La récente cyberattaque visant l’Observatoire canadien des relations d’investissement (OCRI) a entraîné la compromission de renseignements personnels et financiers de 750 000 investisseurs. Au-delà du choc immédiat, l’événement met crûment en lumière l’extrême vulnérabilité des infrastructures numériques qui soutiennent l’épargne nationale. Alors que les Canadiens confient collectivement plus de 2 000 milliards de dollars à des produits d’investissement, l’absence de garde-fous robustes dans la gestion de ces données critiques est alarmante.
Les premières analyses indiquent des failles techniques graves, telles que des protocoles de chiffrement vieillissants, des accès non journalisés et une surveillance externe insuffisante. Mais le problème dépasse la technique : il est aussi institutionnel. De nombreuses plateformes d’investissement, comme l’OCRI, fonctionnent avec des mandats partiellement publics mais une gouvernance morcelée, exposée aux arbitrages budgétaires et au sous-investissement en cybersécurité. Cette gouvernance hybride laisse souvent un vide en matière de responsabilité réelle en cas de crise.
Politiquement, cette attaque révèle un retard criant du Canada en matière de souveraineté numérique. Alors que l’Union européenne déploie des réglementations rigoureuses comme le RGPD et investit dans des infrastructures numériques publiques, Ottawa reste timide et réactif. Il n’existe toujours pas de cadre cohérent reliant protection des données sensibles et stabilité économique des ménages. Ce flou réglementaire affaiblit notre capacité collective à faire face aux menaces transnationales croissantes dans le cyberespace.
Les répercussions ne se limitent pas aux individus touchés. L’exposition massive d’informations financières peut alimenter l’hameçonnage ciblé, manipuler des marchés, ou encore compromettre des projets d’investissement futurs. On sait que les inégalités d’accès à la cybersécurité se traduisent par des vulnérabilités différenciées selon le profil d’investisseur. Ainsi, les ménages à revenus modestes ou les retraités, souvent moins équipés pour naviguer dans ces situations, en paient le prix fort.
Il est urgent de dépasser la logique de la conformité minimale. Cela passe par un investissement public massif dans des infrastructures numériques sécurisées et interopérables, sous gouvernance indépendante. Un registre unique des infractions numériques, des audits réguliers et une formation obligatoire en sécurité pour les institutions financières pourraient devenir les piliers d’un nouveau pacte numérique. Protéger les données des investisseurs, c’est protéger la confiance qui soutient l’économie elle-même.
