Des données volées à Promutuel se retrouvent en ligne
Un gang de cyberpirates a publié sur le dark web des documents confidentiels de Promutuel Assurance. L’entreprise, qui compte environ 630 000 clients, est toujours paralysée, un mois après une cyberattaque.
Notre Bureau d’enquête a constaté la publication de ces données sur un site du groupe de hackers DopplePaymer dans l’internet caché (dark web), à partir du 7 janvier.
Parmi les documents volés figurent des contrats passés avec des clients et des courtiers contenant des renseignements personnels, comme des numéros de police d’assurance et des coordonnées.
S’y trouvent également des informations concurrentielles sur l’assureur de Québec ainsi que des courriels d’employés.
Contacté par notre Bureau d’enquête, Promutuel dit avoir « récupéré » les documents en ligne.
« On parle d’un nombre restreint de fichiers, soit de 15 fichiers, écrit Josée Garneau, directrice des communications. L’analyse a été complétée et nous confirmons qu’ils ne contiennent aucun numéro d’assurance sociale, permis de conduire, numéro de carte de crédit ou autre information bancaire. »
Elle ajoute que Promutuel poursuit son enquête et a avisé « les autorités réglementaires » et la police. La porte-parole ne précise cependant pas si l’assureur a aussi contacté les individus affectés par le vol de données, comme l’exigera bientôt le gouvernement après l’adoption du projet de loi 64.
Selon un chercheur en cybersécurité qui a aidé notre Bureau d’enquête à trouver les données, l’assureur devait s’attendre à retrouver ses renseignements en ligne.
« Dopple fait partie de ces bandes pirates qui feront tout pour faire payer les victimes, dit Damien Bancal. Pour faire plier les entreprises, ils diffusent quelques données sensibles, souvent concernant les clients ou les employés. »
Directives aux courtiers
Depuis la cyberattaque, Promutuel a transmis plusieurs documents à des cabinets de courtage, notamment les directives à suivre en raison de ses problèmes informatiques.
En décembre, le regroupement de mutuelles confirmait dans une missive ne plus avoir accès à l’ensemble de ses systèmes, incluant ses boîtes courriel. L’organisation ajoutait avoir ouvert « une enquête ».
En raison de cet incident, les paiements par prélèvements préautorisés sont suspendus.
Les clients devront tout de même, éventuellement, verser les sommes qui n’ont pas été payées. Un avis écrit devrait prochainement leur être transmis afin de préciser les modalités de reprise des activités.
Dans un communiqué visant à les rassurer, Promutuel a indiqué mardi qu’un « plan de reconstruction solide et efficace a été élaboré et est en déploiement » et que ses « systèmes informatiques reprennent progressivement ».
Objectif mi-février
Selon les communications envoyées aux courtiers, la direction espère que ses systèmes seront en activité d’ici la mi-février.
« À ce stade-ci, nous ne pouvons pas encore confirmer la nature ou l’étendue des données visées par l’incident », a souligné l’assureur, promettant « de déployer toutes les mesures requises pour protéger les personnes potentiellement touchées, si la situation l’exige ».
Promutuel précise que les clients sont toujours assurés, et ce, même si le paiement n’a pas été effectué en décembre ou janvier.
Joints par Le Journal, certains professionnels du monde de l’assurance ont déploré la gestion de Promutuel dans ce dossier. Ils n’ont pas caché leur inquiétude par rapport à cette cyberattaque et la sécurité des données.
« On dirait qu’ils prennent la situation à la légère. Nous avons l’impression que le problème est hors de contrôle », a avancé un partenaire d’affaires de l’assureur. Il préfère taire son nom pour éviter les représailles.
De son côté, l’Autorité des marchés financiers, avisée en décembre, affirme « qu’il s’agit d’une situation très sérieuse ». L’organisme dit avoir des discussions avec Promutuel à ce sujet.
« L’Autorité est très consciente des impacts que cela peut avoir sur la clientèle et elle continue de suivre ce dossier de très près », a noté le porte-parole, Sylvain Théberge.
Pour Gaëtan Brown, client chez Promutuel, le peu d’informations qu’a fournies l’assureur jusqu’à présent est déplorable.
« Nous n’avons rien reçu depuis le 12 décembre, pas de téléphone et pas de courriel. Ils disaient qu’ils allaient tenir leurs clients informés ! » dit cet assuré, qui a déjà eu des problèmes de vol d’identité avec des cartes de crédit.
« C’est inquiétant, ajoute-t-il. C’est certain que si je sais rapidement que mes données peuvent avoir été dérobées, je vais être plus vigilant. »
En 2020, Promutuel, composé de 16 sociétés mutuelles d’assurance, comptait près de 2000 employés.