De graves lacunes de sécurité dans les données
50 personnes avaient accès aux données personnelles, et aucune alerte ne détectait les comportements louches
Le vol massif de données provoque un constat brutal chez Desjardins : la sécurité de l’information n’était pas à la hauteur.
Sébastien Boulanger Dorval, l’ex-employé soupçonné d’avoir dérobé les informations confidentielles de 2,9 millions de clients, était loin d’être le seul à pouvoir consulter ces renseignements. En fait, au moins une cinquantaine de ses collègues manipulaient ces données jusqu’au 20 juin dernier, a appris notre Bureau d’enquête.
« Il n’y avait pas d’alertes en place pour détecter les comportements louches », déplore une source au sein de l’institution financière, qui doit rester anonyme parce qu’elle n’a pas l’autorisation de parler.
PAS DE PIRATAGE
Boulanger Dorval, un spécialiste en données de marché, n’a donc pas eu à «pirater» quoi que ce soit pour voler ces informations, selon notre informateur.
«C’était sa job de fouiller dans ces données pour générer des rapports et alimenter les gens de stratégies marketing.»
Desjardins nie cependant cette version des faits. « L’employé à l’origine de la fuite de données n’avait pas les accès pour obtenir les informations qu’il a transmises à l’extérieur de l’organisation, il a dû utiliser un stratagème pour les obtenir», dit la porte-parole Chantal Corbeil.
Les renseignements volés proviennent de l’«entrepôt de données» de Desjardins. À l’interne, les employés de l’institution financière l’appellent FMCDI. Il regroupe l’ensemble des bases de données des caisses : bancaires, placements, assurances...
Boulanger Dorval s’y serait pris à trois fois pour télécharger les informations volées, de 2017 à décembre 2018. À deux reprises, il aurait d’abord dérobé quelques milliers de profils.
Finalement, Boulanger Dorval serait retourné dans l’entrepôt de données pour y siphonner les informations sur près de 3 millions de clients. Pour accéder à FMCDI, les employés utilisent le logiciel SAS Grid Manager.
À l’époque des vols, Desjardins ne l’avait pas programmé pour permettre de savoir exactement ce que Boulanger Dorval aurait pu en extraire.
Le groupe financier a toutefois obtenu, le 27 mai, une ordonnance «Anton Piller» pour faire saisir chez lui les clés USB sur lesquelles sont stockées les données. Cette procédure civile permet de mettre la main sur des éléments de preuve avant qu’ils ne soient détruits.
Le hic : la police, elle, n’a pas accès à cette preuve, placée sous scellé. Ça expliquerait en partie pourquoi Boulanger Dorval n’est toujours pas accusé.
MESURES DE SÉCURITÉ
À partir de mai, Desjardins a mis en place de nouvelles mesures de sécurité. «Une initiative vient d’être lancée afin de journaliser tous les accès aux renseignements personnels d’un certain groupe de membres, comme les policiers et certaines personnes “sensibles”, ajoute la source. Le but étant de savoir qui a accédé à ces données. »
Les autorités craignent que des profils de juges, d’avocats, de policiers ou de ministres se soient retrouvés entre les mains du crime organisé.
Le PDG de Desjardins, Guy Cormier, n’a pas pu répondre à nos questions.