Les régimes de retraite alléchants pour les pirates informatiques

Même si des firmes spécialisées comme Aon et Deloitte ne rapportent pas de cas de cyberattaques touchant les données des régimes de retraite au Québec pour le moment, les promoteurs se disent conscients que les risques augmentent avec les années.

Les gestionnaires et administrateurs de régimes de retraite redoublent de prudence pour limiter le plus possible les risques, même si de l’avis général, le risque zéro n’existe pas et qu’il existera encore moins au cours des prochaines années alors que les individus malveillants affinent leurs procédés de piratage.

De 2018 à 2020, le nombre de cas de piratage informatique exigeant une rançon (ransomware ou rançongiciel) a grimpé de 488 % au Canada. Les cas de vols de données personnelles sont aussi en hausse. Les techniques de cyberattaque évoluent à un rythme effarant. C’est probablement ce qui a incité le gouvernement du Québec à vouloir légiférer en matière de cybersécurité avec l’adoption du projet de loi 64, en septembre dernier, qui obligera notamment les entreprises aux prises avec une cyberattaque à prévenir les gens dont les informations auraient pu être volées.

Des données sensibles

Les cyberattaques peuvent causer d’énormes dommages aux régimes de retraite parce qu’ils contiennent une grande quantité de données personnelles. « Il faut que les fournisseurs surveillent attentivement tous les points d’entrée de leur système informatique afin de s’assurer qu’il y a de bons contrôles pour chacun des acteurs y ayant accès, commente Étienne Ladouceur, associé chez Aon. La somme des contrôles est importante, tout comme la formation des utilisateurs. On peut avoir les meilleurs contrôles techniques et technologiques, mais si ces derniers ne sont pas bien formés, ça ouvre la porte à des risques. »

Le fait que les participants de régimes de retraite puissent consulter leur dossier à distance augmente les risques, explique M. Ladouceur. « Les transferts de données d’une personne à une autre sont particulièrement à surveiller », dit-il.

Un autre aspect capital, c’est de préparer un plan d’intervention avec les divers partenaires pour s’assurer des responsabilités de chacun. « Il y a le volet de recouvrement des données et celui de la communication à prévoir en cas de cyberattaque. »

LES RISQUES DU TÉLÉTRAVAIL

« Avec la pandémie, beaucoup d’entreprises ont développé des solutions d’accès à distance très rapidement, sans toujours bien les configurer sur le plan de la sécurité. Cela a donc ouvert des brèches pour commettre des attaques. Il y a eu quelques vagues de rançongiciels au Canada depuis le début de la pandémie. C’est important pour les entreprises de sécuriser leurs connexions à distance et d’adapter les règles de détection au fait que les utilisateurs sont à l’externe. Ces derniers doivent être toujours informés des nouvelles techniques d’hameçonnage », analyse Jean-François Allard, de Deloitte.

Gestion des risques

« La première chose à faire, c’est d’identifier quelles sont nos données sensibles et où elles se trouvent dans notre organisation, mentionne Jean-François Allard, associé en gestion des risques à Deloitte Canada. On parle notamment des renseignements personnels qu’on détient sur nos clients. Il faut aussi savoir quels fournisseurs ont accès à ces renseignements à partir de nos systèmes. »

L’étape suivante est d’évaluer les risques, dont la fuite de données. « Il y a aussi le rançongiciel qui est de plus en plus présent. Les pirates cryptent alors les données et bloquent les systèmes informatiques en exigeant le paiement d’une rançon pour les débloquer, mais en plus les pirates sont maintenant en mesure d’ajouter le vol de données à leur action. Leurs méthodes se sont raffinées », précise M. Allard.

«Le secteur financier en général est une cible, notamment les régimes de retraite, où l’on retrouve beaucoup d’information personnelle sur la clientèle. »
– Jean-François Allard, Deloitte

Une bonne protection commence par de bons outils de contrôle, soit les antivirus et les pare-feu. Ces outils se sont grandement améliorés depuis quelques années, toutefois il faut s’assurer de faire régulièrement des mises à jour. « Même si on fait tout ce qu’il faut, on sait qu’on va potentiellement subir une cyberattaque puisque le risque zéro n’existe pas. C’est pourquoi il faut investir dans des mécanismes de détection et se doter d’un processus de gestion efficace et rapide en cas d’attaques. Plus on bouge rapidement, moins les dommages seront importants », ajoute M. Allard.

Pour le spécialiste, le secteur d’activité pèse dans la balance quant au niveau de risque face à une cyberattaque. « Le secteur financier en général est une cible, notamment les régimes de retraite, où l’on retrouve beaucoup d’information personnelle sur la clientèle. Certains régimes de retraite gèrent aussi des assurances vie. Tout cela est très compromettant. Il faut déployer nos outils de protection technologique autour de nos informations les plus critiques. Ce qu’on remarque aujourd’hui, c’est que les attaques commencent souvent à partir du poste de travail d’un employé ou d’un utilisateur qui a cliqué sur un lien infecté ou ouvert un courriel corrompu. C’est pourquoi il faut bien informer nos employés. Les criminels développent constamment de nouveaux outils d’attaque. »

Hélène Deschamps Marquis, associée en confidentialité des données, cybersécurité et droit numérique à Deloitte Legal Canada, estime que les employés sont effectivement le maillon faible à surveiller afin de se protéger contre les cyberattaques. « Il faut les sensibiliser, par exemple faire de fausses attaques, des exercices de simulation », dit-elle.

«La somme des contrôles est importante, tout comme la formation des utilisateurs. On peut avoir les meilleurs contrôles techniques et technologiques, mais si ces derniers ne sont pas bien formés, ça ouvre la porte à des risques. »
– Étienne Ladouceur, Aon

Des obligations légales

« À partir du moment où un régime de retraite collecte des renseignements personnels, les lois de protection des données personnelles s’appliquent, explique Cynthia Chassigneux, avocate spécialisée dans la protection des renseignements personnels et associée chez Langlois Avocats, à Montréal. Ces lois exigent l’adoption de mesures propres à assurer la sécurité des renseignements personnels qu’une entreprise ou un organisme public détient, en tenant compte du caractère confidentiel du renseignement et du support sur lequel il est stocké. C’est sûr que les risques ne sont pas les mêmes pour des données disponibles dans le cloud par rapport à des données papier. Le niveau de sécurité exigé n’est évidemment pas le même non plus. »

PROJET DE LOI 64

Adopté le 22 septembre dernier par le gouvernement du Québec, le projet de loi 64 modernise l’encadrement juridique relatif à la protection des renseignements personnels au Québec. Les entreprises et les organismes publics auront à se conformer à plusieurs nouvelles obligations, notamment de divulgation en cas de fuites de données.

Projet de loi 64

Nouvellement adopté à l’Assemblée nationale, le projet de loi 64 oblige les entreprises à mettre en place des politiques de gouvernance en matière de protection des données personnelles. « L’entreprise doit savoir ce qui est collecté et à quel endroit cela est conservé pour être capable, en cas d’incidents de sécurité et de cyberattaques, de réagir le plus rapidement possible, précise Mme Chassigneux. Maintenant, il y a une obligation de documenter et de dévoiler tout incident de sécurité sérieux à la Commission d’accès à l’information du Québec. Elle va entrer en vigueur dans un an. On ne doit pas attendre à la dernière minute. Il faut agir maintenant. »

Parmi les éléments à mettre en place, l’avocate insiste notamment sur une cellule de crise. « Tout ça doit être réfléchi à l’avance et non pas le jour où il y a un incident. On associe souvent la cyberattaque à des gens de l’extérieur, mais ça peut aussi venir de l’intérieur de l’organisation, particulièrement dans un contexte de télétravail. »

« Le projet de loi 64 vient sensibiliser davantage les entreprises à l’importance de faire une analyse de risque chaque fois qu’elles font un projet impliquant des données personnelles. Les systèmes doivent être configurés pour assurer la plus grande sécurité possible des données. Les entreprises devront notifier toute brèche à leur système de sécurité. Des amendes pouvant aller jusqu’à 25 M$ sont prévues », explique Hélène Deschamps Marquis.

«L’entreprise doit savoir ce qui est collecté et à quel endroit cela est conservé pour être capable, en cas d’incidents de sécurité et de cyberattaques, de réagir le plus rapidement possible. »
– Cynthia Chassigneux, Langlois Avocats

35 %
Proportion de régimes de retraite britanniques ayant été victimes d’une brèche de sécurité en 2020

45 %
Pourcentage de ces brèches ayant été divulguées aux autorités du pays

Source : Sackers

Droits des victimes

Selon Cynthia Chassigneux, le premier droit d’une victime d’un vol de données est d’être informée. Le vol de données peut aussi provenir d’une maladresse, par exemple la transimission de données par erreur à la mauvaise personne. « C’est le plus simple des vols d’identité. Le fait d’envoyer par exemple le numéro d’assurance sociale d’une personne à une autre personne. Les individus touchés doivent ensuite s’assurer auprès des organismes de crédit de la mise en place d’alertes sur les achats. Il faut aussi aviser la police et le Centre canadien pour la cybersécurité. Si l’entreprise a été négligente et qu’elle n’a pas implanté de mesures de sécurité adéquates, la nouvelle loi prévoit des sanctions beaucoup plus fortes. L’entreprise doit agir immédiatement après un incident pour d’abord s’assurer que la faille dans son système est colmatée et qu’elle documente toutes ses actions », indique-t-elle.

Les actions collectives sont de plus en plus utilisées contre des entreprises victimes de cyberattaques qui n’auraient pas pris les mesures nécessaires pour protéger les données personnelles. Le citoyen doit aussi se demander s’il doit tout garder dans son téléphone cellulaire.

« La première chose à faire, si une attaque survient, c’est d’arrêter l’infiltration le plus rapidement possible. Ensuite, de repartir les systèmes et de regarder les dégâts. Sur le plan légal, c’est de voir si des notifications doivent être faites », indique Hélène Deschamps-Marquis, de Deloitte Legal, qui précise que les administrateurs d’une organisation ont un certain degré de responsabilité en cas de fuite de données personnelles. « La façon d’éviter de possibles poursuites, c’est d’être diligent. De se poser les bonnes questions et de s’assurer de la présence de systèmes de protection qui reflètent les meilleures pratiques. »

• Ce texte a été publié dans l’édition de novembre 2021 du magazine Avantages.
Vous pouvez également consulter l’ensemble du numéro sur notre site web.

Les régimes de retraite alléchants pour les pirates informatiques

Manchettes

Comment soutenir les travailleurs de la neurodiversité

Sommeil: la fin d’un tabou?

Redressement de la capitalisation des régimes de retraite

La santé mentale des travailleurs tombe au niveau pandémique

Grands titres

Connectés, mais seuls

Occasion générationnelle dans les titres à revenu fixe

Le diabète continue de mettre de la pression sur les coûts

La fatigue chronique causée par des dysfonctionnements du cerveau?