La cybersécurité au Canada : À quoi s’attendre en 2018

3 janvier 2018 | Imran Ahmad

En 2017, à l’échelle mondiale, les cyberattaques et les atteintes à la protection des données signalées aux médias et à divers organismes de réglementation se sont multipliées sur 12 mois par rapport à 2016. Les organisations canadiennes (des secteurs public et privé) n’ont pas échappé à cette tendance mondiale. Fait intéressant, les attaquants ont visé toutes sortes de cibles, sans discrimination : des institutions financières, des fabricants, des détaillants, des universités, des hôpitaux et des organismes gouvernementaux sont au nombre des victimes. Des techniques à la fois évoluées et variées ont été employées, allant des attaques par rançongiciel (logiciel malveillant qui chiffre les données jusqu’au paiement d’une rançon par la victime) aux menaces persistantes avancées (tentatives délibérées de pénétrer dans le réseau d’une organisation en particulier). Malheureusement, 2018 s’annonce comme une autre année occupée pour les attaquants, qui ne montrent aucun signe d’essoufflement.

Les cinq tendances dominantes suivantes en matière de cybersécurité devraient se trouver sur le radar de tous les avocats généraux et les gestionnaires de risques en 2018.

1. La déclaration obligatoire des atteintes à la protection des données entrera-t-elle finalement en vigueur?

Le 18 juin 2015, le gouvernement fédéral a adopté le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, qui apporte plusieurs modifications fondamentales à la loi canadienne en matière de protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). Parmi les modifications qui devraient entrer en vigueur plus tard cette année figurent la déclaration obligatoire des atteintes à la protection des données et la tenue obligatoire de registres à l’égard de toutes les atteintes.

La déclaration obligatoire des atteintes à la protection des données obligera les organisations à aviser les intéressés, certaines autres organisations et le Commissariat à la protection de la vie privée du Canada (le « commissaire ») de toute atteinte à la protection des données (appelée « atteinte aux mesures de sécurité » dans la LPRPDE) dont il est raisonnable de croire qu’elle présente un « risque réel de préjudice grave à l’endroit d’un individu ». Le nouveau mécanisme de déclaration des atteintes harmonisera l’approche canadienne avec celles de nos homologues américains et européens.

Malgré plusieurs retards, le gouvernement fédéral a achevé son processus de consultation sur le Règlement concernant les atteintes aux mesures de sécurité l’automne dernier. Ces dispositions devraient donc entrer en vigueur pendant le premier semestre de 2018 et accroîtront probablement le risque de litige auquel une organisation sera exposée en cas d’atteinte majeure.

Le Règlement concernant les atteintes aux mesures de sécurité obligera également les organisations à conserver un registre de toute atteinte à la protection des données durant au moins 24 mois après avoir conclu que l’atteinte a eu lieu. Ce registre devrait être suffisamment détaillé et indiquer notamment la méthodologie employée et les facteurs examinés pour conclure qu’une atteinte en particulier correspond au seuil de « risque réel de préjudice grave ». Le commissaire se servira de tels registres pour vérifier la conformité et éclairer d’autres mesures d’application, au besoin.

Pour obtenir des renseignements détaillés sur les exigences à venir aux termes du Règlement concernant les atteintes aux mesures de sécurité, veuillez consulter nos commentaires ici.

2. La multiplication des attaques par rançongiciel complexes

Les attaques par rançongiciel (logiciel malveillant qui chiffre les données jusqu’au paiement d’extorsion) continueront de croître tant en fréquence qu’en complexité en 2018.

Les attaques par rançongiciel traditionnelles qui consistent simplement à chiffrer les données d’un ordinateur et à exiger le paiement d’une rançon évolueront vers une forme plus complexe de cybermenace, qui ciblera les données critiques d’une organisation, perturbera ses opérations clés et exigera le paiement de sommes plus élevées en conséquence.

En 2017, le développement de nouvelles variantes de rançongiciel a connu une croissance alarmante. Maintenant, l’attaquant investit d’importantes ressources pour modifier le code d’un rançongiciel existant, lui permettant de passer outre les programmes antivirus sans être reconnu ni détecté. Ce qui est plus inquiétant, c’est que les nouvelles variantes ne se limitent pas à chiffrer les données : elles les suppriment ou les corrompent si la rançon n’est pas payée. Cette menace est d’autant plus grave que le recours aux sauvegardes ne constitue pas une solution parfaite; en effet, des études révèlent que près de 60 % des organisations qui avaient effectué des sauvegardes n’ont pu récupérer toutes leurs données intégralement.

De plus, le montant des rançons a augmenté considérablement. Après le « succès » des campagnes d’attaques au moyen des rançongiciels WannaCry et NotPetya, les attaquants ont augmenté la mise et exigent maintenant des rançons de plusieurs centaines de milliers de dollars. Cette tendance devrait se poursuivre en 2018.

Étant donné (i) que les attaques par rançongiciel reposent généralement sur l’erreur humaine, (ii) que les attaquants ciblent maintenant des données critiques susceptibles de paralyser les opérations courantes d’une organisation et (iii) que le montant des rançons a grimpé sensiblement, on peut dire sans risque de se tromper que, non seulement les attaques par rançongiciel se poursuivront, mais aussi qu’elles auront sur les organisations un impact beaucoup plus significatif.

3. Le Règlement général sur la protection des données de l’Europe

Le Règlement général sur la protection des données (« RGPD ») de l’Union européenne (« UE ») entrera en vigueur en mai 2018. L’objectif déclaré du RGPD consiste à renforcer les droits liés à la protection des données des résidents (généralement appelés « personnes concernées ») de l’UE, à faciliter le libre flux des données à caractère personnel sur le marché unique numérique et à réduire la charge administrative.

Le RGPD présente entre autres comme caractéristique principale de s’appliquer à toute entreprise qui traite les renseignements personnels de personnes concernées résidant dans l’UE, peu importe le lieu de l’entreprise. En outre, son champ d’application ne se limite pas aux organisations qui visent activement des clients ou des utilisateurs se trouvant dans l’UE. Le RGPD s’appliquera à toute entreprise qui traite les renseignements personnels de personnes concernées de l’UE, et lorsque les activités de traitement sont liées (i) à l’offre de biens ou de services à des personnes concernées de l’UE (y compris des biens et des services offerts gratuitement), ou (ii) à la surveillance (par exemple le suivi sur Internet et le profilage) du comportement de personnes concernées de l’UE.

Le RGPD précise les exigences spécifiques que les organisations devront remplir pour assurer la conformité. Voici certains éléments clés :

  • Imposition d’obligations aux responsables du traitement et aux sous-traitants;
  • Raffermissement des exigences de consentement;
  • Introduction ou renforcement des droits des personnes concernées ayant trait à ce qui suit :
    • Notification de violation;
    • Droit d’accès;
    • Droit à l’oubli;
    • Portabilité des données;
    • Protection des renseignements personnels dès la conception;
    • Délégués à la protection des données.

Pour assurer la conformité, le RGPD fournit aux organismes de réglementation de l’UE des outils d’application tels que l’imposition d’importantes sanctions pécuniaires (pouvant s’élever jusqu’à 4 % du chiffre d’affaires annuel d’une organisation ou jusqu’à 20 millions d’euros, le montant le plus élevé étant retenu).

Compte tenu de la sévérité des sanctions pouvant découler du RGPD, les organisations canadiennes devraient évaluer la conformité de leurs politiques et pratiques actuelles afin (i) de déterminer si elles sont assujetties au RGPD et, dans l’affirmative, (ii) de déceler les écarts par rapport au RGPD. Une fois ces écarts décelés, il sera possible d’élaborer efficacement différentes stratégies, de même qu’un plan de conformité assorti d’un calendrier précis de mise en œuvre.

Advenant l’exercice d’une mesure d’application par l’UE, une telle évaluation pourra aider l’organisation canadienne à démontrer les mesures prises pour assurer la conformité et contribuer à une défense efficace ou, à tout le moins, témoigner d’une bonne gouvernance d’entreprise pouvant se traduire par une réduction de l’amende ou l’atténuation de la mesure d’application.

Pour plus de renseignements sur les répercussions du RGPD à l’endroit des organisations canadiennes, veuillez consulter nos commentaires ici.

4. La mobilité et l’utilisation accrue des services infonuagiques

L’utilisation d’appareils mobiles (appareils personnels ou appareils d’entreprise) et de services infonuagiques devrait se poursuivre à un rythme accéléré en 2018.

De manière générale, les appareils mobiles sont hétérogènes, évoluent rapidement et nécessitent souvent le recours à des services infonuagiques externes. Cela s’ajoute à la demande des organisations se tournant vers l’utilisation de logiciel-service (en anglais, « software-as-a-service », ou « SaaS ») et d’infrastructure-service (en anglais, « infrastructure-as-a-service », ou « IaaS ») offerts en vue de réduire le délai de lancement et les dépenses en immobilisations. Chaque utilisation de logiciel-service s’apparente à l’utilisation d’une nouvelle application logicielle unique, et chaque utilisation d’infrastructure-service s’apparente à l’ajout d’un nouveau centre de données. Les organisations qui utilisent les services infonuagiques courent donc le risque de voir les services de TI traditionnels souvent incapables de gérer, par exemple, le contrôle des versions, la fréquence des correctifs et les examens de code. Par conséquent, les services de TI traditionnels devront adapter leurs processus de développement, d’assurance de la qualité, d’administration et d’exploitation.

À mesure que s’accélère la transition vers le nuage, les organisations doivent veiller à gérer les risques de sécurité efficacement en mettant en œuvre des processus de surveillance continue du nuage, de gestion des vulnérabilités et de surveillance de la conformité. Voici certaines des meilleures pratiques à cet égard :

  • S’assurer que les équipes de sécurité participent au processus de sélection des services infonuagiques et que les exigences de sécurité représentent un critère de poids dans ce processus;
  • Mettre l’accent sur l’évaluation et l’atténuation des vulnérabilités de la configuration et des applications dans le cadre du processus de développement, ainsi que sur l’assurance de la qualité finale avant l’approbation des applications pour déploiement vers les services infonuagiques;
  • Intégrer la surveillance continue des vulnérabilités de sécurité et des changements dans des processus d’exploitation et d’administration de la TI à jour, au fur et à mesure de la croissance du recours à l’infrastructure-service et au nuage hybride;
  • Fusionner les données surveillées des services infonuagiques avec celles des applications hébergées dans le centre de données de l’organisation (le cas échéant).

Il ne s’agit pas de cesser d’adopter les services infonuagiques, mais plutôt de disposer d’un processus efficace de gestion (et d’atténuation) des risques de sécurité associés à l’adoption accrue des appareils mobiles, du logiciel-service et de l’infrastructure-service qui sont offerts.

5. L’Internet des objets

Un appareil de l’Internet des objets (« IdO ») s’entend généralement d’un dispositif qui peut être connecté à Internet. Cette définition englobe tout, depuis les téléphones intelligents et les ordinateurs vestimentaires jusqu’aux appareils industriels utilisés en fabrication de pointe. On estime que plus de 26 milliards d’appareils de l’IdO seront connectés à Internet d’ici à 2020.

Dans la plupart des cas, les appareils de l’IdO sont fabriqués sous une surveillance ou un contrôle réglementaire minime, voire nul, reposent généralement sur la technologie Wi-Fi ou Bluetooth et sont conçus pour une connectabilité immédiate. De plus, la sécurité constitue souvent une préoccupation secondaire pour leurs fabricants, pressés de les mettre sur le marché le plus vite possible. Par conséquent, les appareils de l’IdO sont faciles à « pirater ». Cela pose particulièrement problème lorsqu’ils sont intégrés aux contrôles de systèmes existants (à savoir les contrôles de systèmes d’acquisition et de contrôle des données [en anglais, « supervisory control and data acquisition », ou « SCADA »]), par exemple dans le cas d’aiguillages ferroviaires, de centrales électriques et de réseaux énergétiques.

Le risque d’accès possible à un appareil (ou à un ensemble d’appareils) de l’IdO par un attaquant soulève des préoccupations d’ordre pratique entourant par exemple l’interruption des activités, le vol de données (personnelles et confidentielles, notamment) et le dommage physique causé à l’utilisateur de l’appareil. Avant d’introduire un appareil de l’IdO dans un lieu de travail, l’organisation devrait, entre autres, (i) s’assurer qu’elle connaît les normes de sécurité intégrées à l’appareil, (ii) s’assurer que le contrat connexe a fait l’objet de l’examen approfondi nécessaire (en particulier au chapitre de la responsabilité du fait des produits) et (iii) instaurer des protocoles et des politiques appropriés visant la gestion de l’appareil de l’IdO introduit dans son environnement.

6. Conclusion

Les cybermenaces continueront de dominer l’ordre du jour des conseils d’administration, des équipes de haute direction et des gestionnaires de risques en 2018. Comme les organisations canadiennes continuent de recueillir d’importantes quantités de données, de déployer de nouvelles applications mobiles, d’intégrer des appareils fonctionnant à l’aide d’Internet et, de manière générale, d’intégrer de nouvelles technologies pour rationaliser leur exploitation et obtenir de nouveaux gains d’efficacité, elles devront veiller à examiner minutieusement les ententes avec les fournisseurs et à disposer de protocoles et de processus clairs pouvant être mis en œuvre en cas de succès d’une cyberattaque.

Avis de non-responsabilité

Cette publication est fournie à titre informatif uniquement. Elle peut contenir des éléments provenant d'autres sources et nous ne garantissons pas son exactitude. Cette publication n'est ni un avis ni un conseil juridique.

Miller Thomson S.E.N.C.R.L., s.r.l. utilise vos coordonnées dans le but de vous envoyer des communications électroniques portant sur des questions juridiques, des séminaires ou des événements susceptibles de vous intéresser. Si vous avez des questions concernant nos pratiques d'information ou nos obligations en vertu de la Loi canadienne anti-pourriel, veuillez faire parvenir un courriel à privacy@millerthomson.com..

© 2019 Miller Thomson S.E.N.C.R.L., s.r.l. Cette publication peut être reproduite et distribuée intégralement sous réserve qu'aucune modification n'y soit apportée, que ce soit dans sa forme ou son contenu. Toute autre forme de reproduction ou de distribution nécessite le consentement écrit préalable de Miller Thomson S.E.N.C.R.L., s.r.l. qui peut être obtenu en faisant parvenir un courriel à newsletters@millerthomson.com.