La récente attaque mondiale de ransomware (WannaCry) a été un autre rappel de la menace accrue posée par les cyberattaques. Bien que les attaques de cybersécurité soient inévitables, les organisations (et leurs administrateurs et dirigeants) peuvent toujours être responsables dans la mesure où elles n’ont pas pris de mesures raisonnables pour prévenir l’attaque ou n’ont pas réagi de manière appropriée à l’attaque.
Comprendre ce que l’on attend d’une organisation est donc essentiel pour minimiser l’exposition aux cyberattaques. Il y a peu de jurisprudence au Canada qui fournit une orientation. Mais il y a des directives utiles de la Federal Trade Commission (FTC) des États-Unis qui cherche à faire respecter ces questions depuis environ 15 ans. En règle générale, les plaintes de la FTC décrites ci-dessous ont donné lieu à une amende payée par l’organisation cible et/ou à une entente de l’organisation pour prendre des mesures précises pour remédier à sa posture en matière de cybersécurité.
Voici quatre leçons apprises :
Il est essentiel d’identifier les risques posés aux renseignements personnels dont votre organisation est responsable (p. ex., les renseignements exclusifs sur les clients, les employés ou l’entreprise). Sans le faire, vous n’avez pas une idée de ce que vous essayez de protéger et quels sont les risques auxquels vous devez faire face.
La FTC a déposé des plaintes contre des organisations qui n’ont pas identifié et corrigé de manière proactive les risques liés au réseau. Dans plusieurs affaires, la FTC a fait valoir contre les organisations au motif qu’elles n’avaient pas fait d’efforts pour détecter des vulnérabilités raisonnablement prévisibles ni utilisé des procédures raisonnables pour découvrir et remédier aux risques posés par ces vulnérabilités.
La capacité de recevoir, de traiter et de surveiller des rapports sur les menaces à la sécurité est aussi importante que la capacité de les identifier. La FTC a fait valoir contre une organisation au motif qu’elle « n’a pas mis en œuvre un processus pour recevoir et traiter les rapports de vulnérabilité de sécurité de chercheurs tiers, d’universitaires ou d’autres membres du public, [et] a ainsi retardé sa possibilité de corriger les vulnérabilités découvertes ou de répondre aux incidents signalés ».
Une pléthore d’affaires de la FTC portent sur des défaillances organisationnelles dans l’élaboration et la mise en œuvre de mesures de protection raisonnables pour protéger les renseignements des consommateurs. En
La FTC a fait valoir contre des entreprises qu’elles n’utilisaient pas un système de détection des intrusions et qu’elles ne surveillaient pas les journaux d’accès au réseau pour détecter toute activité suspecte. La surveillance de l’activité du réseau est une méthode de base et attendue pour réduire les risques posés par les cyber-intrus pour l’information des consommateurs.
Les mesures d’application de la FTC ont également mis l’accent sur l’incapacité des organisations à détecter les atteintes à la vie privée et à prendre les mesures appropriées. Le défaut de détecter une atteinte entraîne des conséquences évidentes – les clients et les clients ne savent pas que leurs renseignements ont été compromis, et il existe un risque évident qu’une autre atteinte se produise.
Dans Re Wyndham Worldwide Corporation, la FTC a allégué que la société n’avait pas suivi les procédures de réponse appropriées en matière de cybersécurité lorsqu’elle n’avait pas surveillé son réseau à la recherche de logiciels malveillants utilisés lors d’attaques antérieures. Dans Re ASUSTeK Computer, Inc., la FTC a intenté une action en justice contre ASUSTeK Computer, Inc. pour l’échec de l’organisation à diffuser les vulnérabilités connues des routeurs, et leurs correctifs correspondants, aux consommateurs. Dans le premier cas, l’incapacité de Wyndham à répondre à l’événement cybernétique initial a entraîné le vol de 619 000 comptes de cartes de paiement et plus de 10 millions de dollars américains en frais frauduleux. Dans le second cas, le fait qu’ASUSTek n’ait pas fourni d’avis et de méthodes d’atténuation aux consommateurs au sujet de certaines de ses vulnérabilités de routeur a entraîné une violation de près de 13 000 appareils connectés.
Les interventions et les processus appropriés en matière de cyberévénement sont des éléments importants d’un plan de cybersécurité complet.
Les cyberattaques sont inévitables, mais la responsabilité de ces attaques n’a pas à l’être. De plus, bien qu’il n’y ait pas de solution miracle pour prévenir toutes les attaques, il est possible d’atténuer le risque.
Les organisations doivent identifier leurs risques et leurs vulnérabilités, et élaborer et mettre en œuvre un plan de cybersécurité qui intègre à la fois un plan d’atténuation et d’intervention en cas d’incident. Si vous ne le faites pas, l’organisation est exposée.
Le Bennett Jones Cybersecurity team est disponible pour vous aider.