Protéger votre organisation contre les menaces de rançongiciels : nouvelles lignes directrices du commissaire à l’information et à la protection de la vie privée de l’Ontario

Le commissaire à l’information et à la protection de la vie privée de l’Ontario (le « CIPVP »), soit l’organisme de réglementation de la protection de la vie privée dans le secteur public et le domaine de la santé de l’Ontario, a récemment publié une feuille-info sur la technologie intitulée « Se protéger contre les rançongiciels ». Cette feuille-info a pour but de donner aux organisations un aperçu des menaces que présentent actuellement les rançongiciels, ainsi que de leurs obligations de protection des renseignements personnels et des façons de se prémunir contre ces menaces.

Les incidents de rançongiciel constituent les principaux types de cyberattaques subies par les organisations du secteur privé. Un rançongiciel est un type de logiciel malveillant utilisé par les cyberattaquants pour obtenir un accès au système d’une organisation. Les cyberattaquants rendent souvent inaccessible le système d’une organisation et volent les données de celle-ci. Ils exigent ensuite le paiement d’une rançon pour rétablir l’accès au système et éviter la publication des données de l’organisation.

Les méthodes les plus couramment utilisées pour accéder au système d’une organisation dans les attaques par rançongiciel sont les suivantes :

1. Piratage psychologique : Le cyberattaquant cible une personne au sein d’une organisation et l’incite à lui donner accès au système. Ces attaques sont généralement effectuées au moyen de courriels d’hameçonnage, de sites Web trompeurs et d’annonces en ligne.

2. Exploitation des vulnérabilités des systèmes reliés à Internet : Les cyberattaquants recherchent sur Internet des systèmes qui n’ont pas fait l’objet de correctifs ou qui n’ont pas été configurés en vue d’éliminer des vulnérabilités reconnues, et leur envoient un programme malveillant.

3. Atteinte à la chaine d’approvisionnement : Les cyberattaquants déploient des cyberattaques sophistiquées visant à porter atteinte aux produits ou services de tiers utilisés par une organisation (tels qu’un logiciel ouvert) et à obtenir un accès direct au réseau de celle-ci.

Les attaques par rançongiciel peuvent causer des préjudices sérieux à des particuliers et à des organisations, notamment l’interruption des fonctions internes et de la prestation de services, des pertes financières, une atteinte à la réputation et des répercussions négatives sur les particuliers touchés.

Lorsqu’une attaque par rançongiciel donne lieu au vol de renseignements personnels, des obligations au chapitre de la protection de la vie privée et des données entrent en jeu. Les organisations assujetties à la réglementation ontarienne sur la protection de la vie privée doivent s’assurer que leurs programmes de cybersécurité comprennent des mesures raisonnables visant à protéger les renseignements personnels qu’elles détiennent contre l’accès, la divulgation et la destruction non autorisés.

Les dépositaires de renseignements sur la santé et les fournisseurs de services à l’enfance et à la famille en Ontario sont également assujettis à des obligations accrues au chapitre de la protection des renseignements personnels contre l’utilisation, la duplication et la modification non autorisées, et contre le vol et la perte. Ils doivent aussi veiller à ce que les renseignements personnels soient conservés, transférés et éliminés de manière sécuritaire. En cas d’attaque par rançongiciel, ils sont tenus d’en aviser les particuliers touchés et le CIPVP.

Pour aider les organisations à respecter leurs obligations au chapitre de la protection de la vie privée et des données, le CIPVP leur recommande de rehausser leur responsabilisation en matière de sécurité de l’information, et plus particulièrement de faire ce qui suit :

• Jeter les bases de la responsabilisation en faisant appel à un comité de gouvernance de la protection de la vie privée et de la sécurité, composé de cadres supérieurs chargés de la technologie de l’information, des services juridiques, de l’accès à l’information et de la protection de la vie privée, pour mettre en place des pratiques de gouvernance exemplaires.

• Intégrer les mesures de responsabilisation à une politique sur la sécurité de l’information. Cette politique devrait prévoir les rôles, les responsabilités, des mécanismes de communication et des exigences pour la mise en place de mesures de précaution d’ordre technique, administratif et matériel.

• Mettre en place des mécanismes de protection des données par le biais de pratiques internes et d’évaluations régulières.

• Veiller à ce que tous les contrats avec des fournisseurs de services tiers offrent le même degré de protection que les mécanismes internes.

Afin de protéger votre organisation contre les attaques par rançongiciel, le CIPVP recommande la mise en place d’un programme de cybersécurité solide. Dans la feuille-info, il suggère un ensemble de pratiques de cybersécurité détaillées. Une organisation devrait notamment :

• Acquérir une bonne compréhension de son fonds de renseignements en ce qui concerne la sensibilité et le volume de ceux-ci. Les organisations devraient savoir quels employés et fournisseurs de services ont accès aux renseignements et où ces derniers sont stockés.

• Utiliser des outils pour la prévention des attaques par rançongiciel et la détection des méthodes utilisées par les cyberattaquants pour accéder à un réseau, notamment en assujettissant les systèmes de courrier électronique à des contrôles de sécurité, en réduisant le nombre de voies d’accès qu’un cyberattaquant peut emprunter pour accéder au réseau et en examinant régulièrement le réseau.

• Limiter les accès et les autorisations aux utilisateurs qui en ont besoin pour effectuer leurs tâches précises, et surveiller l’utilisation des systèmes.

• Effectuer régulièrement des copies de sauvegarde et les conserver dans un environnement hors ligne, et utiliser des outils de prévention de la perte de données pour consigner, surveiller et bloquer des transferts irréguliers de fichiers vers des destinations non reconnues ou des sites Web de téléversement de fichiers connus.

• Élaborer un plan d’intervention en cas d’atteinte. Les organisations doivent prendre des mesures raisonnables afin de protéger les renseignements personnels. Plusieurs décisions du CIPVP reconnaissent d’ailleurs que les plans d’intervention représentent un volet important de ces mesures. Ce plan devrait décrire clairement les rôles pour l’intervention en cas d’incident, élaborer une classification de la sévérité des atteintes et préciser des procédures pour l’escalade, le débranchement, la maîtrise, l’élimination et la reprise des activités. Il est conseillé aux organisations de consulter des professionnels de la cybersécurité pour la rédaction d’un tel plan et de souscrire une police de cyberassurance.

En cas d’attaque par rançongiciel, les organisations se doivent d’être au courant des obligations de protection des données et de la vie privée qui leur incombent dans tous les territoires dans lesquels elles exercent des activités, lesquelles obligations peuvent varier d’un territoire à l’autre. Par exemple, les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) sont tenues de se conformer à un régime de signalement des atteintes. En outre, le Québec a récemment mis à jour sa loi sur la protection de la vie privée, notamment en y intégrant de nouvelles obligations de déclaration des incidents de confidentialité. Pour en savoir davantage, consultez notre Bulletin Blakes d’octobre 2022 intitulé Nouvelles exigences relatives à la déclaration des incidents de confidentialité en vigueur au Québec.

Si vous souhaitez obtenir de l’aide, communiquez avec :
 
Liliane Langevin                       +1-514-982-5065
Catherine Beagan Flood          +1-416-863-2269
Natalie LaMarche                     +1-416-863-2734

ou un autre membre de notre groupe Cybersécurité.