Incident de cybersécurité à l’OCRI — Pour les personnes inscrites

L’Organisme canadien de réglementation des investissements (OCRI) est l’organisme d’autoréglementation pancanadien qui surveille l’ensemble des courtiers en placement et des courtiers en épargne collective et toutes les opérations effectuées sur les marchés des titres de capitaux propres et des titres de créance au Canada. L’OCRI a été établi par la fusion de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) et de l’Association canadienne des courtiers de fonds mutuels (ACFM). Vous avez reçu un avis concernant cet incident de cybersécurité parce que vous avez été inscrit(e), à un moment ou à une autre, auprès de l’OCRCVM, de l’ACFM ou de l’OCRI.

Désormais responsable des fonctions d’inscription pour l’ensemble des autorités provinciales en valeurs mobilières, l’OCRI a obtenu une copie des données d’inscription de la Base de données nationale d’inscription (BDNI). Cette collecte d’information s’inscrit dans le mandat confié par les Autorités canadiennes en valeurs mobilières (ACVM) en vertu du formulaire prévu à l’Annexe 33-109A4, et vos renseignements ont été présentés à la BDNI par vos courtiers, actuels ou passés. L’OCRI n’a pas obtenu vos données d’inscription d’une institution financière ni d’un tiers.

Les données d’inscription de l’OCRI de l’ensemble des courtiers en épargne collective, des courtiers en placement et des personnes inscrites, ainsi que des courtiers en épargne collective (sociétés réputées membres) et des personnes inscrites au Québec seulement, ont été touchées, notamment :

• les dénominations sociales et les noms personnels, les adresses résidentielles, les adresses courriel et les numéros de téléphone;
• la date et le lieu de naissance, le genre, la couleur des yeux et des cheveux, la taille et le poids;
• les numéros de compte bancaire, s’ils avaient été fournis dans le cadre d’une déclaration sur la solvabilité;
• les renseignements sur les placements et les bénéficiaires, s’ils avaient été fournis dans le cadre d’une déclaration sur la propriété de titres et de dérivés;
• les déclarations concernant les poursuites civiles et les infractions criminelles, le cas échéant;
• les notes d’enquête, le cas échéant;
• les renseignements sur les activités externes, le cas échéant;
• les renseignements sur les passeports, s’ils avaient été fournis;
• les numéros d’étudiant et les numéros de permis non liés aux valeurs mobilières, le cas échéant.

Les renseignements compromis ne comprenaient pas :

• les numéros d’assurance sociale;
• les numéros de carte de crédit et les autres renseignements de paiement.

Cette collecte d’information s’inscrit dans le mandat confié par les ACVM en vertu du formulaire prévu à l’Annexe 33-109A4, et vos renseignements ont été présentés à la BDNI par vos courtiers, actuels ou passés. L’OCRI entend réviser ses politiques de conservation de données prochainement.

Vous pouvez consulter les renseignements détenus par l’OCRI à votre sujet en accédant à votre compte de la Base de données nationale d’inscription (BDNI). Ces renseignements ont été compromis.

Nous avons commencé à envoyer des lettres à toutes les personnes touchées le 9 septembre pour les informer de l’atteinte à la sécurité de leurs données personnelles et leur expliquer les mesures à prendre, notamment comment s’inscrire aux services gratuits de surveillance du crédit et de protection contre le vol d’identité.

Nous communiquerons avec ces personnes au moyen des coordonnées figurant dans la BDNI. Si vous aviez fourni votre adresse courriel, vous recevrez une communication de ciro@cyberscout.com OU de ciro@m.cyberscout.com. Autrement, vous recevrez une lettre par la poste. Les courriels seront envoyés dans les jours qui suivent, tandis que les lettres postées prendront de trois à sept jours ouvrables environ pour arriver à destination.

Nous offrons des services gratuits de surveillance du crédit et de protection contre le vol d’identité à toutes les personnes touchées pendant une période de deux ans auprès de TransUnion et d’Equifax. Une ligne téléphonique dédiée est également en place pour répondre à toutes vos questions ou préoccupations.

À ce jour, il n’y a aucune preuve que des données détenues par l’OCRI ont été publiées sur le Web clandestin. La fonction de surveillance du Web clandestin vous permet de recevoir un avis lorsque vos renseignements personnels s’y retrouvent à la suite d’un incident de confidentialité. Nous continuons de surveiller le Web clandestin pour vérifier si des données provenant précisément des systèmes de l’OCRI y ont été publiées.

À titre de mesure préventive, et pour aider à déceler toute utilisation malveillante possible de vos données, l’OCRI vous offre des services de surveillance du crédit et de protection contre le vol d’identité pour une période de deux ans. Fait important, la couverture vous est offerte par deux agences d’évaluation du crédit canadiennes – soit Equifax et TransUnion – plutôt qu’une seule. L’offre inclut également une surveillance du Web clandestin; ainsi, vous serez alerté(e) si vos renseignements sont un jour détectés en ligne, qu’ils proviennent de cet incident ou d’autre part.

Nous comprenons vos préoccupations. Toutefois, selon notre examen, il n’y a aucune preuve actuellement que les renseignements des clients sont liés à ceux compromis des conseillers d’une manière qui augmenterait le risque d’usurpation de l’identité ou de fraude ciblée.

Comme pratique exemplaire, nous encourageons les conseillers et les clients à demeurer vigilants et à prendre les précautions standards, comme vérifier de manière indépendante les demandes imprévues de renseignements ou d’argent, et signaler les communications suspectes à leur société ou aux autorités appropriées. L’OCRI a publié plusieurs articles et aide-mémoire que vous et vos clients pouvez utiliser.

L’OCRI recueille des renseignements concernant l’inscription afin d’assurer une réglementation efficace des personnes physiques travaillant dans le secteur des placements. L’organisme entend réviser ses politiques de conservation de données prochainement.

Non. Le système de la BDNI n’a pas été compromis. Les données touchées sont liées aux renseignements sur l’inscription détenus par l’OCRI.

Nous avons commencé à envoyer les lettres à toutes les personnes concernées le 9 septembre. Les courriels devraient être reçus dans les jours qui suivent, tandis que les lettres postées devraient prendre de trois à sept jours ouvrables environ pour arriver à destination.

L’incident a touché un grand nombre de personnes inscrites travaillant actuellement ou ayant déjà travaillé pour des membres de l’OCRI, mais pas toutes.

TransUnion fera parvenir de notre part une lettre signée par l’OCRI à chaque personne touchée.

Si votre dossier de la BDNI contient une adresse courriel, vous recevrez une communication provenant de ciro@cyberscout.com OU de ciro@m.cyberscout.com. Si aucune adresse électronique ne figure au dossier, une lettre sera postée à votre adresse résidentielle.

Nous demeurons à l’affût des avis de non-livraison des courriels ou de toutes lettres postées « retournées à l’expéditeur » et, le cas échéant, nous effectuerons un suivi pour trouver d’autres moyens de communication.

Veuillez noter que les lettres d’avis comprennent uniquement le nom du destinataire; aucun autre renseignement personnel n’y figure. En outre, seule la personne identifiée dans la lettre pourra utiliser le code d’accès. Pour ouvrir un compte auprès des agences d’évaluation du crédit, vous devez répondre à des questions de sécurité liées à vos antécédents bancaires et à votre historique de crédit, information que vous seul devriez connaître.

Si vous n’avez pas reçu de lettre, veuillez remplir le formulaire concernant le cyberincident. Veuillez noter que pour des raisons de protection de la vie privée, si vous ne pouvez prouver votre identité, nous ne serons pas en mesure de vous assister.

Nous sommes sincèrement désolés de cet incident et de toute inquiétude causée. L’approche que nous adoptons pour atténuer les risques est considérée comme une pratique exemplaire. Les mesures qui seront détaillées dans l’avis sont les suivantes :

• Inscrivez-vous aux services de surveillance du crédit et de protection contre le vol d’identité de TransUnion et d’Equifax (qui seront en vigueur pendant deux ans).
• Avisez séparément les agences d’évaluation du crédit (Equifax et TransUnion) afin qu’elles ajoutent une alerte dans votre dossier de crédit; ainsi, vous serez informé si de nouvelles demandes sont faites. Les résidents du Québec peuvent également demander aux agences de verrouiller leur dossier de crédit afin de prévenir les nouvelles demandes. Cette mesure n’a pas d’échéance non plus et fournira une protection continue contre toute tentative de demande de crédit.
• Surveillez vos comptes pour repérer toute opération ou tout changement inhabituel, et communiquez immédiatement avec votre institution financière si vous détectez une activité suspecte.
• Continuez de faire preuve de vigilance à l’égard des tentatives d’hameçonnage par téléphone, message texte ou courriel, que ce soit au travail ou sur vos appareils personnels. Confirmez l’identité de toute personne qui communique avec vous pour vous demander des renseignements personnels. Par exemple, si un représentant de votre banque vous appelle et vous demande des renseignements, raccrochez et composez plutôt le numéro figurant au verso de votre carte bancaire.

Ces personnes pourront s’inscrire aux services si elles ont un dossier de crédit canadien. Cela vaut même si elles sont actuellement à l’extérieur du pays. Si elles n’ont pas de dossier de crédit canadien, elles ne seront pas en mesure d’utiliser les services. Les questions de vérification de l’identité qui sont posées au cours du processus d’inscription se fondent sur l’information du dossier de crédit canadien (p. ex., la confirmation de l’institution financière canadienne auprès de laquelle on a souscrit un prêt, le cas échéant).

Nous offrons les deux services. Veuillez ouvrir un compte auprès des deux agences d’évaluation du crédit.

Un représentant de TransUnion devrait être en mesure de vous aider à désactiver votre service de surveillance précédent. Vous pouvez communiquer avec la ligne de soutien dont il est question dans votre lettre d’avis et en informer l’agent. Celui-ci pourra ensuite vous aider en annulant votre service de surveillance actuel pour vous permettre de vous inscrire au plus récent service.

Si vous ne parvenez pas à répondre aux questions d’authentification au moyen des réponses prévues, le système générera un message d’erreur et vous invitera à communiquer avec un agent. L’agent pourra effectuer le processus d’authentification avec vous, ce qui vous permettra de vous inscrire aux services.

Toutes les personnes touchées devraient prendre les mesures d’atténuation des risques figurant dans la lettre. Si votre numéro de passeport figurait à votre dossier de la BDNI, celui-ci n’a pas besoin d’être remplacé. Cependant, si vous découvrez que votre numéro de passeport est utilisé à mauvais escient, vous devez immédiatement le signaler au gouvernement. Les services d’assurance contre le vol d’identité qui sont fournis peuvent vous aider à cet égard.

Des médias ont rapporté que TransUnion avait elle-même été victime d’une atteinte à la sécurité des données récemment. Cet incident concerne une violation des données de TransUnion par un fournisseur aux États-Unis. La filiale canadienne de l’agence d’évaluation du crédit TransUnion n’a pas été touchée. Vous ne mettrez pas vos données à risque en vous inscrivant aux services de surveillance du crédit qui vous sont offerts.

La lettre que vous avez reçue contient le numéro d’un centre d’appels réservé aux personnes touchées. Veuillez noter que le personnel de l’OCRI peut ne pas être en mesure de vous fournir davantage d’information. Dans la mesure du possible, veuillez poser vos questions au centre d’appels.