Le Québec s’est réveillé le jeudi 20 juin, avec la gueule de bois. Pas celle des lendemains de victoire des Canadiens de Montréal au hockey, mais plutôt de celui qui découvre qu’au pays de la poutine et des caribous, il y a, comme dans tous pays, des escrocs et des voleurs.
« La confiance n’exclut pas le contrôle », disait Lénine. Il semblerait que chez Desjardins, ce soit de confiance dont on ait abusé, et de contrôle dont on ait manqué. A l’heure où nous écrivons ces lignes, il y a 65 personnes référencées sur LinkedIn dont le titre contient le mot « gouvernance » et qui travaillent actuellement chez Desjardins… Pourtant c’est bien la gouvernance, ou son absence partielle, qui sont en cause dans cette affaire.
« La confiance n’exclut pas le contrôle », disait Lénine. Il semblerait que chez Desjardins, ce soit de confiance dont on ait abusé, et de contrôle dont on ait manqué. A l’heure où nous écrivons ces lignes, il y a 65 personnes référencées sur LinkedIn dont le titre contient le mot « gouvernance » et qui travaillent actuellement chez Desjardins… Pourtant c’est bien la gouvernance, ou son absence partielle, qui sont en cause dans cette affaire.
Il ne s’agit pas d’une faille de sécurité, mais d’une absence de gouvernance
La plupart des vols de données sont le fait de personnes extérieures, les braqueurs du XXIème siècle, qui pénètrent les coffres forts virtuels des grandes organisations afin d’y dérober la monnaie de notre siècle, la donnée personnelle. Les systèmes de sécurité physiques et informatiques doivent en permanence être améliorés afin de protéger les bases de données contre des attaques de plus en plus évoluées. C’est la course entre les cyber-voleurs et les cyber-gendarmes, version digitale. Et cela passe dans certaines organisations par une séparation physique entre le réseau interne, et le monde extérieur. Le réseau interne n’étant connecté à aucun service extérieur, il ne peut être attaqué que de l’intérieur ; ce qui réduit, sans éliminer, les risques d’intrusion. Cette séparation physique est par ailleurs de plus en plus difficile à mettre en œuvre : les clients ont besoin d’accéder à de nombreuses données en temps réel, au travers d’applications mobiles et de sites web ; et les salariés ont besoin d’accéder à des services en ligne pour réaliser leurs tâches quotidiennes ; et ne parlons pas du cloud ou du télétravail !
Mais chez Desjardins, rien de tout cela. Sans doute le système est-il plutôt bien protégé du point de vue technique, car ce ne sont pas les tentatives d’intrusion qui doivent manquer.
En revanche, que faire lorsque les employés eux-mêmes, de manière plus ou moins volontaire, créent des failles dans le système ? Il peut s’agir de failles de sécurité (mot de passe non changé, mot de passe sur un post-it collé sur l’écran…) ou de réelles intentions de nuire. C’est ce qui a frappé Desjardins. Un salarié indélicat, un Albert Spaggiari du XXIème siècle, qui n’a pas tenté de subtiliser des liasses de billets, mais a tout simplement transféré des données personnelles. On ne connait pas bien ses motivations : les revendre, s’en servir comme instrument d’une forme de chantage, ou simplement causer du tort à son employeur.
Les systèmes de sécurité physiques ou logiciels, anti-intrusion, ne sont pas ici en cause. Ils n’ont rien pu faire, l’escroc étant déjà dans la place, et habilité à accéder aux données.
En revanche, c’est une autre couche de contrôle, celle de la gouvernance des données, qui aurait dû prendre le relais, détecter les agissements de la personne en question, et donner l’alerte.
Parmi les actions qui incombent à la gouvernance des données, figure en effet la surveillance de qui accède à quelle donnée, ce que l’on appelle les accès à privilèges.
Faisant preuve d’une transparence louable, Desjardins a communiqué clairement
auprès de ses clients, sur les données impactées, et a mis en place différents outils à sa charge, pour aider les clients à détecter d’éventuelles tentatives d’usurpation de leur identité.
Les données concernées sont, selon Desjardins : les données d’identification des clients (nom, prénom, date de naissance…), numéro de sécurité sociale, données qualitatives sur le comportement d’achat des clients. Ce qui pose problème au Canada, c’est la divulgation du numéro de sécurité sociale, qui doit normalement rester secret, combiné aux données d’identification et à la date de naissance. Avec ces informations, un escroc peut tenter une usurpation d’identité de la personne, souscrire à des emprunts, demander des cartes de crédit, etc. Pour tenter de détecter ces usurpations, Desjardins va offrir aux clients concernés les services d’une entreprise de surveillance. Mais cela ne compensera pas les nombreux ennuis qui attentent un client dont l’identité serait usurpée.
Mais chez Desjardins, rien de tout cela. Sans doute le système est-il plutôt bien protégé du point de vue technique, car ce ne sont pas les tentatives d’intrusion qui doivent manquer.
En revanche, que faire lorsque les employés eux-mêmes, de manière plus ou moins volontaire, créent des failles dans le système ? Il peut s’agir de failles de sécurité (mot de passe non changé, mot de passe sur un post-it collé sur l’écran…) ou de réelles intentions de nuire. C’est ce qui a frappé Desjardins. Un salarié indélicat, un Albert Spaggiari du XXIème siècle, qui n’a pas tenté de subtiliser des liasses de billets, mais a tout simplement transféré des données personnelles. On ne connait pas bien ses motivations : les revendre, s’en servir comme instrument d’une forme de chantage, ou simplement causer du tort à son employeur.
Les systèmes de sécurité physiques ou logiciels, anti-intrusion, ne sont pas ici en cause. Ils n’ont rien pu faire, l’escroc étant déjà dans la place, et habilité à accéder aux données.
En revanche, c’est une autre couche de contrôle, celle de la gouvernance des données, qui aurait dû prendre le relais, détecter les agissements de la personne en question, et donner l’alerte.
Parmi les actions qui incombent à la gouvernance des données, figure en effet la surveillance de qui accède à quelle donnée, ce que l’on appelle les accès à privilèges.
Faisant preuve d’une transparence louable, Desjardins a communiqué clairement
auprès de ses clients, sur les données impactées, et a mis en place différents outils à sa charge, pour aider les clients à détecter d’éventuelles tentatives d’usurpation de leur identité.
Les données concernées sont, selon Desjardins : les données d’identification des clients (nom, prénom, date de naissance…), numéro de sécurité sociale, données qualitatives sur le comportement d’achat des clients. Ce qui pose problème au Canada, c’est la divulgation du numéro de sécurité sociale, qui doit normalement rester secret, combiné aux données d’identification et à la date de naissance. Avec ces informations, un escroc peut tenter une usurpation d’identité de la personne, souscrire à des emprunts, demander des cartes de crédit, etc. Pour tenter de détecter ces usurpations, Desjardins va offrir aux clients concernés les services d’une entreprise de surveillance. Mais cela ne compensera pas les nombreux ennuis qui attentent un client dont l’identité serait usurpée.
Trois couches transverses à développer
Une campagne de publicité de Desjardins lancée bien involontairement il y a quelques semaines... ironique...
Ce que l’on regroupe sous le terme de « gouvernance des données » est large ; bien plus large que ce que les départements informatiques appellent la « gouvernance du système d’information ». Cette dernière, à vision purement interne au département TI, consiste essentiellement à cataloguer et documenter les données, leur emplacement, leurs règles techniques, etc. La gouvernance des données propose quant à elle une vision métier de la donnée, et non simplement technique. Cette gouvernance est donc orientée métier, orientée valeur, et transverse, englobant à la fois les systèmes opérationnels et transactionnels, et les systèmes décisionnels.
Cette vision s’appuie sur trois couches : la gestion des données de référence, la gestion des méta-données, et la couche règlementaire et éthique.
La couche de gestion des données de référence, recense l’ensemble des données partagées par plusieurs personnes dans l’organisation, et pour lesquelles un travail de définition commun a été entrepris. C’est le principal outil de suppression des silos informationnels. Ce travail de cartographie impose des discussions internes, et la définition de règles de qualité des données.
La couche de gestion des métadonnées couvre d’une part la traçabilité de l’information, de ses transformations et de ses usages (c’est là que le problème de Desjardins n’a pas été détecté), les règles d’accès aux données, et les rôles de chaque personne susceptible d’y accéder. « Dans sa déclaration, Desjardins indique que de nouvelles mesures sont mises en place pour prévenir de futurs incidents. Elles devraient inclure un plan solide sur la mise en œuvre de la sécurité des accès à privilèges afin de limiter de manière proactive les privilèges des utilisateurs, et de contrôler les accès dans le but de réduire le risque d'attaques d'initiés. Ainsi chaque utilisateur accédera uniquement aux informations sensibles dont il aura besoin pour accomplir son travail, selon la politique du moindre privilège, et toute activité malveillante pourra alors être détectée et arrêtée rapidement », explique Shay Nahari, directeur de la Red Team, chez CyberArk.
Quant à la troisième couche, elle regroupe les règles éthiques, les modalités de respect des lois propres à un secteur d’activité réglementé (comme la banque ou l’assurance), et les systèmes de contrôle indépendants. C’est dans cette couche supérieure que sont arrimées les bases liées à la mise en place du RGPD, dont en particulier la base des consentements, et le registre des traitements, qui doivent être transverses à l’ensemble des systèmes décisionnels et transactionnels.
Dans le cas de Desjardins, il semble qu’un employé ait téléchargé des données de 2,9 millions de clients, et ait pu les sortir de l’entreprise. Des faits qui posent un certain nombre de questions, et suggèrent des réponses potentielles en termes de gouvernance :
- L’employé avait légitimement accès, pour son travail, aux données confidentielles de clients, dont le numéro de sécurité sociale, et les habitudes d’achat. Mais son travail était-il bien en relation avec l’ensemble des clients de la banque ? Est-ce normal qu’une même personne ait besoin d’avoir accès aux données de 2,9 millions de clients ?
- L’employé a consulté, puis téléchargé les données de 2,9 millions de clients. Un des rôles de la gouvernance des données, est de détecter les usages hors normes. Son travail habituel le conduisait-il vraiment à télécharger les données de 2,9 millions de clients ? Où la gouvernance n’aurait-elle pas dû émettre une alerte en détectant un tel volume de consultation / téléchargement ?
- L’employé a pu sortir les données du système d’information. La sécurité physique est ici en question. Une simple clef USB, ou un fichier sur un répertoire partagé, ou un email, suffisent-ils pour mettre en défaut le système de sécurité de Desjardins ?
La conclusion est ici assez claire. Il n’est pas possible d’éviter, dans une entreprise de presque 50 000 employés, la malhonnêteté de certains. Mais, sans préjuger de la malhonnêteté de tous, il est nécessaire de mettre en place des contrôles. La confiance ne peut en aucun cas suffire. Et si Guy Cormier, le Président et chef de la direction de l’entreprise, s’est senti trahi par l’employé fautif, il doit en tirer comme leçon que la confiance n’exclut pas le contrôle. Et adapter rapidement le fonctionnement de groupe pour mettre en place une véritable gouvernance des données, des personnes et des processus.
Pour Shay Nahari , « ce type d'attaque peut toucher n'importe quel organisme financier. C’est pourquoi la sécurisation des accès à privilèges nécessaires pour exfiltrer des informations sensibles, est une étape cruciale de la prévention des menaces internes. Sur la base de notre travail avec les systèmes bancaires mondiaux, il existe six domaines immédiats que des organisations comme Desjardins devraient examiner, mettre en place et renforcer pour prévenir de futures attaques d’initiés. Le risque d'attaques externes qui permettent d’accéder au réseau et d’obtenir le statut d'initiés malveillants en exploitant les identifiants de connexion, les ressources et les actifs d'un employé est ainsi minimisé :
- S’assurer que les mots de passe, les informations d'identification et les secrets privilégiés sont gérés, stockés et changés en fonction de la stratégie. Il convient par exemple, d’effectuer la rotation des mots de passe immédiatement après utilisation, ou en fonction de paramètres de temps préprogrammés ;
- Accorder des privilèges aux utilisateurs uniquement pour les systèmes sur lesquels ils sont autorisés ;
- Appliquer la politique de moindre privilège en accordant l’accès uniquement lorsque cela est nécessaire, et en le révoquant lorsque le besoin prend fin ;
- Éviter aux utilisateurs bénéficiant d’accès à privilèges de posséder ou d’avoir besoin de mots de passe système locaux / directs ;
- Créer une piste d'audit inaltérable pour toute opération sur des accès à privilèges ;
- Détecter et prévenir les attaques impliquant ces accès. »
Cette vision s’appuie sur trois couches : la gestion des données de référence, la gestion des méta-données, et la couche règlementaire et éthique.
La couche de gestion des données de référence, recense l’ensemble des données partagées par plusieurs personnes dans l’organisation, et pour lesquelles un travail de définition commun a été entrepris. C’est le principal outil de suppression des silos informationnels. Ce travail de cartographie impose des discussions internes, et la définition de règles de qualité des données.
La couche de gestion des métadonnées couvre d’une part la traçabilité de l’information, de ses transformations et de ses usages (c’est là que le problème de Desjardins n’a pas été détecté), les règles d’accès aux données, et les rôles de chaque personne susceptible d’y accéder. « Dans sa déclaration, Desjardins indique que de nouvelles mesures sont mises en place pour prévenir de futurs incidents. Elles devraient inclure un plan solide sur la mise en œuvre de la sécurité des accès à privilèges afin de limiter de manière proactive les privilèges des utilisateurs, et de contrôler les accès dans le but de réduire le risque d'attaques d'initiés. Ainsi chaque utilisateur accédera uniquement aux informations sensibles dont il aura besoin pour accomplir son travail, selon la politique du moindre privilège, et toute activité malveillante pourra alors être détectée et arrêtée rapidement », explique Shay Nahari, directeur de la Red Team, chez CyberArk.
Quant à la troisième couche, elle regroupe les règles éthiques, les modalités de respect des lois propres à un secteur d’activité réglementé (comme la banque ou l’assurance), et les systèmes de contrôle indépendants. C’est dans cette couche supérieure que sont arrimées les bases liées à la mise en place du RGPD, dont en particulier la base des consentements, et le registre des traitements, qui doivent être transverses à l’ensemble des systèmes décisionnels et transactionnels.
Dans le cas de Desjardins, il semble qu’un employé ait téléchargé des données de 2,9 millions de clients, et ait pu les sortir de l’entreprise. Des faits qui posent un certain nombre de questions, et suggèrent des réponses potentielles en termes de gouvernance :
- L’employé avait légitimement accès, pour son travail, aux données confidentielles de clients, dont le numéro de sécurité sociale, et les habitudes d’achat. Mais son travail était-il bien en relation avec l’ensemble des clients de la banque ? Est-ce normal qu’une même personne ait besoin d’avoir accès aux données de 2,9 millions de clients ?
- L’employé a consulté, puis téléchargé les données de 2,9 millions de clients. Un des rôles de la gouvernance des données, est de détecter les usages hors normes. Son travail habituel le conduisait-il vraiment à télécharger les données de 2,9 millions de clients ? Où la gouvernance n’aurait-elle pas dû émettre une alerte en détectant un tel volume de consultation / téléchargement ?
- L’employé a pu sortir les données du système d’information. La sécurité physique est ici en question. Une simple clef USB, ou un fichier sur un répertoire partagé, ou un email, suffisent-ils pour mettre en défaut le système de sécurité de Desjardins ?
La conclusion est ici assez claire. Il n’est pas possible d’éviter, dans une entreprise de presque 50 000 employés, la malhonnêteté de certains. Mais, sans préjuger de la malhonnêteté de tous, il est nécessaire de mettre en place des contrôles. La confiance ne peut en aucun cas suffire. Et si Guy Cormier, le Président et chef de la direction de l’entreprise, s’est senti trahi par l’employé fautif, il doit en tirer comme leçon que la confiance n’exclut pas le contrôle. Et adapter rapidement le fonctionnement de groupe pour mettre en place une véritable gouvernance des données, des personnes et des processus.
Pour Shay Nahari , « ce type d'attaque peut toucher n'importe quel organisme financier. C’est pourquoi la sécurisation des accès à privilèges nécessaires pour exfiltrer des informations sensibles, est une étape cruciale de la prévention des menaces internes. Sur la base de notre travail avec les systèmes bancaires mondiaux, il existe six domaines immédiats que des organisations comme Desjardins devraient examiner, mettre en place et renforcer pour prévenir de futures attaques d’initiés. Le risque d'attaques externes qui permettent d’accéder au réseau et d’obtenir le statut d'initiés malveillants en exploitant les identifiants de connexion, les ressources et les actifs d'un employé est ainsi minimisé :
- S’assurer que les mots de passe, les informations d'identification et les secrets privilégiés sont gérés, stockés et changés en fonction de la stratégie. Il convient par exemple, d’effectuer la rotation des mots de passe immédiatement après utilisation, ou en fonction de paramètres de temps préprogrammés ;
- Accorder des privilèges aux utilisateurs uniquement pour les systèmes sur lesquels ils sont autorisés ;
- Appliquer la politique de moindre privilège en accordant l’accès uniquement lorsque cela est nécessaire, et en le révoquant lorsque le besoin prend fin ;
- Éviter aux utilisateurs bénéficiant d’accès à privilèges de posséder ou d’avoir besoin de mots de passe système locaux / directs ;
- Créer une piste d'audit inaltérable pour toute opération sur des accès à privilèges ;
- Détecter et prévenir les attaques impliquant ces accès. »
Attention aussi à la qualité des données
Comme un problème n’arrive jamais seul, suite aux courriers envoyés par Desjardins à ses millions de clients pour les informer de la situation, des données de qualité plus que douteuse ont été détectées. Certains clients ont en effet rapporté dans la presse québécoise, avoir reçu ce courrier au nom de personnes décédées… des décès qui n’auraient donc pas été correctement enregistrés dans les bases de données de Desjardins. Même s’il semble peu intéressant de voler l’identité d’une personne décédée, ces incohérences jettent le doute sur les processus de contrôle de qualité des données de Desjardins.
Des données… et de la valeur
Sur le continent nord-américain, prompte à dégainer les actions judiciaires, en particulier collectives, il n’a fallu que quelques jours pour que des clients, accompagnés voir téléguidés par des avocats spécialisés, ne déposent une plainte et une demande d’indemnisation. Le montant demandé au travers de deux actions collectives est déjà de 8 milliards de dollars canadiens. Et cela pour les données de 2,9 millions de clients. Le ratio n’a aucune valeur certaine, mais il est intéressant. Cela représente en effet 2760 dollars par client. Ce serait donc plus ou moins la valeur de vos données !
Bien sûr, il n’y a aucune certitude que ces actions collectives arrivent à leur terme, que raison soit donnée aux plaignants, ni que les montants demandés ne soient accordés. Il est encore beaucoup trop tôt pour cela. Mais la réflexion sur la valeur des données est un élément clef de la conception d’un cadre de gouvernance. Et il se révèle toujours bien difficile d’évaluer cet actif immatériel. La valeur de 2760 dollars canadiens pour les données d’un client d’une grande banque québécoise est un indicateur, ni plus, ni moins.
Nous aurions évidemment aimé poser des questions aux représentants de Desjardins. Nous avons tenté de contacter Chadi Habib, Premier vice-président Technologies de l'information du Mouvement Desjardins, qui semble, de par sa fonction, le principal intéressé. Mais il n’a pas souhaité donner suite à notre demande d’interview. Tout comme plusieurs autres personnes en charge de la gouvernance chez Desjardins qui tous, semblent aux abonnés absents depuis la révélation de l’affaire. Comme l’explique un excellent connaisseur de la banque, tout le monde courbe l’échine, se fait tout petit, en espérant que la vague des sanctions qui semblent inéluctables, ne l’atteindra pas.
Bien sûr, il n’y a aucune certitude que ces actions collectives arrivent à leur terme, que raison soit donnée aux plaignants, ni que les montants demandés ne soient accordés. Il est encore beaucoup trop tôt pour cela. Mais la réflexion sur la valeur des données est un élément clef de la conception d’un cadre de gouvernance. Et il se révèle toujours bien difficile d’évaluer cet actif immatériel. La valeur de 2760 dollars canadiens pour les données d’un client d’une grande banque québécoise est un indicateur, ni plus, ni moins.
Nous aurions évidemment aimé poser des questions aux représentants de Desjardins. Nous avons tenté de contacter Chadi Habib, Premier vice-président Technologies de l'information du Mouvement Desjardins, qui semble, de par sa fonction, le principal intéressé. Mais il n’a pas souhaité donner suite à notre demande d’interview. Tout comme plusieurs autres personnes en charge de la gouvernance chez Desjardins qui tous, semblent aux abonnés absents depuis la révélation de l’affaire. Comme l’explique un excellent connaisseur de la banque, tout le monde courbe l’échine, se fait tout petit, en espérant que la vague des sanctions qui semblent inéluctables, ne l’atteindra pas.
En conclusion
Attention, cette triste histoire a beau pointer du doigt une banque nord-américaine, nul ne devrait, où que ce soit dans le monde, se sentir étranger à cette mésaventure. Bien prétentieuses seraient les banques (ou les autres organisations) qui oseraient se moquer de la situation dans laquelle Desjardins se retrouve. La gouvernance intelligente des accès aux données, est encore très peu développée, tous continents confondus. Cette histoire devrait être une opportunité pour tous de se pencher sur ses propres procédures, et de tester si ce type de tentative de vol aurait été détecté chez vous… ou pas… Il n’est pas trop tard pour mettre en place une bonne gouvernance des données, des personnes et des algorithmes. Mais c’est urgent !
Autres articles
-
Gouverner l’intelligence artificielle : un passage obligé afin d’en sécuriser les bénéfices pour l’entreprise (1ère partie)
-
ChatGPT peut-il accélérer l’acculturation financière des consommateurs pour assurer la rentabilité des banques ?
-
Résilience du système financier : les 4 piliers de la réglementation DORA
-
Atlan dévoile Atlan AI, dévoilant l'avenir du travail avec les données
-
Celonis dévoile de nouvelles innovations en matière de Process Mining afin d’offrir rapidement une valeur substantielle à ses clients
