Attention aux données de vos clients!

Même s’il est vrai qu’un pirate informatique peut semer le chaos dans vos dossiers, la divulgation accidentelle de données et la perte de dossiers constituent les principales causes des brèches de sécurité.

Bien que les conseillers discutent rarement de la sécurité des données avec leurs clients, une brèche à cet égard peut avoir des conséquences dévastatrices. Alors, prenez vos précautions et protégez votre cabinet et votre clientèle.

Pour Mitch Reynolds, un conseiller de Calgary, tout a commencé par un employé qui s’est fait voler, dans un véhicule, un sac contenant son ordinateur portable et des formulaires d’un client : « Heureusement, aucun numéro d’assurance sociale ou autre renseignement de nature confidentielle n’a été compromis. Il a quand même fallu mener un audit de sécurité exhaustif. » M. Reynolds a suivi le plan d’intervention de son cabinet et a communiqué avec le directeur de l’équipe administrative du siège social. « Le conseiller qui s’est fait voler son ordinateur portable et moi avons dû donner plusieurs entrevues et produire des rapports d’incident. »

Par chance, l’ordinateur était entièrement crypté et le voleur n’a pas pu accéder aux données. En revanche, les informations bancaires du client apparaissaient sur le formulaire papier. Le cabinet a donc communiqué avec le client et lui a recommandé de changer de compte bancaire, en offrant d’assumer pendant une année complète les frais de suivi de crédit. Après plusieurs semaines, le cabinet n’a trouvé aucun signe indiquant que quelqu’un avait tenté d’utiliser les données volées.

Dans cette situation, le pire a été évité. En effet, une atteinte à la sécurité des données peut ruiner votre pratique. Les clients abordent pourtant rarement le sujet avec leurs conseillers. « En règle générale, les clients ne discutent pas de la sécurité des données », affirme Olivia Woo, directrice principale de portefeuille au sein de l’équipe de gestion privée du cabinet Mawer Investment Management de Calgary.

S’ils ne mentionnent pas cet aspect, c’est parce qu’ils supposent que leur conseiller a fait ses devoirs. Un vol de données provoque donc une sérieuse crise de confiance. Selon le dernier indice de sécurité Unisys, jusqu’à 85 % des clients se tourneraient vers un autre cabinet financier si leurs renseignements personnels étaient compromis, et 50 % intenteraient une poursuite en justice.

Frais d’assurance

• Frais annuels d’une police d’assurance contre les brèches de sécurité de réseaux informatiques :
• – Cabinet de petite envergure : au moins 5000 $
• – Cabinet de grande envergure : entre 25 000 $ et 100 000 $
• – Franchise : 5000 $
• Selon Geoff Haddock, vice-président de Willis Canada inc., « les propriétaires de petites entreprises peuvent opter pour des polices moins onéreuses, mais leur protection sera alors bien inférieure ». Puisqu’une franchise de 5000 $ peut annuler la quasi-totalité de la réclamation, certains assureurs intègrent aux polices d’assurance commerciale une couverture « sécurité des réseaux » dotée de limites (10 000 $ à 25 000 $) et de franchises (1000 $) moins élevées.

Soyez au courant des conséquences Si la sécurité des données est compromise, un bon plan d’urgence qui précise les étapes à suivre pour restaurer les données, éviter l’utilisation non autorisée des informations et repérer l’origine de la brèche peut limiter les dégâts. Même si une brèche de sécurité est causée par un tiers, c’est à vous que les clients demanderont des comptes. Le Ponemon Institute a constaté que des partenaires externes sont responsables de près de 30 % des brèches de sécurité signalées. Avant d’externaliser des services, demandez donc au fournisseur comment il crypte et sauvegarde les données, qui a accès aux données des clients et quels contrôles sont en place pour limiter l’accès.

Votre entente de service devrait inclure le droit de vérifier les mesures adoptées par votre fournisseur pour protéger les données. Vous pourriez également demander à un expert en TI de vous préparer un modèle d’entente de service avec un tiers à utiliser dans de telles situations.

Incidence sur le plan des assurances Vos primes d’assurance pour erreurs et omissions ne devraient pas être affectées en cas de brèche de sécurité, sauf si ce n’est pas le premier incident de ce type et que votre compagnie d’assurance estime que vous ne prenez pas les précautions nécessaires. Selon la portée de votre couverture, certains assureurs voudront vérifier si vos politiques de sauvegarde et d’élimination des données ainsi que vos normes de chiffrement sont adéquates et si vous avez préparé un plan d’intervention d’urgence et un plan de continuité des activités (PCA).

Le marché canadien des polices d’assurance contre les brèches de sécurité en est encore au stade des balbutiements et les coûts et franchises associés peuvent être inabordables pour les cabinets de plus petite envergure (voir l’encadré « Protection des données et frais d’assurance »). Cependant, certaines polices couvrent les frais associés à la notification des clients affectés et au suivi du crédit, lesquels peuvent atteindre de 100 $ à 300 $ par client touché.

En mai 2010, l’Alberta est devenue la première province à promulguer une loi rendant obligatoire le signalement d’atteintes à la sécurité des données. Toutefois, peu importe ce que stipule la législation, les clients s’attendent à ce que vous les avisiez si leurs renseignements personnels sont compromis. Vous devez également consulter un avocat immédiatement après un incident, peu importe son importance.

Communication sécurisée

• Les clients souhaitent de plus en plus communiquer par courriel avec leurs conseillers. Assurez-vous de discuter avec votre clientèle des points qui seront abordés par courriel, en personne ou par téléphone. Et restez à l’affût de signes indiquant que quelqu’un a eu accès au compte de courrier électronique d’un client. « Si vous recevez par courriel une demande inhabituelle, appelez votre client afin de vous assurer que c’est bien lui qui vous a envoyé le message », suggère Olivia Woo, directrice principale de portefeuille chez Mawer Investment Management.

Enseignements tirés Lorsqu’il a fondé son propre cabinet, Life Guard Insurance, M. Reynolds était loin d’avoir oublié le vol de l’ordinateur portable. Il conserve les fichiers de ses clients sur un ordinateur portable et n’a pas perdu l’habitude de crypter la section de son disque dur où ces données sont sauvegardées. Lorsque M. Reynolds est en déplacement, il garde en tout temps son ordinateur portable et les dossiers papier de ses clients avec lui. Il s’est également inscrit au site Salesforce.com, qu’il utilise comme service infonuagique de sauvegarde (cloud computing) et qu’il a choisi en raison de son envergure, de sa popularité et de ses résultats probants.

Même s’il est impossible de se prémunir totalement contre une éventuelle brèche de sécurité, « si les données sauvegardées sur un ordinateur perdu ou volé sont cryptées, vous n’avez qu’à acheter un nouvel ordinateur, à récupérer vos données sur le site de sauvegarde, et vos activités reprennent normalement dès le lendemain », explique Alan Brill, directeur général du groupe de cybersécurité et de vérification des informations chez Kroll. « En général, les lois sur la protection de la vie privée reconnaissent que, lorsque les données perdues ou volées sont cryptées, l’incident ne doit pas nécessairement être signalé. » En ce qui a trait aux dossiers papier, tous les formulaires et tous les dossiers des clients sont numérisés et téléchargés sur un serveur sécurisé afin qu’ils ne puissent pas être physiquement volés ou endommagés.

Téléphones intelligents et CD

• Le fossé se comble entre les téléphones intelligents BlackBerry et les appareils intelligents d’autres marques. « Les outils qu’on retrouvait sur un BlackBerry sont maintenant souvent accessibles par l’entremise d’applications et de logiciels tiers », explique Nick Galletto, associé national, Gestion des risques liés à la technologie et à l’information de Deloitte Canada. Ces outils permettent entre autres aux utilisateurs de crypter des données, de segmenter leur téléphone intelligent et de supprimer des données à distance en cas de perte ou de vol de l’appareil.
• Pour les lecteurs de disques courants fabriqués après 2001 (format ATA; plus de 15 Go), une opération d’écrasement des données les protège contre des cyberattaques.

Éliminations sécuritaire L’équation de la sécurité n’est pas complète si l’on ne tient pas compte du comportement des employés. « La plupart des brèches n’ont rien de technologique. On n’a qu’à penser à la fouille des poubelles, aux appareils perdus ou aux données transmises au mauvais numéro de télécopieur ou à la mauvaise adresse postale ou électronique », dit Andrew Brown, vice-président du risque d’entreprise chez Willis Canada.

Plutôt que de jeter vous-même des documents, retenez les services d’une entreprise de déchiquetage sécuritaire et vérifiez comment celle-ci transporte les documents déchiquetés vers le camion de collecte.

« Certaines entreprises n’offrent pas de bacs de recyclage », affirme Nick Galletto, associé national, Gestion des risques liés à la technologie et à l’information de Deloitte Canada. « Elles préfèrent pécher par excès de prudence plutôt que courir le risque d’une fuite. » Au siège social de Mawer, situé à Calgary, Mme Woo explique que la politique est de déchiqueter tous les papiers en lien avec la clientèle.

Puisque les disques durs et les classeurs débordent souvent de renseignements confidentiels devenus inutiles, « débarrassez-vous de l’information qui n’a aucune valeur, mais qui vous expose à des risques énormes », de dire M. Brill.

Pour plus de prudence, les données financières devraient être conservées pendant une période de sept ans. Cependant, certaines données comme d’anciens fils de discussion par courriel peuvent être supprimées plus rapidement. Archivez les courriels importants pendant au moins deux ans. En revanche, vous pouvez immédiatement supprimer d’autres types de courriels (propos anodins, ragots, contenu sans lien avec le travail). Il va sans dire que vous devez consulter un avocat avant de mettre en œuvre une telle politique. Pour supprimer complètement les données numériques et vous assurer que les fichiers sont tout à fait non récupérables, utilisez un logiciel qui peut écraser (et pas seulement effacer) un dossier ou un disque dur complet.

Pendant que vous y êtes, cassez le disque en deux ou percez-y un trou par mesure de sécurité supplémentaire.

Cet article est tiré de l’édition de mars du magazine Conseiller. Consultez-le en format PDF.