La SAQ a fait l’objet d’une tentative de piratage informatique externe

À la suite d’une analyse menée par une firme d’experts, la SAQ fait le point sur une tentative de piratage informatique externe et rassure ses employés, ses clients et le public sur les mesures de sécurité en place quant aux renseignements personnels qu’elle détient.

Le 15 mai dernier, les outils de surveillance informatique de la SAQ ont détecté une tentative d’intrusion de ses systèmes et y ont rapidement mis fin. Dans les heures qui ont suivi, un protocole de sécurité exhaustif a été déclenché afin de s’assurer qu’une telle tentative de piratage ne puisse survenir de nouveau. La direction de la SAQ s’est rapidement adjoint les services d’une firme reconnue d’experts en cybersécurité, Cytelligence. Cette firme a piloté une analyse exhaustive des réseaux et des serveurs de la SAQ afin de déterminer l’impact de cette tentative d’intrusion.

Le 24 juin, la direction de la SAQ a été informée par ses experts externes que des documents contenant des informations sensibles pourraient avoir été consultés lors de l’incident. Celle-ci a immédiatement lancé un processus d’analyse approfondie de ces documents afin de déterminer la nature et l’étendue de ces informations. Les résultats de cette analyse ont été communiqués à la direction de la SAQ le lundi 29 juin.

Cette analyse a révélé que 17 documents pourraient avoir été consultés, dont certains contenants des données personnelles d’employés, actifs et inactifs, telles que nom, numéro d’assurance sociale, adresse, date de naissance, numéro d’employé, montant de paie hebdomadaire.

100% des analyses étant maintenant complétées, la firme d’experts a confirmé qu’aucun renseignement personnel n’a été exfiltré.

Aucune donnée Inspire consultée ou exfiltrée
L’analyse effectuée dans les dernières semaines a aussi confirmé qu’aucune donnée liée au programme Inspire ou à ses membres n’a été consultée ou exfiltrée. La SAQ rappelle qu’elle ne conserve aucune donnée de crédit sur ses clients.

« La cybersécurité constitue une préoccupation de tous les instants pour une organisation. Nos outils de surveillance informatique se sont avérés efficaces et nous avons pu colmater la brèche dans un délai très rapide. Malheureusement, certains documents pourraient avoir été consultés, dont quelques-uns avec des données personnelles sur nos employés, à qui nous offrons tout le soutien nécessaire. Nous tenons aussi à rassurer nos clients : la sécurité de vos données personnelles n’a jamais été compromise. Déjà, nous nous engageons à mettre en place les recommandations qui seront émises par la firme d’experts », déclare la présidente et chef de la direction de la SAQ, Catherine Dagenais. 

Mesures pour les employés touchés
La SAQ a mis en place des mesures pour protéger et rassurer ceux et celles dont les données personnelles auraient pu être consultées.

À titre de précaution, chaque employé touché sera contacté et pourra bénéficier de la protection d’un service de surveillance du crédit et d’assurance contre le vol d’identité pour une période d’un an avec Equifax, aux frais de la SAQ.

La SAQ met également à leur disposition un guichet unique pour répondre à leurs questions et les guider dans la protection de leurs données personnelles.