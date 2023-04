Des informations confidentielles à propos d’au moins 270 entreprises d’ici se retrouvent sur le Web caché en raison d’un piratage qui a touché Investissement Québec (IQ) au début février.

• À lire aussi: Plus de 1000 employés d’Investissement Québec touchés par un vol de données

La société d’État n’a toutefois pas cru bon d’aviser les entreprises en question, de sorte que plusieurs d’entre elles ont appris que l’incident les concernait lorsque Le Journal les a contactées à ce sujet, cette semaine.

Ce sont au moins 120 documents internes d’IQ qui ont été déposés sur le Web caché par le gang de hackers Clop dans les dernières semaines. Une soixantaine d’entre eux n’étaient ni chiffrés ni protégés par un mot de passe, ce qui va à l’encontre des bonnes pratiques en matière de cybersécurité.

« L’information exfiltrée était déjà d’ordre public ou encore très sommaire et générique, destinée à un sondage de satisfaction de la clientèle. Les fichiers ne contenaient aucun renseignement personnel de clients. Par conséquent, nous n’avons pas avisé les clients », a soutenu une porte-parole d’Investissement Québec, Isabelle Fontaine.

Informations sensibles

Or, les documents, qui datent principalement de l’année dernière, contiennent notamment les renseignements confidentiels suivants :

Des courriels et des numéros de téléphone cellulaire d’employés d’entreprises clientes d’IQ

Le chiffre d’affaires approximatif de certaines de ces entreprises

Un bref résumé des projets pour lesquels les entreprises ont demandé l’aide d’IQ.

On peut ainsi apprendre qu’une PME du Saguenay–Lac-Saint-Jean a comme projet de construire une nouvelle usine, qu’une firme informatique aimerait compter ExxonMobil parmi ses clients, qu’une multinationale a fait faire des essais poussés sur des véhicules récréatifs et qu’une entreprise de construction montréalaise a conclu un « partenariat stratégique » au Brésil.

Le Journal a choisi de ne pas nommer les entreprises concernées par la fuite pour ne pas accroître le risque qu’elles subissent des conséquences négatives.

« Il y a quand même des informations financières dans les documents », note Terry Cutler, de la firme de cybersécurité Cyology Labs, qui a conseillé l’une des entreprises concernées par l’exfiltration des documents d’IQ.

« La transparence, c’est primordial, renchérit Jacques Sauvé, de la firme Trilogiam. Ça ne veut pas dire d’aller crier ça dans les médias, mais il faut au moins avertir [ses partenaires d’affaires]. »

L’objectif, ajoute-t-il, « c’est que les victimes potentielles soient plus vigilantes face au risque d’usurpation d’identité et d’autres problèmes ».

Nouvelles obligations

Entrée en vigueur l’automne dernier, la loi 25 oblige les entreprises à « aviser les personnes concernées de tout incident présentant un risque sérieux de préjudice ».

Les dirigeants d’entreprises touchées à qui Le Journal a pu parler se sont dits soulagés que les informations volées ne soient pas trop compromettantes.

Également touché par l’incident, le Mouvement Desjardins a eu une réaction semblable. « Nous n’avons détecté aucun indice susceptible de représenter un enjeu de sécurité pour Desjardins », a assuré une porte-parole, Chantal Corbeil.

Nathalie St-Pierre, porte-parole du ministre de la Cybersécurité et du Numérique, Éric Caire, n’a pas pu dire, hier, si IQ avait avisé le gouvernement de l’incident, qui a également touché des centaines de salariés et d’ex-employés de la société d’État. On sait toutefois qu’IQ a informé la Commission d’accès à l’information.

La cyberattaque dont a été victime IQ visait le système de partage de fichiers GoAnywhere de la firme américaine Fortra. Elle a touché au moins 130 organisations dans le monde.

– Avec Philippe Langlois, Bureau d’enquête et Valérie Lesage