La plus grande institution financière du Québec est plongée dans une crise sans précédent après s’être fait dérober, par un employé, des renseignements personnels sur près de 2,9 millions de membres.

Pas moins de 2,7 millions de particuliers du Mouvement Desjardins ont été touchés par la fuite de données, ce qui représente 60 % des 4,5 millions de membres de la coopérative. Quelque 173 000 entreprises sont aussi concernées, soit 49 % du total.

Le vol, vraisemblablement le plus grave jamais survenu au Québec, a forcé le Mouvement Desjardins à resserrer ses mesures de sécurité en catastrophe.

Trahi et indigné

« Je me sens trahi », a lancé hier le PDG de Desjardins, Guy Cormier, en conférence de presse à Montréal.

« Je ne vous dirai pas tous les mots que j’ai dans la tête actuellement parce que je sais que je suis devant les caméras, mais je suis indigné, a-t-il ajouté. Je trouve ça totalement inacceptable. »

Les données sur les membres qui ont été volées et transférées à l’extérieur de Desjardins comprennent le nom, le prénom, la date de naissance, le numéro d’assurance sociale, l’adresse, le numéro de téléphone, le courriel ainsi que des informations sur les habitudes transactionnelles et les produits détenus chez Desjardins.

Par contre, aucun mot de passe, numéro d’identification personnel ou question de sécurité n’a été dérobé. Jusqu’ici, le vol n’a pas eu d’effet sur le nombre de fraudes chez Desjardins, a insisté l’institution.

Où sont les données ?

M. Cormier n’a pas voulu dire où les données ont pu aboutir, invoquant l’enquête policière en cours.

« On parle d’un employé malveillant qui a décidé d’utiliser un stratagème pour user de la confiance de certains collègues, puis de rassembler ces données-là et de contrevenir à toutes les règles de sécurité », a précisé M. Cormier.

Desjardins a congédié le salarié, un « spécialiste des données », à la fin mai.

L’homme a été arrêté par la police de Laval, mais il ne fait pas l’objet d’accusations criminelles pour l’instant. Il n’est pas détenu.

En décembre

L’affaire a débuté en décembre lorsque Desjardins a signalé aux policiers lavallois une « transaction douteuse ».

Ce n’est qu’à la fin mai que les forces de l’ordre ont indiqué à Desjardins que des données confidentielles étaient en cause.

Quant à l’ampleur de la fuite, elle n’a été révélée à Desjardins que vendredi dernier.

Le chef de l’exploitation de Desjardins, Denis Berthiaume, a tenté de se faire rassurant.

« C’est une chose d’avoir ces données-là, mais c’en est une autre de les utiliser à des fins frauduleuses », a-t-il dit.

D’autres réactions

« Je me sens trahi... je suis indigné. Je trouve ça totalement inacceptable »

– Guy Cormier, PDG de Desjardins

« Des situations avec des fuites de renseignements personnels comme ce qu’on vit actuellement, il y en a eu à hauteur de 70 millions, 100 millions de clients dans des institutions financières américaines et honnêtement, il n’y a pas eu d’impact majeur au niveau de la confiance »

– Denis Berthiaume, chef de l’exploitation chez Desjardins

« Je ne peux dire l’âge du suspect. Je peux seulement vous dire que c’est un homme. Ce sont des informations sensibles étant donné l’ampleur de l’enquête. [...] On ne peut pas dire où sont les données »

– François Dumais, inspecteur à la police de Laval

« Cet incident majeur qui frappe aujourd’hui le Mouvement Desjardins met en perspective le risque omniprésent qui pèse désormais sur toutes les organisations en matière de risques liés à la sécurité de l’information »

– L’Autorité des marchés financiers