Atteinte à la sécurité des données : de lourdes conséquences potentielles sur vous ou votre entreprise

En 2018, le nombre de signalements reçus par le Commissariat à la protection de la vie privée du Canada a considérablement augmenté : plus de 28 millions de Canadiens ont été touchés par une atteinte à la protection des données. (Getty Images/Cecilie_Arcurs) 

Ces dernières années, plusieurs cas graves d’atteinte à la sécurité des données ont fait les manchettes, notamment ceux ayant touché Desjardins et Capital One. Seulement chez Capital One, un pirate informatique a pu voler les données personnelles de quelque 6 millions de Canadiens et de 100 millions d’Américains. Dans une vidéo sur le sujet, Joe Ayotte, agent de la Police provinciale de l’Ontario dans le comté de Peterborough, mentionne que les pirates ont pu subtiliser le nom, l’adresse (postale et courriel) et le revenu des victimes. Environ un million de numéros d’assurance sociale auraient aussi été volés.

Les vols de données personnelles ne datent pas d’hier. Par exemple, en 2007, la société TJX avait été victime d’un vol de dossiers comprenant quelque 45,6 millions de numéros de cartes de crédit ou de débit de clients. Mais depuis l’introduction du signalement obligatoire des cas de violation de la sécurité des données, en 2018, le nombre de signalements reçus par le Commissariat à la protection de la vie privée du Canada (CVPC) a considérablement augmenté. En fait, selon un blogue publié par l’organisme, plus de 28 millions de Canadiens ont été touchés par une atteinte à la protection des données dans la première année de l’entrée en vigueur de la déclaration obligatoire. (Par ailleurs, les atteintes à la sécurité des données peuvent maintenant s’accompagner d’attaques au rançongiciel : voir 3 arnaques courantes dont vous devriez vous méfier.)

Les conséquences du vol de vos informations financières et autres peuvent être désastreuses. Par exemple, comme le souligne M. Ayotte, votre crédit peut être affecté, ce qui peut vous empêcher d’obtenir un prêt hypothécaire ou d’autres prêts.

COMMENT SE PROTÉGER

Particuliers :

• Surveillez les opérations inscrites au compte de vos cartes de crédit; si vous avez été victime de fraude, annulez la carte ou, à tout le moins, désactivez-la temporairement.
• Faites bloquer temporairement votre crédit pour que personne ne puisse faire de demande d’emprunt à votre nom.
• Saisissez votre adresse électronique dans un site appelé haveibeenpwned. Comme l’explique Scott Williamson, expert en cybersécurité, vous saurez ainsi si votre adresse courriel a été « pêchée » en vue d’être utilisée à mauvais escient.
• Renforcez vos mots de passe. « Beaucoup de gens utilisent des mots de passe peu complexes, à six caractères, déplore Terry Cutler, un autre expert en cybersécurité. Si vous voulez que votre mot de passe soit difficile à découvrir, il doit comporter de 16 à 25 caractères. » (L’expert suggère d’utiliser des paroles de chanson, par exemple.)
• Surveillez votre évaluation de crédit. « Lorsque vous consultez votre dossier, vous pouvez voir si des gens l’ont modifié ou essaient de demander un prêt », dit M. Cutler.

Entreprises :

• Sachez quelles données personnelles sont stockées dans vos systèmes et sur quels serveurs elles le sont. Sachez aussi quelle utilisation en est faite.
• Évaluez votre vulnérabilité et votre degré de préparation contre les risques; par exemple, réalisez régulièrement des tests d’intrusion.
• Portez votre planification au-delà des mesures classiques. Comme le fait remarquer M. Cutler, bon nombre d’entreprises se concentrent encore sur les méthodes de sécurité classiques (coupe-feu, logiciels de chiffrement, etc.) plutôt que d’utiliser des outils de détection d’anomalies et de réaction aux attaques possibles. « Une fois qu’un pirate a contourné les mesures de sécurité habituelles, il peut “s’amuser” sur votre système pendant 6 à 18 mois avant que ses méfaits soient détectés », précise-t-il.
• Pensez aussi aux vulnérabilités qui ne relèvent pas d’aspects techniques. Par exemple, traitez-vous avec des tiers qui recueillent pour vous des renseignements personnels sur des clients, et ce, sans avoir le même souci de protection et de sécurité que celui dont vous faites preuve?

En cas de fuite de données :

• Limitez les dégâts et désignez une personne qui sera chargée de mener l’enquête initiale.
• Déterminez à qui vous devez faire part de l’incident, à l’interne mais aussi aux autorités officielles, à cette étape. Plus précisément, lisez le guide Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité du Commissariat à la protection de la vie privée du Canada.
• Ne détruisez pas les preuves.