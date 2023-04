Nom, adresse, numéro d’assurance sociale, date de naissance... des renseignements personnels de clients du Groupe Cloutier, qui fournit ses services à plus de 1000 conseillers en sécurité financière au pays, ont été « potentiellement compromis », a appris Le Journal.

« Certains renseignements personnels concernant certains de nos clients ont été potentiellement compromis », a confirmé au Journal le service des communications du Groupe Cloutier.

« Rien n’indique que ces données auraient été utilisées à des fins malveillantes », a cependant précisé l’entreprise québécoise, qui souffle ses 45 bougies cette année.

Selon nos informations, l’incident de cybersécurité s’est produit à la mi-février.

Questionnée par Le Journal, la Commission d’accès à l’information (CAI) a également dit avoir reçu un incident de confidentialité la concernant.

L’Autorité des marchés financiers (AMF) a aussi été avisée de cet incident et dit suivre « l’évolution de la situation auprès de ce cabinet ».

« Groupe Cloutier agit dans les deux secteurs (valeurs mobilières et assurance). Il n’y a pas d’obligation formelle de déclarer les incidents de confidentialité ou de cybersécurité en vertu de notre réglementation », a expliqué au Journal le porte-parole de l’AMF, Sylvain Théberge.

« Toutefois, nous considérons comme étant une bonne pratique de le faire et le cas échéant, nos équipes d’inspection s’enquerront de l’incident auprès de la firme et décideront s’il y a lieu de faire une intervention plus précise », a-t-il ajouté.

Rappelons que les firmes sont par ailleurs dans l’obligation de divulguer tout incident de confidentialité à la Commission d’accès à l’information, ce qu’a fait le Groupe Cloutier.

Clients passés touchés

Quelque 1000 conseillers en sécurité financière indépendants au Québec et au Canada font affaire avec le Groupe Cloutier pour des services administratifs.

Des personnes qui détiennent (ou ont détenu) des fonds d’un conseiller qui obtenait certains services du Groupe Cloutier dans l’assurance ont pu être touchées ou encore celles qui ont (ou avaient) des fonds communs de placement d’un représentant rattaché à Groupe Cloutier Investissements.

Interrogé à plusieurs reprises, le Groupe Cloutier s’est contenté d’une déclaration par courriel et n’a pas répondu par la suite à nos demandes d’entrevues répétées.

Dans sa réponse, l’entreprise assure que les personnes touchées ont été mises au courant. Gel de sécurité, abonnement à Equifax et TransUnion... on dit avoir fait le nécessaire pour maîtriser la situation.

Usurpation d’identité

Or, d’après l’expert en cybersécurité Steve Waterhouse, cette nouvelle fuite n’augure rien de bon.

« Le danger premier, c’est l’usurpation d’identité. Ça s’ajoute aux nombreuses fuites autour de nous », a-t-il réagi.

On ne sait pas encore si les données se sont retrouvées sur le dark web, mais si c’est le cas, cela pourrait faciliter la vie aux pirates.

Selon l’ex-sous-ministre adjoint du ministère de la Cybersécurité, ceux-ci savent se servir des données de diverses fuites pour croiser les données d’une même personne.

« Les attaquants ont des profils plus complets pour forger de fausses identités, donc au lieu de vendre cela à 10 $ la pièce, ils peuvent le vendre à 100 $ la pièce », illustre-t-il.

Pour Emeline Manson, formatrice en cybersécurité, les risques pour les clients sont réels, mais on doit reconnaître ici que le Groupe Cloutier a pris les devants.

« Le risque de préjudice sérieux est présent, mais il faut saluer ici la transparence de l’entreprise », a-t-elle insisté.

Secteur souvent ciblé

Jorge Passalacqua, directeur des affaires institutionnelles de la CAI, a expliqué, hier, au Journal que la finance et l’assurance (17 %) est un secteur particulièrement touché par les déclarations d’incidents.

Le commerce de détail (17 %), l’administration publique (10 %), les soins de santé et assistance sociale (9 %), les services professionnels, scientifiques et techniques (9 %) et l’enseignement (7 %) font aussi partie des secteurs visés.

« La Commission a reçu 218 déclarations d’incidents du 22 septembre 2022 au 31 mars 2023. La Commission a aussi reçu 22 déclarations d’incidents du 1er avril 2023 à aujourd’hui », a détaillé M. Passalacqua.

Comment savoir si vos données ont été piratées ?

La loi oblige les entreprises à informer les personnes concernées d’un incident de confidentialité (sauf si cela entrave une enquête).

Qu’est-ce qu’un « incident de confidentialité » ?

« Un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection », selon la Commission d’accès à l’information du Québec (CAI).

Obligations en cas d’incident de confidentialité

1. Agir pour baisser les risques de nouveaux incidents

2. Voir si l’incident pose « un risque de préjudice sérieux »

3. Le dire à la Commission et aux gens dont les renseignements sont touchés

4. Rédiger « un registre des incidents de confidentialité »

Source : Commission d’accès à l’information du Québec