Cyber-risques : État des lieux, défenses possibles - Par : Danielle Ferron Ad. E., Jean-François De Rico et Pascal Archambault Mai 2018 - Langlois ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cyber-risques :
État des lieux, défenses possibles
Par : Danielle Ferron Ad. E., Jean-François De Rico et Pascal Archambault
Mai 2018
Langlois avocats, S . E . N . C . R . L .
page 1 / 9 langlois.ca
Les technologies de l’information et des communications ont radicalement modifié nos façons de communiquer et notre gestion de l’information et de la documentation, généralement avec des gains de productivité. Toutefois, les avancées et l’omniprésence de ces technologies, faciles d’accès et d’utilisation, génèrent également de nouvelles vulnérabilités, qui représentent des opportunités sans précédent pour les pirates et fraudeurs informatiques. Cela est vrai autant dans notre vie personnelle que professionnelle et de plus en plus d’entreprises se retrouvent exposées aux attaques des cybercriminels.
qui semble souvent authentique, mais qui est en fait
Les cyber-risques et leurs conséquences, conçu pour inciter les gens à entrer des informations
en bref personnelles. Les criminels peuvent alors accéder à
La cybercriminalité englobe toute infraction criminelle l’identité de la victime, prendre de l’argent sur son
perpétrée sur ou au moyen des systèmes informatiques et compte bancaire ou infecter son ordinateur avec un
réseaux de télécommunications, en particulier l’Internet : la virus qui leur donne le contrôle du système.
technologie peut en être la cible ou l’instrument 1. Elle peut Le logiciel malveillant (maliciel) : il s’agit d’un logiciel
prendre et combiner plusieurs formes : hameçonnage, conçu pour perturber le fonctionnement d’un
pollupostage, harcèlement ou intimidation sur les médias ordinateur. Les logiciels malveillants
sociaux, ingénierie sociale et usurpation d’identité, piratage peuvent être installés lorsque vous
informatique, intrusion de systèmes, logiciels malveillants, ouvrez une pièce jointe, visitez un
etc. Le but de la majorité de ces actes est le gain par le vol, site malicieux ou installez des
la fraude ou l’extorsion. Il peut aussi s’agir de logiciels douteux. Une forme
cyberespionnage ou encore de cybermilitantisme (ou de logiciel malveillant
« hacktivisme ») sévissant sur Internet au nom de diverses fréquemment utilisée, et
idéologies. Il est aussi important de comprendre qu’une livrée notamment par le
fuite ou perte de données peut être occasionnée ou facilitée biais de l’hameçonnage,
par l’erreur humaine. C’est même souvent le cas : une clé est le logiciel d’extorsion
USB égarée, un mot de passe faible, etc. ou « rançongiciel ». Un
D’un point de vue commercial, toute cyberattaque ou tel logiciel crypte les
violation (fuite, vol, corruption, disparition, etc.) de données données sensibles
est susceptible d’avoir des conséquences désastreuses. Il contenues sur
peut s’agir notamment d’importantes pertes financières ou réseau. Lorsque la
de données, l’interruption des activités, l’atteinte à la victime ne peut
réputation de l’entreprise et la perte de crédibilité dans le plus accéder à ses
marché, notamment auprès des investisseurs, la perte de données, on lui
clientèle, les coûts associés à la restauration du système réclame le
ou de données, les coûts associés à la notification à ceux paiement d’une
dont les renseignements ont été perdus ou volés, etc. En rançon en échange
fait, les coûts totaux directs et indirects moyens découlant de la clé de
d’une violation de données d’une entreprise sont évalués à décryptage.
5,78 millions $ au Canada 2.
Peu importe la taille d’une entreprise, aucune n’est
désormais à l’abri et nulle ne peut se permettre de négliger
la gravité et l’ubiquité des cyber-risques.
Exemples de cyberattaques et fraudes
courantes
Voici certaines des méthodes les plus couramment
employées pour commettre une cyberattaque ou
cyberfraude :
L’hameçonnage : il s’agit d’une façon de tenter
d’obtenir des informations sensibles en simulant une
proposition ou une demande légitime d’action ou
d’information. L’hameçonnage peut prendre la forme
d’un appel téléphonique ou d’un courriel d’une
personne prétendant être en position d’autorité et qui
demande des informations confidentielles, comme un
mot de passe. L’hameçonnage peut également inclure
l’envoi de courriels à des contacts organisationnels qui
contiennent des logiciels malveillants conçus pour
compromettre les systèmes informatiques ou saisir des
informations d’identification personnelles ou privées.
L’hameçonnage peut prendre la forme d’un site Internet
Langlois avocats, S . E . N . C . R . L .
page 2 / 7 langlois.ca
La fraude par virement bancaire : Il s’agit d’une
demande par téléphone, par télécopieur ou par
courriel, de quelqu’un que l’on croit être un contact
légitime (ex : un fournisseur connu), pour virer des
fonds (ex : pour le paiement d’une facture) à un
nouveau compte de banque, que l’on ignore alors être
frauduleux.
La fraude au président : Il s’agit ici d’un cas
particulièrement sophistiqué où des fraudeurs utilisent
l’ingénierie sociale afin d’usurper l’identité du chef
d’entreprise, souvent avec l’aide d’un prétendu
consultant ou avocat de l’entreprise. La requête,
confidentielle et très urgente, apparaît si semblable à
une demande légitime du président que seul un
examen très attentif permet de déterminer que cette
demande est frauduleuse. Les employés ciblés sont
évidemment ceux autorisés à gérer et contrôler les
virements bancaires d’une entreprise, à qui les
fraudeurs font croire que le chef de l’entreprise
s’adresse à eux confidentiellement, mettant l’accent sur
le fait qu’il/elle sait qu’il/elle peut avoir confiance en cet
employé et sa discrétion. Généralement, la fraude est
perpétrée tard dans la journée ou juste avant le week-
end, afin de retarder sa découverte éventuelle.
L’attaque par déni de service (ou « Denial of
Service ») : Il s’agit de manœuvres visant à saturer
des ressources informatiques telles que des serveurs
afin de restreindre ou bloquer l’accès à des données ou
services informatisés.
Vous trouverez ci-après un tableau résumant certains cas
de cyberattaques, fraudes et vols de données répertoriés
dans les médias dans les dernières années, afin de vous
donner à titre informatif un aperçu de la diversité, de
l’ampleur et des conséquences associés à ces
événements.
Langlois avocats, S.E.N.C.R.L.
page 3 / 7 langlois.ca
Exemples de cyberattaques, fraudes et vols de données
dans les dernières années (décembre 2017)
Quand Victime(s) Type d’attaque / fraude Dégâts financiers Litige(s) d’intérêt
2017 Equifax Piratage et vol de données, y Il est trop tôt pour le dire, Equifax fait l’objet de plusieurs poursuites,
compris des numéros de mais déjà les dégâts dont une action collective au Canada
sécurité sociale, dates de seraient estimés à près de réclamant environ 550 M $ 4.
naissance, adresses, numéros 90 M $ US 3
de permis de conduire et
numéros de carte de crédit
2017 Telefónica (Espagne), Plus de 300 k ordinateurs Difficiles à évaluer vu
FedEx (États-Unis) et infectés dans plus de 150 l’ampleur de l’attaque. Selon
le National Health pays. Rançongiciel baptisé une firme spécialisée, les
Service (Royaume- « WannaCry » et propagé par pertes mondiales découlant
Uni) et autres. courriel aux quatre coins du des perturbations causées
monde. par l’attaque sont estimées
à 4 milliards $ US
2016 -2017 Future Electronics Fraude par virement bancaire 3,3 M $ Un litige avec l’assureur Chubb concernant
la couverture d’assurance est présentement
devant les tribunaux 5.
2016 Uber Piratage et vol de données, y Uber aurait payé 100 k $ US Dans les heures qui ont suivi les révélations
(divulgué compris des données aux hackers pour détruire d’Uber, deux actions collectives ont été
en 2017) personnelles de plus de 50 M les données et fait l’objet de déposées aux États-Unis 6.
d’utilisateurs et de 7 M de diverses poursuites pour Uber est également poursuivie, pour
chauffeurs plusieurs millions de dollars plusieurs millions de dollars, par les États de
New York, Missouri, Massachusetts,
Connecticut, Illinois et Washington ainsi que
par la Ville de Chicago 7.
2015 Ashley Madison Piratage et vol de données Estimé à plusieurs dizaines La compagnie opérant le site Ashley
comprenant des informations de millions $ US en Madison a fait l’objet de nombreuses
personnelles de plusieurs pénalité, règlement de poursuites et a dû payer environ 11,2 M $
millions d’utilisateurs du site poursuites, perte de US dans le cadre d’un règlement couvrant
web et des courriels de revenus et dépenses en plusieurs litiges aux États-Unis et a dû payer
l’entreprise matière de sécurité 1,6 M $ US dans le cadre du règlement
d’une plainte de la Federal Trade
Commission. Au Canada, une action
collective réclamant 760 M $ est
présentement devant les tribunaux de
l’Ontario 8.
2014 La Coop Fédérée Fraude au président 4-5 M $
2013 Target Corp. Piratage et vol de données Estimés à 300 M $ US, dont Target a fait l’objet de plusieurs poursuites
relatives à environ 40 M de seulement le tiers était en lien avec ce vol de données.
cartes bancaires et de crédits recouvrable en vertu d’une En mai 2017, Target a notamment dû
de clients des magasins police d’assurance cyber- accepter de payer 18,5 M $ US dans le
américains risques cadre d’un règlement avec 47 états
américains et le district de Columbia 9.
2010 Brick Fraude par virement bancaire 224 475 $ (338 322 $, dont Un litige concernant la couverture
113 847 $ furent récupérés d’assurance. La cour tranchant en faveur de
à la suite d’une enquête) l’assureur, Brick n’a pu être indemnisée 10.
Langlois avocats, S.E.N.C.R.L.
page 4 / 7 langlois.ca
Quelques trucs pour se prémunir contre les Intégrer la validation des procédures de sécurité
cyber-risques dans la sélection de ses fournisseurs. Les
fournisseurs et les sous-traitants d’une entreprise sont
Il est possible de minimiser les cyber-risques, notamment régulièrement utilisés comme vecteurs d’attaque afin
avec la formation du personnel et diverses mesures de d’avoir accès au réseau de celle-ci ou pour faciliter des
sécurité physiques et logiques. Ainsi, les programmes de tentatives d’ingénierie sociale. Il est également
formation des employés, la formation d’une équipe et opportun de s’assurer d’imposer la tenue d’audit et
l’élaboration d’un plan d’intervention en cas d’incident, tout l’obtention de rapports d’audit.
comme l’implication du conseil d’administration, sont des
aspects tout aussi importants que l’utilisation du cryptage. Maintenir à jour ses logiciels. Les mises à jour
servent souvent à rehausser le niveau de sécurité d’un
Sans être exhaustifs, toute entreprise devrait logiciel, voire à colmater une faille que des pirates
minimalement : puissent exploiter. De façon générale, un système avec
Déterminer son profil de risque. Il s’agit de faire des composantes logicielles à jour présente ainsi
l’inventaire de votre matériel, de vos réseaux et de moins de faiblesse et est plus difficile à infiltrer.
l’emplacement et du type de vos données. Cela permet Effectuer des copies de sauvegardes des données
de mieux identifier les risques physiques, logiques et nécessaires aux opérations et prévoir des
juridiques. redondances dans le système informatique de
S’outiller de politiques et de processus appropriés l’entreprise. Il vaut toujours mieux prévenir que guérir.
de gouvernance de l’information. Cela comprend Segmenter ses réseaux et gérer strictement les
notamment l’élaboration d’une politique de gestion des droits d’accès. Ainsi, pour chaque réseau, seules les
incidents. Quoi qu’il en soit, il ne s’agit que d’une personnes autorisées pourront avoir accès aux
première étape : il faut ensuite s’assurer de la mise en données qui y sont hébergées. Il est important
œuvre de ces politiques et processus et de leur d’octroyer les autorisations sur la base de la nécessité
compréhension et adoption par les employés. Des et de supprimer toute autorisation qui n’est plus
audits de sécurité informatique devraient également justifiée. Un réseau distinct pour les invités est
être effectués régulièrement. également une précaution fondamentale.
Sensibiliser et former ses employés en matière de En outre, l’hameçonnage et l’ingénierie sociale sont de plus
sécurité de l’information. Il faut par ailleurs répéter la en plus répandus. Pour atteindre leurs buts, les fraudeurs
formation à intervalles réguliers pour tenir compte du tablent souvent sur la méconnaissance technique de leurs
roulement de personnel et de l’évolution constante des cibles et sur des sentiments d’urgence, de confidence ou
méthodes et moyens de cyberattaque. Nous en de familiarité pour faire baisser le niveau de vigilance
discuterons davantage ci-après.
Langlois avocats, S.E.N.C.R.L.
page 5 / 7 langlois.ca
qu’une personne adopterait normalement. La formation et Certains recours utiles en cas de
la sensibilisation régulière des employés sont donc des cyberattaque et vol de données
aspects primaires de tout système de défense contre les
cyber-risques pour les entreprises. Il existe des recours pouvant s’avérer utiles pour contrer ou
minimiser une cyberfraude ou le vol de données,
Il est notamment avisé d’encourager vos employés à faire notamment lorsqu’il est possible d’identifier un
preuve d’une saine dose de scepticisme en tout temps, a cybercriminel, un complice, un suspect ou toute tierce
fortiori face aux offres alléchantes ou demandes partie en mesure de vous fournir de l’information ou de la
inhabituelles. Entre autres, vos employés devraient être preuve pertinente pour faire valoir vos droits :
sensibilisés aux mesures préventives suivantes :
L’injonction vous permet d’obtenir une ordonnance
Les fraudeurs créent souvent une fausse urgence d’agir enjoignant à une personne de faire, de ne pas faire ou
et requièrent souvent la confidentialité du traitement de de cesser de faire quelque chose.
leur demande afin de mieux tromper leur victime. Il faut
résister à la pression, demeurer vigilant et contre-vérifier La saisie avant jugement vous permet de saisir des
toute demande qui ne cadre pas dans le cours usuel actifs si une créance est en péril ou des biens meubles
des activités de l’entreprise; que vous revendiquez pour en assurer la conservation
en attendant qu’un jugement définitif ne dispose des
Il ne faut pas donner de renseignements personnels ou droits des parties.
non publics sur l’entreprise, en particulier concernant le
matériel informatique, à un interlocuteur que vous n’êtes L’ordonnance de type Anton Piller, considérée
pas en mesure d’identifier. Soyez notamment attentif à comme l’équivalent civil d’un mandat de perquisition,
l’adresse complète de l’expéditeur d’un courriel; vous permet de perquisitionner (fouiller et saisir) les
locaux d’un défendeur.
N’effectuez aucun virement avant d’avoir validé l’identité
de la personne physique ou morale avec qui vous L’ordonnance de type Mareva vous permet de geler
transigez; les actifs d’un défendeur ou d’un tiers.
L’ensemble des mesures susmentionnées, et d’autres, L’ordonnance de type Norwich vous permet d’obtenir
vous permettront de vous prémunir efficacement contre les de l’information essentielle auprès d’un tiers sur des
cyber-risques commerciaux. Toutefois, aucun logiciel, preuves ou sur l’identité d’un malfaiteur. À titre
système, employé, politique ou processus n’est parfait. Il d’exemple, la Cour supérieure de justice de l’Ontario a
peut donc être prudent de vous procurer une assurance déjà accordé une ordonnance de type Norwich
couvrant les cyber-risques afin de mieux protéger votre obligeant certains fournisseurs de services Internet à
entreprise. Là encore, il sera important de bien choisir et de divulguer les renseignements nécessaires pour identifier
bien comprendre la portée d’une telle couverture. les auteurs de certains courriels 11.
Notes
1
Gendarmerie royale du Canada, Stratégie de lutte contre la cybercriminalité de la Gendarmerie royale du Canada (2015) : http://bit.ly/2Gt6H8w
2
IBM and Ponemon Institute, 2017 Cost of Data Breach Study: Canada
3
Inquirer.Net, Massive data breach has cost Equifax nearly $90 million par Agence France-Presse (11 novembre, 2017) : http://bit.ly/2FCMnoj
4
Bethany Agnew-American v. Equifax Canada Co. and Equifax, Inc., CV-17-00582551-00CP
5
Future Electronics Inc. c. Chubb Insurance Co. of Canada, 500-17-100182-172
6
Flores v. Rasier LLC and Uber Technologies Inc., 17-cv-08503, U.S. District Court, Central District of California (Los Angeles); Danyelle Townsend and Ken Tew v. Uber
Technologies Inc., 17-cv-06756, U.S. District Court, Northern District of California (San Francisco)
7
The Washington Post, Uber is sued over massive data breach after paying hackers to keep quiet, Hamza Shaban (24 novembre 2017) : http://wapo.st/2pdYkqc; The
Washington Post, Chicago sues Uber over data breach by Hamza Shaban (24 novembre 2017) : http://wapo.st/2HAcOr2; Office of the Attorney General of Washington
State, AG Ferguson Files Multi-Million Dollar Lawsuit Against Uber For Failing To Report Massive Data Breach (28 novembre 2017) : http://bit.ly/2zMWoMu
8
Eliot Shore v. Avid Life Media Inc. and Avid Dating Life Inc., CV-15-22622CP
9
Los Angeles Times, Target will pay $18.5 million in settlement with states over 2013 data breach (23 mai 2017) : http://lat.ms/2rMOf3e
10
The Brick Warehouse LP v. Chubb Insurance Company of Canada, 2017 ABQB 413
11
York University v. Bell Canada Enterprises, 2009 CanLII 46447 (ON SC) : http://canlii.ca/t/25j8j
Langlois avocats, S.E.N.C.R.L.
page 6 / 7 langlois.ca
Le présent texte ne prétend pas être exhaustif quant aux sujets traités et les renseignements y contenus ne sont fournis qu’à
titre informatif. Il ne s’agit pas d’un avis juridique. L’objectif est de sensibiliser à l’importance de bien comprendre les cyber-
risques auxquels votre entreprise et vous-mêmes êtes exposés et de vous informer de certaines pistes de solutions et certains
outils disponibles pour vous aider à minimiser vos risques ou à gérer une situation de crise.
Les auteurs œuvrent régulièrement dans des dossiers d’intrusion, de vols de données, d’incident de sécurité et de lutte contre le
piratage, conseillant et protégeant les intérêts les clients du cabinet Langlois tant en matière de prévention qu’en cas de
cyberincidents réels. Ils ont une connaissance approfondie des divers outils disponibles pour répondre aux besoins particuliers
de chaque organisation et de chaque situation, incluant les recours judiciaires appropriés.
Si vous avez des questions ou des besoins juridiques en matière de cybersécurité, l’équipe de Langlois avocats se fera un
plaisir de vous assister dans vos démarches.
Auteurs
Danielle Ferron, Ad. E. Pascal Archambault
Avocate, associée Avocat
T +1 514 282 7806 T +1 514 282-7817
danielle.ferron@langlois.ca pascal.archambault@langlois.ca
Me Archambault agit dans des dossiers commerciaux
Me Ferron œuvre en litige civil et commercial. Sa pratique
(conseils/transactions) et litigieux (litiges civils/arbitrages)
se concentre particulièrement dans les dossiers de litiges
dans les domaines de la propriété intellectuelle et des
commerciaux complexes, les litiges bancaires, les actions
technologies de l’information : contrats d’acquisition,
collectives, la fraude, la lutte contre le piratage, la
d’implantation et de service de soutien de logiciels; avis
cybercriminalité, la protection des renseignements
juridiques sur la gouvernance des TI, la protection des
personnels, la protection des documents couverts par
renseignements personnels, la conformité légale et autres
privilège, les litiges de propriété intellectuelle, les
enjeux concernant les TI; etc.
injonctions, les saisies et d’autres recours urgents et
extraordinaires, dont les ordonnances de type Anton Piller
(perquisition en matière civile), Mareva et Norwich. Elle est
également appelée à agir comme avocate superviseure
indépendante et comme amicus curiae.
Jean-François De Rico
Avocat, associé
T +1 418 650 7923
jean-francois.derico@langlois.ca
Me De Rico a développé une expertise peu commune en
droit des technologies de l’information et de protection des
renseignements personnels. Les services de Jean-François
sont régulièrement retenus dans le cadre de projets de
développement et d’implantation de progiciels et
d’applications logicielles, d’impartition de services
informatiques, d’approvisionnement en services et
équipements technologiques, d’élaboration et
d’implantation de processus d’affaires électroniques, ou de
projet de migration de systèmes informatiques.
Langlois avocats, S.E.N.C.R.L.
page 7 / 7 langlois.caNotes
1
Gendarmerie royale du Canada, Stratégie de lutte contre la cybercriminalité de la Gendarmerie royale du Canada (2015) : http://bit.ly/2Gt6H8w
2
IBM and Ponemon Institute, 2017 Cost of Data Breach Study: Canada
3
Inquirer.Net, Massive data breach has cost Equifax nearly $90 million par Agence France-Presse (11 novembre, 2017) : http://bit.ly/2FCMnoj
4
Bethany Agnew-American v. Equifax Canada Co. and Equifax, Inc., CV-17-00582551-00CP
5
Future Electronics Inc. c. Chubb Insurance Co. of Canada, 500-17-100182-172
6
Flores v. Rasier LLC and Uber Technologies Inc., 17-cv-08503, U.S. District Court, Central District of California (Los Angeles); Danyelle Townsend
and Ken Tew v. Uber Technologies Inc., 17-cv-06756, U.S. District Court, Northern District of California (San Francisco)
7
The Washington Post, Uber is sued over massive data breach after paying hackers to keep quiet, Hamza Shaban (24 novembre 2017) :
http://wapo.st/2pdYkqc; The Washington Post, Chicago sues Uber over data breach by Hamza Shaban (24 novembre 2017) :
http://wapo.st/2HAcOr2; Office of the Attorney General of Washington State, AG Ferguson Files Multi-Million Dollar Lawsuit Against Uber For Failing
To Report Massive Data Breach (28 novembre 2017) : http://bit.ly/2zMWoMu
8
Eliot Shore v. Avid Life Media Inc. and Avid Dating Life Inc., CV-15-22622CP
9
Los Angeles Times, Target will pay $18.5 million in settlement with states over 2013 data breach (23 mai 2017) : http://lat.ms/2rMOf3e
10
The Brick Warehouse LP v. Chubb Insurance Company of Canada, 2017 ABQB 413
11
York University v. Bell Canada Enterprises, 2009 CanLII 46447 (ON SC) : http://canlii.ca/t/25j8jVous pouvez aussi lire
