Brèche de sécurité

Fuite de données chez Canada Vie

Canada Vie a récemment confirmé un incident de cybersécurité ayant exposé les renseignements personnels d’un maximum de 70 000 personnes. Selon les informations publiées, l’incident aurait impliqué l’utilisation d’un seul compte employé compromis pour accéder à l’environnement Salesforce de l’assureur.

L’incident aurait été contenu et Canada Vie indique offrir une surveillance de crédit gratuite aux personnes touchées.

Ce qui s’est passé

Canada Vie a identifié un incident de cybersécurité à la mi-avril 2026 et l’a rendu public le 23 avril 2026. Les attaquants auraient utilisé les accès d’un employé pour interroger des données stockées dans le système de gestion de la relation client Salesforce de l’entreprise.

Le groupe d’extorsion ShinyHunters a revendiqué l’attaque et aurait affirmé avoir pu accéder à un volume beaucoup plus important de données, soit jusqu’à 5,6 millions d’enregistrements. Toutefois, ce chiffre n’a pas été confirmé par Canada Vie. Le nombre confirmé de personnes dont les renseignements auraient été consultés demeure d’environ 70 000.

Quels renseignements ont été exposés?

Les renseignements touchés ne semblent pas inclure les numéros d’assurance sociale, les renseignements bancaires ou les renseignements médicaux. Il s’agit tout de même de données sensibles qui peuvent être utilisées dans des tentatives d’hameçonnage ou d’usurpation d’identité.

Les renseignements potentiellement exposés comprennent notamment :

  • le nom complet;
  • la date de naissance;
  • l’adresse postale;
  • le genre;
  • le niveau de revenu annuel.

Même sans accès aux renseignements bancaires, ce type d’information peut permettre à un fraudeur de rendre ses communications beaucoup plus crédibles. Un courriel ou un appel qui mentionne votre adresse, votre date de naissance ou votre employeur peut facilement sembler légitime.

Pourquoi cet incident est important

Cette fuite de données ne concerne pas seulement les clients de Canada Vie. Elle rappelle aussi aux entreprises que les comptes utilisateurs sont maintenant une cible centrale pour les cybercriminels.

Dans ce type d’attaque, les pirates ne cherchent pas nécessairement à exploiter une faille technique complexe. Ils cherchent plutôt à obtenir les accès d’un employé, par hameçonnage, réutilisation de mots de passe, vol de jetons de session ou manipulation du centre de soutien.

Une fois connectés avec des identifiants valides, les attaquants peuvent parfois accéder à de grandes quantités de données si les permissions sont trop larges ou si les activités inhabituelles ne sont pas détectées rapidement.

Que devraient faire les personnes potentiellement touchées?

Les clients de Canada Vie, particulièrement ceux qui utilisent un régime collectif offert par leur employeur, devraient rester vigilants. Canada Vie a indiqué que les personnes touchées seront contactées directement.

Voici les mesures recommandées :

  • attendre une communication officielle de Canada Vie;
  • éviter de cliquer sur des liens dans des courriels prétendant concerner la fuite de données;
  • se rendre directement sur le site Web officiel de Canada Vie pour vérifier l’information;
  • s’inscrire à la surveillance de crédit offerte si vous êtes admissible;
  • surveiller toute activité inhabituelle liée à votre identité ou à vos comptes;
  • se méfier des appels, textos ou courriels qui demandent un mot de passe, un code d’authentification multifactorielle ou des renseignements bancaires;
  • communiquer directement avec Canada Vie à partir d’un numéro fiable si vous avez un doute.

Ce que les entreprises devraient retenir

Pour les entreprises, cet incident met en lumière un risque important : un seul compte compromis peut parfois donner accès à beaucoup trop d’information.

Les plateformes infonuagiques comme Salesforce, Microsoft 365 ou d’autres systèmes de gestion contiennent souvent des renseignements sensibles sur les clients, les employés et les opérations internes. Même si ces plateformes sont hébergées par des fournisseurs externes, leur configuration demeure une responsabilité importante pour l’entreprise.

Mesures à prendre pour réduire les risques

Les entreprises devraient profiter de cet incident pour revoir leurs propres contrôles de sécurité, particulièrement autour des comptes utilisateurs et des plateformes infonuagiques.

1. Vérifier les permissions d’exportation

Il est important de savoir quels utilisateurs peuvent exporter ou consulter de grandes quantités de données. Cette liste devrait être limitée, documentée et révisée régulièrement.

2. Renforcer l’authentification multifactorielle

L’authentification multifactorielle est essentielle, mais elle doit être robuste. Pour les comptes à privilèges ou les comptes donnant accès à des données sensibles.

3. Surveiller les accès inhabituels

Les connexions depuis un nouveau pays, les téléchargements massifs de données ou les comportements inhabituels devraient êtres surveillés.

4. Sensibiliser les employés

Les attaquants utilisent souvent l’ingénierie sociale pour manipuler les employés et obtenir des accès, des renseignements confidentiels ou des actions comme la réinitialisation d’un mot de passe. Les employés doivent être sensibilisés aux tentatives d’hameçonnage, aux demandes inhabituelles et aux méthodes utilisées pour usurper l’identité d’un collègue, d’un fournisseur ou d’un client.

5. Prévoir les incidents impliquant des services infonuagiques

Les entreprises doivent prévoir comment réagir rapidement lorsqu’un incident touche un service infonuagique utilisé dans leurs opérations, comme Microsoft 365, Salesforce ou toute autre plateforme contenant des données sensibles. Elles devraient s’assurer d’avoir accès à un soutien technique qualifié capable d’analyser la situation, de sécuriser les comptes compromis, de vérifier les journaux d’activité et de limiter rapidement les impacts.

L’identité est devenue le nouveau périmètre de sécurité

Les cyberattaques modernes ciblent de plus en plus les identités numériques plutôt que les serveurs ou les pare-feu. Un mot de passe volé, une session compromise ou une mauvaise configuration d’accès peut suffire à exposer des milliers de dossiers.

La meilleure défense consiste à donner à chaque employé uniquement les accès nécessaires pour accomplir son travail. Trop souvent, des employés ont accès à des données ou à des fonctions dont ils n’ont pas réellement besoin, ce qui augmente les risques lorsqu’un compte est compromis.

L’incident de Canada Vie rappelle que la cybersécurité ne se limite plus aux outils traditionnels. Elle repose maintenant sur une bonne gestion des accès, une surveillance active et une culture de vigilance dans toute l’organisation.

Partagez cet article!