Mois de la cybersécurité : Manière dont l’Agence du revenu du Canada protège vos renseignements

Alors que la fin du Mois de la sensibilisation à la cybersécurité de cette année approche, l’Agence du revenu du Canada réitère l’importance de protéger les renseignements personnels contre les cybermenaces en constante évolution.

La sécurité des renseignements sur les contribuables est de la plus haute importance pour l’Agence. L’Agence améliore continuellement ses mesures de sécurité afin d’aider à prévenir l’accès non autorisé aux renseignements des contribuables :

• Authentification multifacteur

  L’Agence a mis en œuvre l’authentification multifacteur comme mesure de sécurité renforcée obligatoire pour tous les particuliers, toutes les entreprises et tous les représentants qui accèdent aux services d’ouverture de session de l’Agence. Les particuliers doivent entrer un code d’accès unique chaque fois qu’ils accèdent aux services d’ouverture de session de l’Agence. Pour vous inscrire et pour obtenir de plus amples renseignements, visitez la page Web Authentification multifacteur.

• Révocation des ID utilisateur et mots de passe de l’Agence à risque

  Dans le but d’aider à prévenir les incidents d’accès non autorisé aux renseignements des contribuables et à protéger ces derniers, l’Agence effectue des vérifications et des analyses de routine afin de déterminer les ID et les mots de passe de l’Agence que des parties non autorisées externes à l’Agence pourraient avoir obtenus. À titre de mesure préventive, l’Agence révoque les ID utilisateur et mots de passe de l’Agence et fournit aux personnes touchées les informations dont elles ont besoin pour avoir de nouveau accès à leur compte.

• Services de protection de l’identité

  L’Agence a mis sur pied un programme des services de protection de l’identité (SPI) spécialisé afin d’offrir un point de contact unique aux particuliers visant à résoudre les problèmes de vol d’identité. Le programme des SPI examine tous les cas de vol d’identité potentiel en traitant directement avec les victimes de vol d’identité afin de s’assurer que leur compte de contribuable est rétabli et demeure protégé contre les activités non autorisées.

• Courriel obligatoire au dossier

  Les utilisateurs de Mon dossier doivent avoir une adresse courriel au dossier pour aider à protéger leur compte contre les activités frauduleuses. Cette fonction de sécurité permet aux particuliers de recevoir des avis par courriel lorsque des changements sont apportés à leur compte, y compris des changements à leur adresse et à leurs renseignements sur le dépôt direct. Si un utilisateur reçoit un courriel indiquant qu’il y a eu une mise à jour à son compte, mais qu’il n’a autorisé aucun changement, il doit communiquer avec l’Agence immédiatement.

À mesure que les arnaqueurs adaptent leurs méthodes, l’Agence fait de même. Elle adapte et améliore régulièrement ses mesures de sécurité afin de protéger les renseignements de nature délicate contre les menaces en constante évolution et s’assure d’adopter une approche à plusieurs niveaux pour protéger ses systèmes contre les acteurs malveillants. L’Agence effectue régulièrement des évaluations de la sécurité, comme l’analyse des vulnérabilités, des essais de pénétration et des évaluations des risques liés à la sécurité sur les services numériques de l’Agence.

Protéger les comptes et informer les contribuables

L’augmentation de la fraude et du vol d’identité est une tendance mondiale. Le Centre antifraude du Canada a indiqué une hausse des signalements d’arnaques et de fraudes au pays. À l’échelle internationale, les réponses à ces tendances à la hausse comprennent la mise en place d’un groupe de travail spécial ciblant la cybercriminalité par le Joint Chiefs of Global Tax Enforcement (J5). Il s’agit également d’un domaine d’intérêt majeur pour l’Organisation de coopération et de développement économiques (OCDE) [Protection des consommateurs de produits financiers|OCDE].

Depuis 2020, il y a une augmentation du nombre de cas de vol d’identité et d’utilisation non autorisée des renseignements personnels des contribuables par des tiers (UNAT). Ces incidents semblent être attribuables aux atteintes à la protection des données au sein d’organisations tierces qui permettent à des acteurs malveillants d’obtenir les identifiants des utilisateurs, à la mise en place par l’Agence de prestations nouvelles ou modifiées dont elle est chargée d’administrer et aux risques accrus liés aux médias sociaux, au commerce électronique, aux services numériques et aux cryptomonnaies qui offrent de nouvelles possibilités d’exploitation. Depuis que l’Agence a commencé à faire le suivi des cas d’UNAT touchant des particuliers, soit le 11 mai 2020, et jusqu’au 26 août 2024, plus de 31 000 atteintes à la vie privée ont été confirmées.

Il faut souligner que dès que l’Agence prend connaissance d’un incident présumé de vol d’identité ou qu’elle soupçonne que le compte d’un client pourrait être la cible d’un acteur malveillant, elle prend des mesures de précaution rapides et immédiates à l’égard de ce compte. Par exemple, elle procède au verrouillage du compte afin d’empêcher les transactions et effectue des examens approfondis. Le volume et la nature complexe de ces cas limitent la capacité de l’Agence à signaler ces atteintes à la vie privée au Commissariat à la protection de la vie privée du Canada (CPVP) et au Secrétariat du Conseil du Trésor du Canada (SCT) immédiatement après la confirmation. L’Agence travaille en étroite collaboration avec le SCT et le CPVP pour trouver une voie à suivre.

De plus, après avoir confirmé une atteinte à la vie privée, l’Agence communique directement avec les particuliers touchés pour les informer de l’incident, des mesures que l’Agence prend pour protéger leurs renseignements et des mesures qu’ils peuvent prendre pour protéger davantage leur compte. Lorsqu’une atteinte à la vie privée peut entraîner un risque immédiat pour le grand public canadien, l’Agence peut choisir de mettre en garde toutes les Canadiennes et tous les Canadiens afin qu’ils puissent se protéger contre un possible préjudice. C’est ce que l’Agence a fait en 2020 pour avertir l’ensemble des Canadiennes et Canadiens de cyberattaques par envoi massif d’identifiants et pour les encourager fortement à ne pas réutiliser leurs mots de passe. Toutefois, la priorité reste de prévenir les particuliers touchés.

Mesures que les contribuables peuvent prendre pour protéger leurs comptes de l’Agence

En plus des améliorations continues en matière de sécurité qu’effectue l’Agence, il y a plusieurs mesures que les Canadiennes et Canadiens peuvent prendre pour protéger leurs comptes de l’Agence :

• Surveiller régulièrement leurs comptes en ligne de l’Agence pour déceler toute activité suspecte, comme des changements au compte dont ils ne sont pas les auteurs ou des demandes de prestations qu’ils n’ont pas faites. Ce faisant, ils permettent à l’Agence de traiter toute activité suspecte rapidement.
• Modifier régulièrement leurs mots de passe et les questions de sécurité tout en veillant à ce qu’ils demeurent confidentiels. Les ID utilisateur et les mots de passe choisis ne doivent servir que pour les comptes de l’Agence et les mots de passe doivent être complexes afin qu’on ne puisse pas les deviner.
• Tenir à jour leurs coordonnées (adresse postale, adresse courriel, numéro de téléphone) pour que l’Agence puisse communiquer avec les contribuables si elle détecte une activité suspecte dans leur compte.

Que faire si le compte d’un contribuable est compromis

Si un particulier soupçonne que son compte de l’Agence a été compromis en raison d’activités suspectes, il doit déclarer l’incident à l’Agence, informer les autres autorités (banques, bureaux de crédit, service de police local) et aviser le Centre antifraude du Canada. Si les renseignements sur le compte d’un contribuable sont compromis, l’Agence prendra des mesures pour sécuriser le compte.

Contacts

Relations avec les médias
Agence du revenu du Canada
613-948-8366
cra-arc.media@cra-arc.gc.ca

-30-