rejetée par la Cour supérieure du Québec, jugeant les dommages non prouvés et la réaction de l’organisme appropriée.

Relativiser la perte de données

Me Geller juge que les investisseurs souffrent déjà des dommages puisqu’ils ont raison de s’inquiéter pour leurs actifs « Leur susceptibilité à des fraudes de toutes sortes a considérablement augmenté. » En revanche, aucun cas de vol d’identité ou de fraude financière lié au cyberincident à l’OCRI n’est encore documenté. « Je n’ai eu vent de rien, » affirme Maxime Gauthier, président de Mérici Services financiers, qui siège au conseil régional de l’OCRI.

Ce dernier tient à mettre les choses en perspective. « Si quelqu’un pense qu’aucune de ses informations personnelles ne se retrouve sur le Dark Web, il se raconte des histoires. » Alexandre Cormier, président de la société de sécurité informatique CyberShell, en dit autant. « À peu près tout le monde s’est fait voler ses données, dit-il. Qui irait chercher cette info pour l’utiliser contre moi ? Je crois que c’est de moins en moins important. Le numéro d’assurance sociale et la date de naissance ne sont plus des moyens suffisants de s’identifier. » De plus, les informations sur le

Dark Web « sont mal formatées et peu fiables », ajoutant que les informations subtilisées à l’OCRI sont « assez bénignes ».

Rappelons que, dans son communiqué, l’OCRI rapporte que les renseignements suivants pourraient avoir été compromis : date de naissance, numéros de téléphone, salaire annuel, numéro d’assurance sociale, numéros de pièces d’identité gouvernementales, numéros de compte de placement et relevés de comptes.

À quel type de cyberpirate a-t-on affaire ?

Ce n’est pas pour dire que le fait que des informations personnelles circulent dans le Dark Web est sans danger. « En soi, il est assez bénin de se faire voler son information personnelle, poursuit Alexandre Cormier, cependant le contexte dans lequel s’insère cette information peut faire la différence. Si elles s’inscrivent dans un contexte où on vise des gens fortunés, alors ce n’est pas anodin. »

La nature de l’attaque contre l’OCRI peut fournir des indices sur l’utilisation éventuelle des données : s’agit-il d’une attaque de circonstance effectuée par des pirates qui ont pénétré dans les systèmes de l’OCRI comme ils seraient entrés dans l’ordinateur du dépanneur du coin ? Ou s’agit-il d’une attaque systématique et concertée menée par des experts visant à obtenir des informations pour lesquelles ils envisagent déjà une utilisation lucrative ?

« Un expert en cybersécurité pourrait déterminer si l’attaquant est opportuniste ou déterminé », affirme Alexandre Cormier. Mais nous n’en savons rien pour l’instant. Dans le courriel qui répond aux questions de Finance et Investissement, l’OCRI se contente de dire que « cet incident a été le résultat d’un hameçonnage sophistiqué ».

Le proverbial maillon faible

Chose à peu près certaine, le cyberincident a joué sur une faiblesse humaine. Il ne s’agit pas d’une simple pénétration informatique. Un humain a été hameçonné : par exemple, un courriel l’a invité à cliquer sur un lien — et il est tombé dans le panneau, ouvrant tout grand son ordinateur aux pirates. Cela indiquerait que l’OCRI a peut-être failli dans la formation de son personnel contre les cybermenaces.

À la suite, on peut se demander si le système d’exploitation de l’ordinateur qui a servi de point d’entrée aux pirates était à jour. « L’ordinateur était-il passé de Windows 10 à Windows 11, questionne Alexandre Cormier ? Si ce n’est pas le cas, on se retrouve avec une grande porte béante. Les choses ont débuté avec un hameçonnage, mais toute une chaîne d’événements s’ensuit à partir de là. L’employé avait peut-être toute cette information sur son poste de travail, ce qui n’est certainement pas une bonne pratique. Sinon, d’autres barrières ont été pénétrées et, là encore, peut-être que des contrôles nécessaires n’étaient pas en place. »

Pour l’instant, on peut se perdre en conjectures, conjectures qui trouveront peut-être réponse si les recours collectifs au Québec et en Colombie-Britannique vont de l’avant.

Une controverse

Avant même que toute poursuite se matérialise, une question a suscité une controverse. Dans une chronique d’opinion parue le 24 février dans Investment Executive, Barbara Amsden, défenseur des droits des consommateurs, évaluait à 100 M$ les coûts découlant du cyberincident, qu’il s’agisse de dépenses de mise à jour des systèmes informatiques ou de pénalités légales. Elle proposait que, pour couvrir une partie de ces frais, l’OCRI recoure à son fonds de réserve de 25 M$. « Utiliser ce fonds pour couvrir les frais est la seule façon d’atteindre à une justice systémique », a-t-elle écrit.

« Ne touchez pas à ce fonds ! » a répliqué Ken Kivenko, défenseur des investisseurs, dans une réponse parue le 2 mars également dans Investment Executive, écrivant : « Un organisme d’autoréglementation qui ne peut protéger les fonds destinés à des initiatives dans l’intérêt des investisseurs et du public contre les intérêts manifestes de l’industrie doit rendre les clés aux ACVM, car à ce stade, il a cessé de fonctionner dans l’intérêt public. »

Maxime Gauthier est du même avis. « Ce fonds est pour la protection des investisseurs dans un cadre d’éducation. Je ne pense pas qu’il peut être détourné. C’est un fonds dédié ! » En même temps, il réclame une certaine indulgence à l’endroit de l’OCRI. « Je suis très réticent à leur lancer la pierre, dit-il. Ils sont à fusionner deux organismes et doivent gérer un calendrier très ambitieux. Je peux être très empathique. »

L’article Après la brèche à l’OCRI, l’heure des questions est apparu en premier sur Finance et Investissement.

Les premiers résultats de l’enquête, dévoilés le 17 août, ont révélé que des renseignements personnels de courtiers membres et de leurs personnes inscrites avaient été touchés. Les données compromises pourraient inclure des identifiants professionnels et d’autres données personnelles en lien avec la conformité des membres.

Les données des investisseurs ne sont pas touchées à ce stade, selon l’OCRI. L’organisme indique qu’il détient un échantillon restreint d’informations sur les investisseurs dans le cadre de ses activités de conformité.

Pour cerner l’ampleur de l’attaque, l’organisme collabore avec des experts en cybersécurité, des conseillers juridiques spécialisés et les forces de l’ordre. L’organisme s’est engagé à aviser individuellement les personnes concernées et à leur offrir des mesures de protection, notamment en matière de sécurité d’identité.

« Étant donné les normes de sécurité élevées que l’OCRI attend d’elle-même et de ses membres, nous sommes profondément préoccupés par cette situation, et nous savons que nos membres le seront aussi », a indiqué l’organisme dans un communiqué.

L’article Cyberattaque à l’OCRI : des données de conseillers exposées est apparu en premier sur Finance et Investissement.

À cette occasion, ils ont évalué si leur courtier déployait des efforts suffisants pour renforcer la sécurité et lutter contre les cyberattaques. Les CP ont donné une note moyenne de 9,14, ce qui signifie que l’écrasante majorité juge que c’est le cas. Pourtant, les risques de fraudes sont encore bien présents, préviennent deux experts en cybersécurité. « Je les crois quand ils se disent en sécurité, commente Alain Constantineau, vice-président pour l’Amérique du Nord de Hornetsecurity.

Mais ils font possiblement preuve de naïveté. Ce ne sont pas des experts dans le domaine. »Les commentaires des répondants laissent percevoir un manque de connaissances de la part des CP. « Je l’ignore, mais j’imagine qu’on est protégés », répond un CP d’iA Gestion privée de patrimoine. « Je ne vois pas grand-chose de ce qu’ils font, mais je suis sûr qu’ils ont mis en place des mesures de sécurité pour lutter contre les cyberattaques », renchérit un autre de Valeurs mobilières Desjardins. « On a des équipes qui travaillent là-dessus sans relâche », promet un troisième de la Financière Banque Nationale. Alain Constantineau relève également que ces conseillers doivent en faire toujours plus, comme leurs clients, ce qui donne une impression de sécurité.

Des courtiers forment leurs conseillers, testent leur réaction en leur envoyant de faux courriels d’hameçonnage, forcent le cryptage des courriels, notent des CP interrogés.

Nombre de sondés parlent aussi de l’identification multifacteur, un système de sécurité qu’Alain Constantineau estime « tout à fait nécessaire ». « Pour l’information sensible, nous avons un système de vérification en deux étapes », indique un CP de ScotiaMcLeod.

Or, Alain Constantineau souligne que le problème est ailleurs. « On a créé tellement de logiciels que le maillon faible, c’est l’être humain ». Un point dont les pirates semblent s’être rendu compte, puisqu’ils sont revenus à une ancienne forme de fraude : le social engineering (piratage psychologique). « Avant, ils tentaient de trouver une brèche de la sécurité quelque part, maintenant, le vecteur d’attaque est revenu vers l’humain », constate l’expert.

Et ceci est vrai même pour l’identification multifacteur, assure Steve Waterhouse, conférencier et spécialiste en sécurité informatique. Sans s’en rendre compte, les réponses aux questions personnelles qui sont souvent complémentaires aux mots de passe se trouvent sur leurs médias sociaux. Et même les mots de passe eux-mêmes sont souvent bien trop simples. « “123 456 ’’ est encore le mot de passe le plus populaire sur la planète ! ‘Password’ est le numéro deux ! » rapporte-t-il.

La formation est nécessaire et beaucoup d’institutions en offrent, selon des sondés. « Nous avons des modules à faire régulièrement », confie un répondant de ScotiaMcLeod. « La firme fait très régulièrement des formations et des tests pour renforcer la sécurité », renchérit un autre de RBC Dominion Valeurs mobilières.

Sauf que même là, l’émotivité peut faire tout oublier au moment clé, notamment dans les fraudes par hameçonnage. « Vu la cadence du quotidien que l’on vit, on peut facilement être la victime de ces arnaques », estime Steve Waterhouse.

Les deux experts mentionnent que certaines institutions font le nécessaire en matière de cybersécurité, mais se limitent souvent à ce que requiert la législation.

« S’il n’y avait pas ces éléments imposés, ils ne le feraient sûrement pas », avance Steve Waterhouse, qui précise quand même qu’il existe des exceptions.

Alain Constantineau est bien conscient que certaines institutions allouent beaucoup d’argent à la cybersécurité. Toutefois, il constate un manque de cohésion dans leurs actions.

« Elles se procurent le meilleur pare-feu, le meilleur antivirus, mais l’un parle chinois, l’autre allemand et le troisième anglais », déplore-t-il. Les systèmes ont ainsi du mal à travailler ensemble, ce qui crée des brèches.

« Ce n’est pas un manque de volonté, mais un manque de cohésion », explique-t-il.

Problèmes internes

Le télétravail ajoute encore une couche de difficulté en multipliant le nombre de points d’accès. S’il est encore possible de gérer cela, le problème humain revient.

Quelqu’un pourrait ainsi décider d’imprimer des documents confidentiels ailleurs qu’à la banque, ou travailler dans un lieu public en utilisant une connexion wifi non sécurisée.

Les problèmes internes sont complexes à gérer. Les deux experts estiment qu’il faudrait intégrer des marches à suivre et des accès limités selon la sensibilité de l’information, comme en Europe avec le Règlement général sur la protection des données.

« Au Québec, on a la loi 25 qui s’en va vers ça, mais on a à peu près sept ans de retard », affirme Alain Constantineau.

Les experts rappellent qu’en cybersécurité l’important est de prévoir les mouvements des fraudeurs et non d’y réagir. Steve Waterhouse s’inquiète ainsi des nouvelles fraudes, comme celles par la voix ou par vidéo, qui pourraient faire beaucoup de dégâts. Un fraudeur se fait ainsi passer pour un client ou un dirigeant et lui demande d’effectuer un retrait ou un changement de compte de banque principal. Le CP, trompé par un logiciel d’intelligence artificielle qui imite sa voix ou son apparence, s’exécute sans vérifier au préalable son identité.

Les courtiers sauront-ils y faire face ? « Ils ont la connaissance pour le faire, mais ils n’ont pas nécessairement le vouloir », juge-t-il.

L’article L’humain, ce maillon faible est apparu en premier sur Finance et Investissement.