Une infraction aux procédures de sécurité expose le client d’un planificateur financier à une atteinte à sa vie privée
Résumé d’incident no 12
Le 24 février 2016
Leçons apprises
- Faire abstraction des procédures internes en matière de protection des renseignements personnels et de sécurité peut entraîner de graves conséquences pouvant mettre en péril les biens et la réputation, ou encore y porter atteinte.
- La formation des employés en ce qui concerne la protection des renseignements personnels est très importante et des rappels devraient être faits régulièrement dans le cadre d’un régime de formation continue.
- Des protocoles d’intervention vigoureux en cas d’atteinte sont nécessaires pour atténuer les dommages et prévenir les récidives.
Incident
À quelques mois d’intervalle, des employés d’une firme de gestion financière ont enfreint les procédures internes de sécurité en envoyant le plan financier détaillé d’une cliente et son avis de cotisation de l’impôt sur le revenu fédéral à son adresse courriel sans utiliser les outils de communication sécurisés tels que la protection par mot de passe ou le chiffrement. Le plan financier contenait des détails concernant la valeur nette de la cliente et son adresse postale personnelle, alors que l’avis de cotisation contenait son numéro d’assurance sociale.
La cliente croit qu’une personne non autorisée a ensuite piraté son compte de courriel et eu accès à ces documents. Le présumé pirate est ensuite entré en contact avec un employé de la firme et, en utilisant les renseignements personnels obtenus dans les documents, il s’est fait passer pour la cliente dans de but de demander qu’un montant important soit transféré du compte d’investissement de la cliente à au compte bancaire de cette dernière. L’employé a effectué le transfert, faisant fi des procédures mises en place par la firme relativement à l’authentification des clients lors de la liquidation de leurs actifs.
La cliente a remarqué le transfert d’argent de son compte d’investissement au compte bancaire du pirate et elle a tout de suite réalisé que quelque chose clochait. Elle a alors alerté la firme et demandé à son unité de sécurité de mener une enquête. Or, l’argent de la cliente n’a pas été volé.
Résultat
La firme a mené une enquête et s’est vite rendu compte de la gravité de la situation. Elle a fortement recommandé à la cliente de modifier ses mots de passe et elle a informé la GRC des événements.
La cliente a reçu des excuses et on l’a avisée que la sécurité avait été renforcée par rapport à son compte à la suite de l’incident. On lui a aussi offert un service de surveillance du crédit sans frais, fourni par une importante agence d’évaluation de crédit.
À la suite de l’infraction, la firme a mis en place des mesures précises et adéquates auprès des employés responsables. Parce que la firme a déterminé que la cause fondamentale de l’incident consistait en un manque de formation des employés, elle a pris des mesures pour que tous les membres du personnel suivent une formation supplémentaire sur la protection de la vie privée. D’autres communications destinées à l’ensemble du personnel sur la protection de la vie privée et les processus ont aussi été prévues. En outre, la firme a effectué un examen de ses processus internes en vue de cerner et d’atténuer les lacunes de son processus d’évaluation des incidents.
Dans l’ensemble, le Commissariat juge que la réaction de la firme à cet incident était appropriée.
- Date de modification :