Les contrats de services reliés à la sécurité informatique: éviter les pièges

Conférence Insight : Sécurité informatiqueLes 14 et 15 janvier 2008Me Charles Morgan

2

Présentation

• Profil de risque: sécurité informatique

• Obligations contractuelles et statutaires

• Les situations contractuelles• Les clauses clés

3

Profil de risque: sécurité informatique

4

Profil de risque: sécurité informatique• Modalités de travail non traditionnelles• Pénurie d’employés compétents dans le

domaine des technologies de l’information• Transition d’une conservation des

documents papier à une conservation sous forme électronique des documents

• Transition des ordinateurs centraux (main frame) à l’architecture ouverte

• Augmentation de la présence sur le Web; augmentation de la largeur de bande

5

Profil de risque: sécurité informatique• Monoculture du système d’exploitation de

Microsoft• Augmentation fulgurante des communications par

courriel/Internet• Augmentation de l’utilisation des services fournis

par des tiers et/ou dépendance envers des fournisseurs de service (hébergement de données, traitement, IPA et impartition des technologies de l’information)

• Augmentation du nombre d’intrus (expérimentaux, malveillants, locaux et étrangers)

6

À quel coût?

• La Computer Emergency Readiness Team (CERT) , financée par le Department of Defence des États-Unis comptabilise les incidents concernant la cybersécurité:• 2002 : 82 094 incidents (en un an)• Mars 2007 : 80 000 incidents (en un mois!)

• Les logiciels malveillants et les virus ont entraîné des dépenses de 169 milliards $ US à 204 milliards $ US pour les entreprises en 2004

• Coûts occasionnés par les pourriels en 2005 : États-Unis (17 milliards $ US); Royaume-Uni (2,5 milliards $ US) et Canada (1,6 milliard $ US)

• Voir le rapport du British North-American Committee sur la cyberattaque : http://www.acus.org/docs/071212_Cyber_Attack_Report.pdf

7

Exemple?

• En avril 2007, l’Estonie a subi pendant trois semaines des attaques entraînant un refus de service envers les éléments clés de son infrastructure – le gouvernement, les services bancaires et les entreprises les plus importantes

• En décembre 2007, une banque canadienne a perdu un disque dur contenant des renseignements confidentiels concernant495 000 clients au cours d’un transfert de données de Montréal à Toronto

8

La décision TJXRapport conjoint du Commissariat à la protection de la vie privée du Canada et de l’Alberta publié le 25 septembre 2007 concernant l’intrusion dans le réseau de TJX (Winners, HomeSense) touchant les renseignements personnels d’environ 45 millions d’utilisateurs de cartes au Canada, aux États-Unis, à Puerto Rico, au Royaume-Uni et en Irlande.

Les renseignements personnels consultés lors des intrusions (qui ont eu lieu de 2002 à 2006) comprenaient des données des comptes de cartes de crédit et des données concernant les cartes de débit (sauf au Canada), ainsi que les numéros d’identification de permis de conduire et autres numéros d’identification provinciaux, noms et adresses connexes, que TJX avait recueillis dans le cadre des opérations de retour de marchandise sans reçu.

9

La décision TJX

Les trois questions clés de ce rapport :

TJX avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche?

TJX conservait-elle les renseignements conformément à la LPRPDE et à la PIPA?

TJX avait-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’elle conservait?

10

TJX avait-elle mis en place des mesures de sécurité raisonnables?• « On détermine le nature délicate des renseignements personnels en

procédant à une évaluation des préjudices et des risques. Certains types de renseignements personnels peuvent plus facilement être utilisés à des fins préjudiciables ou servir à la fraude que d’autres types de renseignements. […] Vu la nature des renseignements personnels auxquels ont eu accès les pirates, le nombre de personnes touchées et le temps écoulé avant que ne soit découvert l’intrusion, le préjudice pourrait être très grave. […] En outre, en raison de la brèche, des personnes ont pu vivre des niveaux plus élevés d’anxiété. »

• « On a habituellement recours à des exigences législatives pour établir des normes minimales en matière de conduite. Le fait que le chiffrement figure dans la liste des mesures de protection au principe 4.7.3 de la LPRPDE laisse croire qu’il s’agit d’une mesure de protection bien établie. […] Selon nous, le risque d’une brèche était prévisible en raison de la quantité de renseignements personnels de nature délicate conservés et du fait que l’organisation ayant établi les normes de l’industrie avait déterminé les faiblesses du protocole de chiffrement WEP. Les renseignements auraient pu être séparés, et les systèmes, mieux surveillés. Par conséquent, TJX n’a pas respecté les dispositions relatives aux mesures de protection de la LPRPDE et de la PIPA. »

11

Obligations contractuelles et statutaires

12

Fondement de la responsabilité légale• Violation d’un contrat

• Obligations de confidentialité• Obligations contractuelles relatives à la

protection de la vie privée• Obligations contractuelles relatives à la sécurité • Acceptation contractuelle des risques

• Négligence• Non respect d’une obligation de diligence due à

une personne avec qui l’on a un « lien spécial »• Associés• Clients• Fournisseurs

13

Fondement de la responsabilité • Violation des obligations statutaires

• Canada : LPRPDE (fédéral), Loi sur la protection des renseignements personnels dans le secteur privé (Québec), Personal information protection Acts (Colombie-Britannique et Alberta)

• États-Unis : Sarbanes-Oxley, California SB 1386, Gramm-Leach-Bliley (GLBA) et Health Insurance Portability and Accountability Act (HIPAA)

• Recours collectifs• Visent tout ce qui précède• Un petit problème peut devenir important

14

LPRPDE 4.7 - Mesures de sécurité

• 4.7 : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

• 4.7.1 : Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

• 4.7.2 : La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. 4.7.3 : Les méthodes de protection devraient comprendre :

a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l'accès aux bureaux;

b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et

c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement. • 4.7.4 : Les organisations doivent sensibiliser leur personnel à l'importance de

protéger le caractère confidentiel des renseignements personnels.• 4.7.5 : Au moment du retrait ou de la destruction des renseignements

personnels, on doit veiller à empêcher les personnes non autorisées d'y avoir accès.

15

Gramm-Leach-Bliley• § 6801. Protection of nonpublic personal information

(a) Privacy obligation policy: It is the policy of the Congress that each financial institution has an affirmative and continuing obligation to respect the privacy of its customers and to protect the security and confidentiality of those customers’ nonpublic personal information. (b) Financial institutions safeguards: In furtherance of the policy in subsection (a) of this section, each agency or authority described in section 6805 (a) of this title shall establish appropriate standards for the financial institutions subject to their jurisdiction relating to administrative, technical, and physical safeguards—

(1) to insure the security and confidentiality of customer records and information;

(2) to protect against any anticipated threats or hazards to the security or integrity of such records; and

(3) to protect against unauthorized access to or use of such records or information which could result in substantial harm or inconvenience to any customer.

16

California, SB 1386• SEC. 2. Section 1798.29 is added to the Civil Code, to read: • 1798.29. (a) Any agency that owns or licenses computerized data that

includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system.

• g) For purposes of this section, "notice" may be provided by one of the following methods: (1) Written notice. (2) Electronic notice, if the notice provided is consistent with the provisions regarding electronic records and signatures set forth in Section 7001 of Title 15 of the United States Code. (3) Substitute notice, if the agency demonstrates that the cost of providing notice would exceed two hundred fifty thousand dollars ($250,000), or that the affected class of subject persons to be notified exceeds 500,000, or the agency does not have sufficient contact information. Substitute notice shall consist of all of the following: (A) E-mail notice when the agency has an e-mail address for the subject persons. (B) Conspicuous posting of the notice on the agency's Web site page, if the agency maintains one. (C) Notification to major statewide media.

17

Normes de sécurité

• ISO 27002• BS 7799 : la première partie prévoit un aperçu

d’une politique en matière de sécurité• BS 7799 : la deuxième partie prévoit la

certification• La certification dure trois ans et elle est contrôlée

périodiquement• L’intégrité, la confidentialité et la disponibilité sont

des caractéristiques de la sécurité de l’information• 11 zones de contrôle• http://www.iso.org/iso/home.htm

18

Vérifications ICCA 5970 et SAS 70 (Type II)• Des vérifications semblables qui définissent les

normes professionnelles utilisées par les vérificateurs indépendants pour évaluer rigoureusement les contrôles internes des organismes de services. Ces programmes comportent des exigences précises pour les fournisseurs de service qui gèrent les données des clients et mettent un fort accent sur les domaines de respect, de sécurité et d’accès.

• La norme ICCA 5970 est une norme canadienne administrée par l’Institut Canadien des Comptables Agréés

• La norme SAS 70 est essentiellement l’équivalent américain élaboré par l’American Institute of Certified Public Accountants.

19

Autres Normes de sécurité

• Information Security Forum (ISF), « Standard of good practice », mise à jour en février 2007• https://www.isfsecuritystandard.com/SOGP07/index.htm

• North America Electric Reliability Council (NERC) : p. ex. la norme NERC 1300• http://www.nerc.com/~filez/standards/Cyber-Security-P

ermanent.html• Control Objectives for Information and related

Technology (COBIT), norme dévéloppée par Information Systems Audit and Control Association (ISACA)

• L’obtention d’une certification peut faciliter l’obtention d’une assurance en matière de cybersécurité

20

Les situations contractuelles

21

Les situations contractuelles

• Contrats de vérification de réseau (évaluation de vulnérabilité)

• Contrats de service pour renforcer la sécurité du réseau existant (coupe-feu, chiffrement)

• Contrats de surveillance de réseau et de détection d’intrusion

• Impartition du traitement de données, des services de réseaux, de l’hébergement de données et partage de réseau

22

Les clauses clés

23

Les clauses clés

• La définition des normes des sécurité• normes et niveau des services

• sécurité matérielle, sécurité logicielle• chiffrement (coût par rapport au risque)

• « normes de l’industrie » ou définition restreinte, détaillée?• droit de modifier les normes (traitement des ordres de

modification)• Clause de confidentialité

• séparation matérielle et logicielle des renseignements confidentiels• employés visés par une entente de non-divulgation, accès en

fonction de la nécessité• Clauses de protection des renseignements personnels

• les « renseignements confidentiels » ne sont pas assimilables à des« renseignements personnels »

• Droit de vérification• vérificateur indépendant• droit d’accès aux lieux• droit d’enquête en cas d’incident de sécurité• Obligation de collaborer en cas d’enquête par les autorités

gouvernementales

24

Les clauses clés• Classification des dommages

• dommages directs ou indirects?• p. ex. perte de données?; dommages directs subis par les

clients?; manquement aux déclarations et garanties?• Responsabilité illimitée

• manquement à l’obligation de confidentialité et aux obligations de respect de la vie privée?

• le fournisseur de service devrait-il devenir votre « assureur »?• Exclusion de la responsabilité

• dommages indirects• Limite de responsabilité

• qu’elle est la répartition indiquée du risque?• Assurance

• examiner les exclusions prévues dans les polices en ce qui concerne la cybersécurité, la perte de données, etc.

• couverture des biens incorporels?

25

Préjudice occasionné à la cote d’estime

• Nota : l’attribution du risque à un tiers fournisseur de services ne remplace pas la mise en œuvre de pratiques, de politiques, de contrôles et de formation appropriés à l’interne pour éviter les atteintes à la sécurité et pour gérer et atténuer les pertes en cas d’incident de sécurité

26

Merci

VancouverP.O. Box 10424, Pacific CentreSuite 1300, 777 Dunsmuir Street Vancouver (Colombie-Britannique) V7Y 1K2Tél. : 604-643-7100 Téléc. : 604-643-7900

CalgarySuite 3300, 421 – 7th Avenue SWCalgary (Alberta) T2P 4K9Tél. : 403-260-3500 Téléc. : 403-260-3501

TorontoBox 48, Suite 4700Toronto Dominion Bank TowerToronto (Ontario) M5K 1E6Tél. : 416-362-1812 Téléc. : 416-868-0673

OttawaThe ChambersSuite 1400, 40 Elgin StreetOttawa (Ontario) K1P 5K6Tél. : 613-238-2000 Téléc. : 613-563-9386

MontréalBureau 25001000, rue De La Gauchetière OuestMontréal (Québec) H3B 0A2Tél. : 514-397-4100 Téléc. : 514-875-6246

QuébecLe Complexe St-Amable1150, rue de Claire-Fontaine, 7e étageQuébec (Québec) G1R 5G4Tél. : 418-521-3000 Téléc. : 418-521-3099

Royaume-Uni et Europe5 Old Bailey, 2e étageLondres, Angleterre EC4M 7BATél. : +44 (0)20 7489 5700 Téléc. : +44 (0)20 7489 5777