Résumé

  • Desjardins est important parce que le dossier public décrit une institution financière où des informations sensibles de membres ont été copiées via des chemins de travail qui semblaient légitimes mais étaient dangereux par conception.
  • Le Commissariat à la protection de la vie privée du Canada a déclaré que la violation a finalement touché près de 9,7 millions de personnes au Canada et à l'étranger, et le premier communiqué de Desjardins indiquait que la découverte initiale concernait plus de 2,9 millions de membres dont les informations avaient été partagées en dehors de l'organisation.
  • La question de responsabilité est de savoir qui avait le contrôle pratique sur les droits d'accès des employés, les workflows des lecteurs partagés, les limites de minimisation des données, la surveillance, l'exposition aux supports amovibles, l'avis aux membres, le coût de la remédiation et la preuve que le même type de copie ne pouvait pas se reproduire.
  • Desjardins a répondu par une surveillance du crédit, une protection de l'identité, des engagements réglementaires, des provisions financières publiques et un processus de règlement de recours collectif; ces actions étaient nécessaires, mais elles n'ont pas remplacé la nécessité de prouver que les conditions de gouvernance d'accès avaient changé.
  • Cet article traite les avis de Desjardins, les conclusions du commissaire à la protection de la vie privée canadien, les rapports financiers de Desjardins, les dossiers de règlement, la loi sur la protection des renseignements personnels, les directives de l'OSFI et les cadres de gouvernance de sécurité comme preuves publiques. Il ne prétend pas avoir accès aux dossiers de police privés, aux journaux complets des employés, aux dossiers individuels de perte des membres, ou à tous les artefacts d'audit interne ultérieurs.

Pourquoi ce cas appartient à un dossier de risque et de responsabilité

Desjardins appartient à un dossier de risque et de responsabilité parce que la violation n'était pas un récit conventionnel d'intrusion extérieure. Les preuves publiques décrivent une extraction liée à un employé de dossiers d'identité financière d'une institution dont les membres n'avaient aucun moyen pratique d'inspecter la conception des accès ou les pratiques de conservation. Le communiqué public de Desjardins du 20 juin 2019 àhttps://www.newswire.ca/news-releases/desjardins-statement-concerning-unauthorized-access-to-some-member-information-806079260.htmlindiquait que la police de Laval avait contacté Desjardins avec des informations confirmant que des informations personnelles de plus de 2,9 millions de membres avaient été partagées en dehors de l'organisation, dont 2,7 millions de membres individuels et 173 000 membres commerciaux. Le communiqué attribuait la situation à une utilisation non autorisée et illégale de données internes par un employé qui avait été licencié.

Cette première divulgation était déjà grave. Le dossier réglementaire ultérieur l'a rendue plus vaste et plus importante sur le plan structurel. Les conclusions du Commissariat à la protection de la vie privée du Canada àhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2020/pipeda-2020-005/indiquaient que Desjardins a avisé le bureau fédéral de la protection de la vie privée le 27 mai 2019 d'une violation des mesures de sécurité qui a finalement touché près de 9,7 millions de personnes au Canada et à l'étranger. Les informations compromises comprenaient les noms, dates de naissance, numéros d'assurance sociale, adresses résidentielles, numéros de téléphone, adresses électroniques et historiques de transactions. Le même rapport indiquait que Desjardins avait conclu qu'un employé exfiltrait des informations personnelles depuis au moins 26 mois.

Le cas appartient ici parce que ces preuves transforment le problème de « un employé a fait quelque chose de mal » à « l'organisation avait construit un environnement de données où un seul employé pouvait créer un risque d'identité de masse ». Une institution financière ne peut pas traiter l'exposition interne comme une exception surprise lorsque des informations sensibles circulent via des entrepôts de données, des dossiers marketing, des postes de travail et des supports amovibles.

Si l'institution crée un workflow où les rôles des employés peuvent voir, copier, agréger ou exporter de grandes quantités de données d'identité des membres, alors la gouvernance d'accès est un contrôle de protection des membres. Ce n'est pas une préférence administrative.

La question de responsabilité est directe: qui avait le contrôle pratique sur les droits d'accès des employés, les limites de minimisation des données, la surveillance, la détection d'exfiltration, l'avis aux membres, le coût de la remédiation et la preuve que les données d'identité financière ne pouvaient pas être copiées en dehors des workflows approuvés? La direction de Desjardins contrôlait la gouvernance, les investissements et la priorité des contrôles de confidentialité. Les unités commerciales contrôlaient si les workflows marketing et d'analyse exigeaient des fichiers d'identité étendus.

Les équipes technologiques et de sécurité contrôlaient le provisionnement des accès, l'architecture des lecteurs partagés, la surveillance des points de terminaison, la journalisation et les contrôles des supports amovibles. Les équipes de confidentialité et de risque contrôlaient les politiques de conservation, la formation, la réponse aux violations et les preuves réglementaires. Les membres ne contrôlaient presque rien de cela. Ils fournissaient des informations d'identité parce que la vie financière l'exigeait.

Le cas correspond également à la souveraineté et à la localité des données parce que les enregistrements concernaient des Canadiens et d'autres personnes détenus par une institution financière coopérative basée au Québec sous une surveillance fédérale et provinciale de la vie privée. Il correspond à l'automatisation de la sécurité parce que l'échec de contrôle concernait en partie la surveillance, le mouvement automatisé des données, et la capacité de détecter et d'arrêter une copie anormale avant qu'elle ne devienne un événement à l'échelle de la population.

Il correspond à la continuité du secteur public parce que les dossiers d'identité financière relient les membres ordinaires aux systèmes fiscaux, de crédit, de prestations, de signalement policier et de confiance réglementaire publique. Une violation d'une coopérative privée peut devenir un problème de risque d'identité civique lorsque les numéros d'assurance sociale, les adresses et les historiques de transactions sont impliqués.

Le déclencheur visible était un employé, mais le système de contrôle était plus large

Il est tentant de décrire la violation de Desjardins comme une histoire d'initié et de s'arrêter là. Cela manquerait le problème central de responsabilité. Les conclusions canadiennes sur la vie privée ont identifié un employé malveillant et décrit la copie d'informations personnelles depuis des lecteurs partagés vers un ordinateur de travail puis sur des clés USB. Mais le même rapport décrivait des workflows commerciaux qui plaçaient des informations personnelles sensibles dans des dossiers partagés en premier lieu.

Il indiquait que les employés effectuaient des transferts automatisés d'informations personnelles depuis un entrepôt de données de crédit vers des dossiers utilisateur dans un lecteur partagé du département marketing, et que d'autres employés copiaient des informations personnelles confidentielles depuis un entrepôt de données bancaires vers un lecteur partagé. L'employé malveillant copiait ensuite des informations depuis ces emplacements partagés, y compris des informations auxquelles il n'aurait normalement pas eu accès dans l'entrepôt de données bancaires.

Cela importe parce que l'employé n'a pas eu à vaincre un système impénétrable. L'employé a exploité un système qui avait déjà amené des enregistrements sensibles dans des emplacements de travail accessibles. En termes de responsabilité, l'organisation devait expliquer pourquoi des données suffisamment sensibles pour créer un risque d'identité à long terme étaient placées dans des emplacements opérationnels larges ou insuffisamment protégés. Elle devait également expliquer pourquoi les contrôles de détection et de prévention n'ont pas interrompu la copie sur une longue période.

L'expression « utilisation non autorisée et illégale » est précise en tant que déclencheur, mais la gouvernance ne peut pas s'arrêter à cette expression. Un initié peut violer la confiance dans n'importe quelle institution. La question responsable est de savoir si l'institution a conçu des workflows privilégiés comme si l'utilisation abusive par un initié était prévisible.

Les institutions financières traitent les numéros d'assurance sociale, les noms, les adresses, les dates de naissance, les informations relatives aux comptes et les historiques de transactions précisément parce qu'elles soutiennent des relations de crédit et bancaires réglementées. Cette sensibilité crée un devoir de limiter qui peut voir les données, où elles peuvent être stockées, combien de temps elles y restent, si elles peuvent être copiées sur des points de terminaison, si le stockage amovible est bloqué, et si un mouvement inhabituel produit des alertes.

Le communiqué public de Desjardins et les conclusions du commissaire à la protection de la vie privée doivent donc être lus ensemble. Le communiqué public au début a donné aux membres un déclencheur et une voie d'assurance immédiate. Le dossier réglementaire a donné l'anatomie du contrôle. Un membre qui lit seulement le premier communiqué pourrait imaginer un employé voyou avec un accès inhabituel. Un lecteur du dossier réglementaire voit un problème de gouvernance plus large: droits d'accès, conception des lecteurs partagés, pratique de transfert de données, conservation, formation des employés, surveillance et atténuation post-violation.

C'est la différence entre la narration de responsabilité et la narration de contrôle. La narration de responsabilité cherche la personne qui a violé la politique. La narration de contrôle demande pourquoi l'environnement politique et technologique a permis à la violation de prendre de l'ampleur. Les deux comptent. La conduite de l'employé était centrale dans l'incident, mais les membres avaient besoin de preuves que Desjardins avait changé les conditions qui ont permis à la conduite de compter à une telle échelle.

La minimisation des données n'était pas un principe abstrait de vie privée

La minimisation des données est souvent traitée comme un langage juridique. Dans ce cas, c'était une limite de sécurité pratique. Une institution financière ne peut perdre ou fuiter que ce qu'elle collecte, conserve, copie, stocke et rend accessible. Les conclusions canadiennes sur la vie privée ont indiqué que l'âge de certaines informations compromises a conduit le CPVP à examiner les pratiques de destruction de données de Desjardins. Le rapport a constaté des contraventions concernant la responsabilité, les périodes de conservation et les mesures de sécurité.

Il a également déclaré que Desjardins n'avait pas de procédures en place pour détruire les informations personnelles à la fin de leur cycle de vie et était encore incapable, des mois après l'incident, de déterminer la période de conservation des comptes inactifs compromis.

C'est un point de responsabilité décisif. La politique de conservation n'est pas un problème secondaire de gestion des dossiers lorsque les dossiers incluent des informations d'identité qui peuvent être utilisées pour la fraude des années plus tard. Les numéros d'assurance sociale et les dates de naissance ne deviennent pas inoffensifs parce qu'un compte est inactif. Les adresses, numéros de téléphone, adresses électroniques et historiques de transactions peuvent être utilisés pour construire des tentatives d'usurpation d'identité convaincantes.

Plus les informations restent longtemps dans des systèmes accessibles après la fin de leur objectif, plus la surface de violation devient grande.

La Loi sur la protection des renseignements personnels et les documents électroniques àhttps://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.htmlfournit le cadre fédéral de la vie privée pour le traitement des informations personnelles du secteur privé au Canada. Les conclusions de Desjardins ont appliqué les principes de responsabilité, de garanties et de conservation de cette loi à la violation. La leçon pratique importante est que le droit de la vie privée et l'ingénierie de la sécurité se rencontrent à l'intérieur des contrôles du cycle de vie. Si les données ne sont plus nécessaires, elles ne doivent pas rester disponibles pour être copiées depuis un emplacement partagé. Si un workflow marketing a besoin d'une analyse agrégée, il ne doit pas recevoir automatiquement des dossiers d'identité complets à moins que le cas d'utilisation ne l'exige et que les garanties ne correspondent au risque. Si un dossier utilisateur contient des extraits sensibles, ce dossier n'est pas un cache de commodité; c'est un magasin de données réglementé.

La minimisation des données modifie également le modèle de coût. Après une violation, une institution peut payer pour la surveillance du crédit, la protection de l'identité, les communications, les procédures juridiques, l'audit externe et la réparation opérationnelle. Le rapport financier du deuxième trimestre 2019 de Desjardins àhttps://www.desjardins.com/ressources/pdf/d50-rapport-trimestriel-mcd-2019-2-e.pdf?resver=1565631033000a reconnu des dépenses et provisions importantes pour les protections après la violation de la vie privée. Son rapport annuel 2019 àhttps://www.desjardins.com/ressources/pdf/d50-rapport-annuel-mcd-2019-t4-e.pdf?resVer=1583954841000et les états financiers connexes àhttps://www.desjardins.com/ressources/pdf/d50-etat-financier-mcd-2019-e.pdf?resVer=1583166109000ont lié la réponse à la violation à un coût financier matériel. Ces coûts montrent pourquoi la minimisation n'est pas simplement une préférence de conformité. Les données conservées en excès deviennent un passif financé lorsque les contrôles échouent.

Le test de réparation responsable n'est donc pas « l'institution a-t-elle rédigé une politique de conservation? » mais « l'institution peut-elle prouver que les informations sensibles anciennes et inutiles ne sont plus accessibles par les employés ordinaires, les dossiers partagés, les ordinateurs portables, les workflows d'analyse ou les supports amovibles? » Une politique sans preuve de destruction est une promesse. Une procédure de suppression sans surveillance est un espoir. Les membres avaient besoin de preuves que la minimisation des données était devenue opérationnelle.

La gouvernance d'accès a échoué là où la commodité commerciale rencontrait des enregistrements sensibles

La gouvernance d'accès est au cœur de l'affaire. Dans de nombreuses organisations financières, les équipes commerciales ont légitimement besoin de données pour la gestion des produits, le marketing, la modélisation des risques, la prévention de la fraude, les opérations, le reporting et l'amélioration des services. Ces besoins peuvent être réels. Mais le fait qu'une utilisation soit légitime ne signifie pas que chaque enregistrement doit être copié dans des zones de travail larges.

Les conclusions sur la vie privée décrivaient des informations sensibles passant des entrepôts de données aux lecteurs partagés et aux dossiers utilisateur, où l'employé malveillant pouvait les copier même lorsqu'il n'aurait normalement pas eu accès à l'entrepôt bancaire d'origine. C'est une inversion classique de la gouvernance d'accès: une source protégée peut devenir moins protégée après un extrait commercial.

Le problème de responsabilité n'est pas que les départements marketing ne devraient jamais utiliser les données des membres. C'est que l'accès doit suivre le besoin, l'objectif, la sensibilité et la traçabilité à chaque étape. Si un extrait quitte un entrepôt, il doit hériter des contrôles. Si un dossier utilisateur reçoit des données sensibles, ses permissions doivent être étroites, son utilisation doit être journalisée, sa conservation doit être courte et ses voies d'exportation doivent être contrôlées.

Si un lecteur partagé est utilisé comme espace de travail intermédiaire, il ne doit pas devenir un entrepôt de données fantôme de longue durée. Si les champs d'identité ne sont pas requis, ils doivent être supprimés ou tokenisés avant que l'extrait ne quitte les systèmes contrôlés.

L'automatisation de la sécurité est pertinente car une politique manuelle ne peut pas surveiller chaque copie. Un environnement mature recherchait des transferts inhabituels, une exportation répétée de colonnes sensibles, une copie depuis des lecteurs partagés vers des points de terminaison, une utilisation de stockage amovible, et des modèles d'accès incompatibles avec le rôle ou l'objectif. Il classerait également les fichiers par sensibilité afin qu'un tableur ou un extrait de données contenant des numéros d'assurance sociale et des historiques de transactions soit traité différemment du contenu commercial ordinaire.

Les contrôles de point de terminaison doivent rendre difficile la copie de données d'identité financière réglementées sur des périphériques USB sans approbation et journalisation. Les outils de prévention de perte de données peuvent être imparfaits, mais l'absence ou la faiblesse d'une telle surveillance change le fardeau pour les membres qui ne peuvent pas se protéger contre l'exportation interne.

Les directives d'OSFI sur la gestion des risques technologiques et cybernétiques àhttps://www.osfi-bsif.gc.ca/en/guidance/guidance-library/technology-cyber-risk-managementne sont pas une conclusion rétroactive sur les contrôles de Desjardins en 2019. Elles sont utiles car elles expriment l'attente moderne du secteur financier selon laquelle le risque technologique et cybernétique soit gouverné, géré, surveillé et rendu résilient proportionnellement au risque institutionnel. Le mouvement des données internes se situe directement dans ce cadre. Ce n'est pas seulement un événement de vie privée. C'est un événement de risque opérationnel où les personnes, les processus, la technologie et la gouvernance des données se croisent.

L'échec de la gouvernance d'accès avait également une dimension de confiance institutionnelle. Desjardins est un groupe financier coopératif. Les membres ne sont pas seulement des titulaires de comptes de détail dans un système distant; ils font partie d'une relation coopérative qui dépend de la confiance, de la localité et de l'identité d'adhésion. Une violation impliquant un employé de confiance frappe donc le contrat social de l'institution. La réparation ne peut pas être réduite à « l'employé est parti ».

L'institution doit montrer que la confiance des membres ne dépend plus de l'hypothèse que chaque employé ayant un accès pratique agira correctement pour toujours.

Le retard de détection a changé la forme de la responsabilité

Le timing de la détection importe car les dommages causés aux données d'identité croissent silencieusement. Une carte de paiement volée peut être remplacée. Un numéro d'assurance sociale et une date de naissance restent utiles pour de futures fraudes, usurpations d'identité et ingénierie sociale. Les conclusions sur la vie privée ont indiqué que l'exfiltration liée à l'employé a duré au moins 26 mois. Cette longue fenêtre est centrale pour la responsabilité car elle suggère que le système de contrôle n'a pas remarqué ou arrêté la copie répétée d'informations sensibles sur une période suffisamment longue pour que le risque s'accumule.

Le dossier public n'expose pas chaque journal de surveillance ou alerte interne disponible pour Desjardins, donc l'article ne doit pas inventer de spécificités. Les preuves soutiennent une conclusion plus étroite: l'enregistrement final de détection et de divulgation a montré que les garanties existantes n'étaient pas suffisantes pour empêcher une exposition à l'échelle de la population. Le communiqué de presse du CPVP àhttps://www.priv.gc.ca/en/opc-news/news-and-announcements/2020/nr-c_201214/décrivait une combinaison de faiblesses administratives et technologiques. La déclaration du commissaire àhttps://www.priv.gc.ca/en/opc-news/speeches-and-statements/2020/s-d_20201214/indiquait que Desjardins n'avait pas démontré le niveau d'attention approprié requis pour protéger les informations personnelles sensibles, tout en notant que l'organisation avait bien réagi après avoir appris la violation.

Ces deux points doivent être conservés ensemble. Une réponse forte après la découverte compte. Elle peut réduire les dommages aux membres, soutenir les régulateurs, financer la remédiation et améliorer les contrôles. Mais une réponse forte après une découverte externe n'efface pas une posture de détection faible avant la découverte. Pour les membres, le risque pertinent n'était pas seulement de savoir si Desjardins agissait une fois les informations policières arrivées. C'était de savoir si Desjardins pouvait détecter une copie anormale sans attendre des signaux externes.

La détection n'est pas un seul contrôle. Elle comprend les revues d'accès, la classification des données, l'analyse des dossiers partagés, la télémétrie des points de terminaison, la surveillance des supports amovibles, l'analyse des utilisateurs privilégiés, les exceptions basées sur les rôles, le routage des alertes et les règles d'escalade. Elle comprend également l'autorité d'arrêter les processus commerciaux trop larges.

Si un département a construit des extraits récurrents qui placent des données sensibles dans des lecteurs partagés, la détection doit demander pourquoi ce modèle existe, s'il est approuvé, s'il est encore nécessaire et si les champs sensibles peuvent être supprimés. La surveillance qui se contente de journaliser les événements sans examen de gouvernance est une preuve faible.

La longue fenêtre modifie également l'avis aux membres. Si des données ont pu quitter l'institution sur de nombreux mois, les membres ne peuvent pas connaître le risque exact de fraude future. L'institution doit communiquer l'incertitude honnêtement. Elle doit identifier les catégories d'informations impliquées, qui peut être affecté, quels services de protection sont disponibles, quels processus d'application de la loi et réglementaires sont en cours, et ce que l'institution fera si un vol d'identité apparaît plus tard. L'avis n'est pas seulement une étape légale.

C'est le transfert de connaissances exploitables à des personnes qui n'ont pas contrôlé la violation.

Le coût de la remédiation a montré que le risque d'identité survit à l'incident

Le dossier de remédiation de Desjardins est une partie utile du fichier de preuves car il montre que l'institution a traité le risque d'identité comme à long terme. La protection d'identité Desjardins àhttps://www.desjardins.com/en/security/desjardins-identity-protection.htmldécrit la protection contre la fraude, le soutien en cas d'usurpation d'identité, le remboursement des frais de restauration d'identité et les fonctionnalités de surveillance du crédit. Les rapports financiers de Desjardins ont reconnu les coûts et provisions associés aux protections suite à la violation, et le rapport annuel 2019 de la fédération àhttps://www.desjardins.com/ressources/pdf/d50-rapport-annuel-fcdq-2019-t4-e.pdf?resVer=1583953623000a discuté des dépenses pour mettre en œuvre la protection d'identité Desjardins après la violation de la vie privée.

Cette réponse importe car les données d'identité sont durables. La surveillance du crédit pour une courte période peut aider, mais les identifiants compromis peuvent être utilisés plus tard. Un membre peut faire face à des tentatives de fraude des années après l'événement, surtout si les données sont combinées avec d'autres sources. L'offre de Desjardins d'une protection d'identité plus large et d'un remboursement a reconnu que le modèle de préjudice pourrait survivre au cycle médiatique.

Le dossier de règlement du recours collectif ajoute une autre dimension. L'annonce de règlement de Desjardins en février 2022 àhttps://www.desjardins.com/en/news/desjardins-settlement-agreement.htmlindiquait qu'une convention de règlement avait été conclue avec les plaignants dans le cadre de recours collectifs liés à la violation de la vie privée. L'annonce de juin 2022 àhttps://www.desjardins.com/en/news/privacy-breach-settlement-agreement.htmlindiquait que la Cour supérieure du Québec avait approuvé un règlement permettant un montant maximal de 200 852 500 $ à verser à titre d'indemnisation individuelle aux personnes admissibles ayant présenté une demande. Le site de règlement àhttps://desjardinssettlement.com/et le matériel des avocats des recours collectifs àhttps://www.siskinds.com/class-action/desjardins-privacy-breach/font désormais partie de la carte de remédiation publique.

Le règlement n'est pas la même chose qu'une conclusion technique. Desjardins n'avait pas besoin d'admettre chaque allégation pour régler. Mais le règlement est une preuve de responsabilité car il montre comment le coût de la violation est passé d'un échec de contrôle à une indemnisation des membres, une administration des réclamations, une libération légale et une dépense institutionnelle. Il montre également les limites de l'argent post-violation. Un membre qui reçoit une indemnisation doit encore vivre avec le fait que les données d'identité ne peuvent pas être rappelées.

La réparation la plus forte est la prévention et l'amélioration vérifiable du contrôle, pas seulement le remboursement après l'exposition.

Le dossier de remédiation doit donc demander si l'argent et les services étaient assortis de preuves de contrôle. Les droits d'accès ont-ils été réduits? Les workflows des lecteurs partagés ont-ils été repensés? Les extraits sensibles ont-ils été classifiés et limités dans le temps? Les contrôles USB ont-ils été renforcés? Les alertes de surveillance ont-elles été améliorées? Des procédures de conservation et de destruction ont-elles été mises en œuvre? Des auditeurs externes ont-ils été invités à certifier les bonnes choses? Les rapports d'avancement aux régulateurs étaient-ils suffisamment significatifs pour prouver le changement?

Le dossier public de la vie privée indique que Desjardins a accepté des recommandations et un reporting d'audit externe. Les membres avaient encore besoin de l'assurance pratique que les anciennes voies étaient fermées.

Les recommandations réglementaires ont transformé l'affaire en un test de preuve

Les conclusions canadiennes sur la vie privée sont précieuses car elles n'ont pas présenté la violation comme un mystère. Elles ont identifié des faiblesses et fait des recommandations. Le CPVP a déclaré que Desjardins avait accepté d'améliorer ses programmes de protection des informations personnelles et de sécurité de l'information, de fournir des rapports d'avancement tous les six mois, de faire appel à des auditeurs externes et de soumettre des rapports d'évaluation.

Le communiqué de presse du CPVP a également indiqué que Desjardins avait accepté des recommandations relatives aux pratiques de destruction des données et à l'amélioration des programmes.

C'est le pivot de la responsabilité. Une recommandation réglementaire n'est pas seulement un blâme. Elle crée une norme de preuve. Desjardins devait démontrer que les contrôles étaient mis en œuvre, que les auditeurs externes avaient examiné les programmes pertinents et que les risques résiduels étaient identifiés. Les conclusions du CPVP listaient les sujets d'évaluation tels que la gouvernance, les ressources, les plateformes utilisées pour stocker les informations personnelles, la sensibilité des informations stockées dans chaque emplacement, les garanties, la conservation, la destruction, la désidentification et le risque résiduel.

Ce sont les bonnes catégories car la violation a traversé les limites de stockage, d'accès, de point de terminaison, de conservation et de gouvernance.

Les directives du Commissariat à la protection de la vie privée sur les violations pour les entreprises àhttps://www.priv.gc.ca/en/privacy-topics/business-privacy/safeguards-and-breaches/privacy-breaches/respond-to-a-privacy-breach-at-your-business/gd_pb_201810/sont un vocabulaire de contrôle utile pour la réponse et la tenue de dossiers. Elles renforcent que les organisations doivent évaluer le risque réel de préjudice significatif, signaler certaines violations, aviser les personnes concernées, tenir des registres et prendre des mesures pour réduire le préjudice. Dans le cas de Desjardins, le défi n'était pas seulement de respecter les mécanismes d'avis. C'était de prouver que les garanties étaient devenues appropriées à la sensibilité et à l'échelle des données.

Le cadre de cybersécurité du NIST àhttps://www.nist.gov/cyberframeworket le matériel de conception sécurisée de CISA àhttps://www.cisa.gov/resources-tools/resources/secure-by-designsont des références plus larges, non spécifiques à Desjardins. Ils restent pertinents car ils expriment la boucle de contrôle que cet incident a exposée. Identifier les données sensibles et les processus commerciaux. Protéger l'accès et limiter le mouvement. Détecter les copies anormales. Répondre par un avis clair et une remédiation. Rétablir la confiance par une réparation testée. Gouverner l'ensemble du système par une responsabilité nommée et des preuves. Le cas de Desjardins a touché chaque partie de cette boucle.

L'élément de continuité du secteur public apparaît ici. Les régulateurs de la vie privée, la police, les tribunaux, les superviseurs financiers, les bureaux de crédit, les intervenants en cas d'usurpation d'identité et les administrateurs de recours collectifs ont tous fait partie de l'écosystème de réponse. Une violation d'identité financière à grande échelle ne reste pas à l'intérieur de la limite de l'entreprise. Les institutions publiques doivent absorber les plaintes, les enquêtes, le signalement de fraude, les procédures judiciaires et le travail de confiance publique.

L'institution qui a collecté les données contrôle les garanties de premier ordre; le secteur public aide à supporter les conséquences de second ordre.

Les limites des preuves doivent rester visibles

Le dossier public soutient des conclusions solides, mais il a des limites. Il soutient que Desjardins a divulgué un partage lié à un employé d'informations de membres en dehors de l'organisation, que la violation a finalement touché près de 9,7 millions de personnes selon les conclusions fédérales sur la vie privée, que les catégories de données sensibles comprenaient les noms, dates de naissance, numéros d'assurance sociale, adresses, coordonnées et historiques de transactions, et que le CPVP a constaté des défaillances liées à la responsabilité, à la conservation et aux garanties.

Il soutient que Desjardins a financé des mesures de protection d'identité et a ensuite conclu un processus de règlement approuvé par le tribunal.

Le dossier public ne permet pas d'affirmer que chaque personne affectée a subi un vol d'identité. Il ne prouve pas l'utilisation exacte en aval de chaque enregistrement. Il n'expose pas toutes les preuves policières, tous les journaux de postes de travail des employés, tous les événements USB, tous les examens d'accès internes, toutes les soumissions réglementaires ou tous les artefacts d'audit externe. Il ne permet pas de spéculer sur chaque employé ou département de Desjardins. Un dossier de responsabilité sérieux doit garder ces limites visibles car des affirmations excessives affaiblissent l'analyse.

La conclusion correcte est plus étroite et plus forte: une institution financière qui détient des données d'identité durables ne doit pas laisser les chemins de travail ordinaires devenir des voies d'exportation en masse. L'utilisation abusive par un initié est prévisible. Les lecteurs partagés sont prévisibles. Les supports amovibles sont prévisibles. Les extraits de données pour le marketing ou l'analyse sont prévisibles. La dérive de conservation est prévisible. La norme de responsabilité n'est pas une connaissance parfaite de chaque futur employé.

C'est la preuve que le système limite ce qu'un seul rôle peut copier, détecte les mouvements inhabituels, ne conserve que ce qui est nécessaire et donne aux personnes affectées une protection significative lorsque les contrôles échouent.

L'affaire ne doit pas non plus être utilisée pour affirmer que les institutions financières peuvent éliminer tout risque interne. Elles ne le peuvent pas. Les banques, les coopératives de crédit, les assureurs et les sociétés de paiement ont besoin d'employés et de sous-traitants pour traiter des informations sensibles pour des raisons légitimes. La norme réaliste est un contrôle proportionné. Les données hautement sensibles doivent exiger des autorisations plus fortes, des champs plus étroits, un liage à un objectif, des pistes d'audit, une segmentation, des garanties de point de terminaison et une discipline de conservation.

Plus l'identifiant est durable, moins il devrait y avoir de tolérance pour les copies occasionnelles.

La distinction importe pour l'équité. La réponse publique de Desjardins comprenait la protection des membres et la coopération avec les régulateurs. Cette réponse appartient au dossier. Elle n'annule pas les défaillances de contrôle. Le dossier de responsabilité doit évaluer les deux: la réparation post-découverte de l'institution et les conditions pré-découverte qui ont permis à la violation de prendre de l'ampleur.

Ce qu'une réparation vérifiable exigerait

Le test de réparation durable pour Desjardins commence par les droits d'accès. Chaque transfert récurrent d'informations personnelles sensibles d'un entrepôt contrôlé vers un dossier utilisateur, un lecteur partagé, un espace de travail d'analyse ou un point de terminaison doit avoir un objectif commercial nommé, une approbation du propriétaire des données, une minimisation des champs, une limite de conservation, une journalisation et une date de révision. Si l'objectif peut être atteint avec des données agrégées ou tokenisées, les champs d'identité ne doivent pas voyager.

Si les champs d'identité doivent voyager, l'emplacement récepteur doit être traité comme un magasin de données à haut risque, pas comme un dossier de département ordinaire.

Le deuxième test est le contrôle du cycle de vie. Desjardins devait savoir quelles informations personnelles il détenait, pourquoi il les détenait, où elles étaient stockées, combien de temps elles devaient rester et comment elles seraient détruites ou désidentifiées lorsqu'elles ne seraient plus nécessaires. Ce n'est pas facile dans un grand groupe financier coopératif avec des systèmes hérités, des entrepôts de données, des produits membres, des activités d'assurance, des cartes, des clients commerciaux et des fonctions d'analyse. La difficulté est exactement pourquoi le contrôle doit être gouverné.

Un calendrier de conservation qui ne peut pas être cartographié sur des référentiels réels n'est pas suffisant.

Le troisième test est la détection du mouvement des données. Une institution financière moderne doit générer des preuves lorsque des données sensibles sont copiées en volume, déplacées vers un dossier partagé, téléchargées sur un poste de travail, écrites sur un support amovible, compressées, envoyées par courriel en externe ou consultées en dehors des modèles de rôle normaux. Les alertes doivent être acheminées vers des personnes ayant l'autorité d'enquêter. Les exceptions doivent expirer.

Les processus commerciaux récurrents qui créent de grands extraits sensibles doivent être examinés par la vie privée, la sécurité et le propriétaire des données, et non normalisés parce qu'ils ont toujours existé.

Le quatrième test est le contrôle des points de terminaison et des supports amovibles. Les conclusions publiques décrivaient la copie d'un lecteur partagé vers un ordinateur de travail puis sur des clés USB. La réponse responsable doit prouver que les informations personnelles à haut risque ne peuvent pas être exportées de manière occasionnelle vers des supports amovibles, ou que toute exportation approuvée est fortement contrôlée, journalisée, cryptée, limitée dans le temps et liée à un ticket de travail légitime.

Les contrôles doivent également couvrir l'impression, le transfert par courriel, la synchronisation cloud, les appareils personnels et autres voies d'exfiltration pratiques.

Le cinquième test est l'atténuation face aux membres. Les services de protection d'identité, le remboursement, le soutien en cas de fraude, la surveillance du crédit et l'indemnisation peuvent réduire les dommages, mais ils doivent être liés à une explication claire des catégories de données et du risque futur. Les membres ne doivent pas avoir à analyser des documents juridiques pour savoir ce qui s'est passé, ce qu'ils doivent surveiller et quelle aide reste disponible si un vol d'identité apparaît plus tard.

Le sixième test est la preuve externe. Lorsqu'un régulateur exige des rapports d'avancement et des audits externes, les preuves doivent être suffisamment spécifiques pour montrer que la gouvernance d'accès a changé. Une déclaration générique selon laquelle les politiques se sont améliorées ne répond pas à la violation. Les preuves doivent montrer les progrès de l'inventaire des données, le nettoyage des rôles d'accès, la réduction des lecteurs partagés, la mise en œuvre de la conservation, les mesures de surveillance, les améliorations de la réponse aux incidents et les risques résiduels non résolus.

Les régulateurs ne publient peut-être pas tous les détails, mais l'institution doit être capable de démontrer la substance.

Ce que les autres institutions financières devraient apprendre

Le cas de Desjardins a une leçon générale pour les institutions financières, les coopératives de crédit, les assureurs, les fintechs et les processeurs de données: l'exposition des données par un initié n'est pas une catégorie rare en dehors de la gouvernance ordinaire. C'est le mode de défaillance naturel d'un accès large, d'extraits non gérés, d'une conservation longue, de contrôles de point de terminaison faibles et d'une surveillance limitée. Un employé malveillant ne peut créer un risque d'identité à l'échelle de la population que si l'environnement donne à cet employé un chemin vers des données à l'échelle de la population.

Les conseils d'administration doivent demander des preuves, pas du réconfort. Combien d'employés peuvent accéder aux champs d'identité bruts? Combien d'extraits récurrents incluent des numéros d'assurance sociale, des dates de naissance, des adresses ou des historiques de transactions? Où ces extraits aboutissent-ils? Combien de temps restent-ils? Peuvent-ils être copiés sur des ordinateurs portables ou des supports amovibles? Quelles alertes se déclencheraient si un utilisateur copiait des centaines de milliers d'enregistrements?

Qui examine les droits d'accès pour les rôles marketing, d'analyse, de produit, de fraude, de support et d'exploitation? À quelle vitesse les exceptions sont-elles supprimées? Comment les anciennes données des membres sont-elles détruites? Quel test indépendant prouve la réponse?

Les équipes de sécurité doivent résister à l'expression étroite de « menace interne » si elle devient un moyen d'individualiser un problème de conception. La gestion du risque interne est la gouvernance d'accès, la classification des données, le contrôle de la conservation, la surveillance, la conception des points de terminaison, la formation, le workflow d'enquête et la refonte des processus commerciaux. Ce n'est pas une campagne d'affichage demandant aux employés d'être dignes de confiance.

Les employés doivent être formés, mais la formation ne peut pas remplacer la limitation de la quantité de données sensibles qu'une seule personne peut copier.

Les équipes de vie privée doivent traiter la minimisation des données comme une architecture de sécurité. Lorsque les dossiers de vie privée sont conservés trop longtemps ou copiés trop largement, l'équipe de sécurité hérite d'un rayon d'explosion plus large. Lorsque la surveillance de la sécurité ignore les extraits commerciaux parce qu'ils sont formellement autorisés, l'équipe de vie privée hérite d'un cycle de vie non contrôlé.

Les deux disciplines se rencontrent dans la question de savoir si les données sensibles existent là où elles devraient, pour aussi longtemps qu'elles le devraient, sous des contrôles qui correspondent à leur préjudice futur.

Les membres et les clients doivent demander aux institutions comment les données d'identité sont protégées après avoir quitté l'application d'origine. De nombreuses organisations ont des contrôles d'accès à la base de données solides à la source mais des contrôles plus faibles autour des extraits, des rapports, des lecteurs partagés, des tableurs et des bacs à sable d'analyse. La copie dangereuse n'est peut-être pas l'enregistrement dans le système central. C'est peut-être l'exportation créée pour la commodité et oubliée.

La leçon finale de responsabilité est pratique. Desjardins n'a pas fait de l'accès interne un test de gouvernance parce qu'un employé s'est mal comporté. Il a fait de l'accès interne un test de gouvernance parce que le dossier public a montré que les données d'identité financière pouvaient voyager via des systèmes de travail ordinaires d'une manière qui créait un risque de masse. Dans une institution financière, l'identité des membres est une infrastructure.

Elle doit être gouvernée avec le même sérieux que le mouvement de l'argent, car une fois que les données d'identité quittent l'institution, le membre en porte le risque pendant des années.

La confiance coopérative a rendu le fardeau de la preuve plus élevé

La structure coopérative de Desjardins rend le fardeau de la preuve plus élevé, pas plus faible. Un groupe financier coopératif peut parler le langage de l'adhésion, du service local, de la propriété partagée et de l'engagement communautaire. Ces valeurs ne sont significatives que si elles sont assorties de preuves que les données des membres sont protégées à l'intérieur de l'institution. Un membre ne peut pas participer de manière significative à la gouvernance des données si les contrôles pertinents sont cachés dans des entrepôts, des lecteurs partagés, des outils de point de terminaison et des systèmes de conservation.

La relation coopérative dépend donc de la preuve institutionnelle, pas de l'hypothèse du membre.

Cette preuve doit être lisible à plusieurs niveaux. Le conseil d'administration a besoin de preuves de contrôle: inventaires de données, examens d'accès, mesures de surveillance, progrès de destruction, résultats d'audit et risque résiduel. Les régulateurs ont besoin de suffisamment de détails pour tester si les recommandations ont été mises en œuvre plutôt qu'absorbées dans un langage politique général. Les membres ont besoin d'un avis clair sur les données impliquées, les protections qui continuent et comment obtenir de l'aide.

Les employés ont besoin de garde-fous pratiques qui rendent le chemin approuvé plus facile que le chemin dangereux. Chaque public a besoin d'une surface différente, mais tous ont besoin du même fait sous-jacent: les données d'identité sensibles ne peuvent plus se déplacer via des chemins de travail faiblement gouvernés à grande échelle.

C'est aussi là que la confiance publique devient un problème de continuité. Les institutions financières font partie de la vie quotidienne. La paie, les prêts, les cartes, les dossiers fiscaux, l'épargne-retraite, le financement des petites entreprises, l'assurance et les interactions gouvernementales dépendent tous d'une identité stable et de dossiers de confiance. Lorsqu'une violation implique des numéros d'assurance sociale et des coordonnées, le fardeau de la réparation s'étend au-delà du bilan d'une seule institution.

Les banques, les bureaux de crédit, les services de police, les autorités fiscales, les employeurs et les services d'assistance aux consommateurs font tous partie de l'environnement de gestion des préjudices. C'est pourquoi l'article traite la continuité du secteur public comme un sujet contrôlé même si Desjardins n'est pas une agence gouvernementale. La violation a touché une infrastructure d'identité sur laquelle les acteurs publics et privés comptent tous deux.

La conclusion de responsabilité la plus utile n'est donc pas une rhétorique punitive. C'est une règle de preuve. Si une institution collecte des informations d'identité durables, elle doit être en mesure de prouver où se trouvent ces informations, qui peut les utiliser, pourquoi ils peuvent les utiliser, combien de temps elles y restent, ce qui se passe lorsqu'elles se déplacent et quel signal apparaît lorsqu'elles se déplacent anormalement.

Si l'institution ne peut pas répondre à ces questions avant un incident, elle y répondra après via des avis, des provisions, des recours collectifs, des conclusions réglementaires et l'anxiété des membres. Desjardins a rendu ce timing visible.