Depuis que de nombreuses organisations ont opéré une transition numérique pour gérer leurs activités commerciales, les logiciels occupent un rôle prépondérant dans leurs opérations quotidiennes et remplissent des fonctions essentielles liées à la conservation, au transfert et au traitement des données.

Pour les organisations dont les fonctions essentielles sont effectuées par voie numérique, ces logiciels revêtent une importance cruciale pour assurer leur bon déroulement et leur pérennité. Messagerie électronique et communication, gestion de projets et de la relation client, ou encore stockage infonuagique : les logiciels offerts par des fournisseurs tiers répondent aux besoins de centaines d’organisations, et ce, dans de nombreux secteurs d’activité.

Le logiciel-service (SaaS) est devenu un modèle courant de distribution de ces logiciels, les fournisseurs demeurant gestionnaires de l’infrastructure principale utilisée par le logiciel en question, y compris les serveurs et le stockage infonuagique. Son utilisation, et l’infrastructure partagée sous-jacente, est alors proposée comme service aux organisations clientes et rendue accessible par Internet.

Si cette solution présente des avantages, comme l’évolutivité et la possibilité de recevoir des mises à jour logicielles rapides et continuelles, elle comporte également des risques pour la sécurité.

Multiplication des violations de données des fournisseurs

Le logiciel-service exige des organisations clientes qu’elles confient au fournisseur leurs données conservées ou traitées à l’aide des logiciels tiers, et se fient aux mesures de protection et aux protocoles de sécurité de celui-ci. En général, les fournisseurs avertis mettent en place une panoplie de mesures de sécurité pour protéger les infrastructures partagées et réduire les risques liés à leur accès à distance.

Cependant, certains acteurs malveillants, dont la mission est de percer une brèche de sécurité pour chiffrer les données ou les compromettre en vue d’obtenir une rançon, sont particulièrement déterminés et compétents. Ils perfectionnent sans cesse leurs tactiques pour détecter les failles de ces logiciels, et les exploiter afin de contourner les mesures de sécurité.

Pour un pirate informatique, cibler les fournisseurs qui distribuent leurs logiciels-services à d’autres organisations constitue un moyen efficace d’accéder à une quantité considérable de données. S’ils réussissent à pirater ces logiciels, ils peuvent dérober d’un seul coup les données de centaines d’organisations, et les utiliser pour réclamer une rançon.

Dans un rapport de 2022 intitulé « La cybermenace provenant des chaînes d’approvisionnement », le Centre canadien pour la cybersécurité a indiqué qu’il était fort probable que des auteurs malveillants continueraient à développer leur capacité à compromettre les organisations en s’attaquant à la chaîne d’approvisionnement plutôt que de déjouer les mécanismes de sécurité du réseau d’une victime. Il estime également que les logiciels continueront d’être les principales surfaces d’attaque pour infiltrer les chaînes d’approvisionnement.

Violations de données récentes des fournisseurs et mesures politiques

Depuis, ces prédictions se sont révélées exactes. La récente cyberattaque contre MOVEit, survenue en 2023, est un exemple marquant de violation de données de grande envergure touchant un fournisseur.

Les auteurs malveillants ont profité d’une faille présente dans MOVEit Transfer, un logiciel sécurisé de transfert de fichiers en ligne utilisé par des milliers d’organisations dans le monde, afin de mettre la main sur des données sensibles de plus de 1000 clients du fournisseur, touchant ainsi des millions d’individus. Ils ont ensuite exploité les données volées pour tenter d’extorquer une rançon aux organisations victimes des fuites.

Si la cyberattaque contre MOVEit a touché des organisations de secteurs variés, d’autres ont frappé des fournisseurs de logiciels utilisés dans des secteurs critiques, notamment celui des soins de santé. Les fournisseurs de systèmes d’information clinique et d’autres outils en ligne utilisés par les hôpitaux et les organismes de soins de santé sont les cibles privilégiées d’attaques aux rançongiciels, comme l’illustrent de nombreux cas récents au Canada et aux États-Unis. Ces systèmes conservent généralement une importante quantité de données sensibles de patients, et toute compromission de celles-ci pourrait entraîner des conséquences significatives sur la prestation des soins de santé. Aussi, elles constituent une cible attrayante pour les pirates qui cherchent à soutirer de l’argent en échange de données volées.

Pour répondre à cette menace croissante, les gouvernements ont opéré des changements de politiques afin de renforcer la protection des données critiques.

Par exemple, en mai 2024, le gouvernement de l’Ontario a déposé le projet de loi 194 : Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. Ce projet de loi prévoit une série de changements, notamment la création d’un mécanisme permettant au gouvernement d’exiger que les organisations du secteur public conçoivent et mettent en œuvre des programmes de cybersécurité et des procédures d’intervention en cas de cyberincident, ainsi que l’introduction d’exigences formelles en matière de signalement et de notification des atteintes à la vie privée.

Pour en savoir plus à ce sujet, consultez notre article « Renforcement de la cybersécurité dans le secteur public : l’Ontario dévoile le projet de loi 194 » (en anglais).

Comment se préparer à une violation de données d’un fournisseur?

Les violations de données des fournisseurs présentent des enjeux particuliers pour les organisations, comparativement à une intrusion dans le réseau ou les systèmes informatiques de l’organisation elle-même. La plupart de ces problèmes résident dans le fait que les clients d’un fournisseur touché ne disposent pas d’un accès direct à l’information sur l’incident ni n’exercent de contrôle sur la manière dont le fournisseur le gère.

Or, la responsabilité des données compromises incombe toujours aux organisations clientes, qui ont des obligations légales à l’égard de leurs propres clients et des personnes touchées par l’incident, ainsi qu’à l’égard des organismes de réglementation impliqués.

La collaboration et la communication entre le fournisseur et ses clients sont indispensables pour que toutes les parties concernées puissent s’acquitter de leurs obligations légales. Par ailleurs, il est possible que, dans certaines situations, les organisations clientes veuillent participer à la prise de décision dans le cadre de l’intervention du fournisseur, notamment en choisissant de payer ou non une rançon pour récupérer leurs données.

Toutefois, cette collaboration fait peser un risque de litige, car les clients évalueront si le fournisseur protégeait adéquatement les données volées à la lumière des informations sur la cause de la violation que celui-ci rendra publiques. Craignant une atteinte à leur réputation, un bris de confidentialité, ou encore d’être tenus responsables, les fournisseurs pourraient se montrer réticents à l’idée de divulguer certaines informations, en particulier sur leurs systèmes exclusifs ou la manière dont les données ont été compromises.

Voici donc les critères sur lesquels repose l’évaluation des protocoles de sécurité et du plan d’intervention des organismes en cas de violation de données, accompagnés de questions pour mieux les préparer à réagir si pareil incident se produisait chez l’un de leurs fournisseurs clés :

Gestion de la relation avec le fournisseur

Maintenir une relation saine et étroite avec vos principaux fournisseurs, par des moyens formels ou informels, peut favoriser la transparence et la collaboration lors d’un incident.

  • Les relations que votre organisation entretient avec ses principaux fournisseurs sont-elles propices à la collaboration en cas de violation?
  • Votre organisation entretient-elle des relations avec des cadres supérieurs de l’organisation du fournisseur auprès desquels elle pourrait obtenir des informations en cas de violation?

Dispositions contractuelles

Si elles peuvent certes se traduire par une transparence accrue, les relations informelles sont susceptibles de se dégrader. Au même titre qu’un litige, cette dégradation peut limiter l’accès de l’organisation qu’aux informations auxquelles elle a droit aux termes de l’entente qui régit sa relation avec ses fournisseurs.

  • Sous-traitants : La faille de MOVEit a pris de nombreuses organisations au dépourvu parce qu’elles ignoraient que leurs fournisseurs avaient recours au logiciel de transfert de données de l’entreprise dans la prestation de leurs services. Votre organisation est-elle en droit d’exiger des informations sur les sous-traitants que ses fournisseurs engagent ou envisagent engager, et qu’ils soient tenus de respecter les mêmes obligations de sécurité que le fournisseur pour qui ils assument la prestation de service?
  • Notification : À quel moment votre organisation est-elle en droit d’être avisée d’une brèche de sécurité par le fournisseur?
  • Transmission d’informations : En cas de violation de données, quelles informations particulières votre organisation est-elle en droit de recevoir de la part du fournisseur?
  • Prise de décision : Votre organisation a-t-elle un droit reconnu par la loi ou la possibilité de participer à la prise de décision relative à la violation, comme le paiement d’une rançon?
  • À quelle fréquence les ententes conclues avec les principaux fournisseurs sont-elles renégociées?

Vérifications

Détenez-vous un droit contractuel de vérifier le programme de sécurité de vos fournisseurs et, si tel est le cas, votre organisation exerce-t-elle périodiquement ce droit dans une mesure proportionnelle au degré de risque? Il s’agit d’un facteur déterminant que les organismes de réglementation prendront en compte au moment d’évaluer les mesures prises par l’organisation auprès du fournisseur pour assurer la protection de ses données.

  • Votre organisation procède-t-elle à un examen annuel des certifications de ses fournisseurs et des rapports de sécurité que ceux-ci obtiennent de sources externes?
  • Lorsque des données particulièrement sensibles sont en jeu, votre organisation effectue-t-elle des contrôles de sécurité personnalisés à l’aide de questionnaires et d’examens réalisés sur place, ou par l’entremise de vérificateurs indépendants?

Intervention en cas d’incident

Lorsqu’un logiciel offert par le fournisseur est compromis, une organisation ne peut généralement pas mener ses propres analyses des systèmes du fournisseur. Toutefois, dans certains cas, la technologie utilisée par ce dernier pourrait constituer un vecteur d’attaque pour accéder illégalement à d’autres systèmes locaux connectés et les mettre à risque.

  • Votre organisation détient-elle suffisamment de renseignements sur les systèmes de ses fournisseurs pour évaluer les risques associés à une éventuelle compromission? Comment pourrez-vous valider les renseignements transmis par le fournisseur?
  • Quels types d’analyses seront réalisés en cas de violation de données des fournisseurs? Devrez-vous faire appel à des prestataires externes afin de réagir à une violation des données dont l’un de vos fournisseurs est victime?

Questions relatives au privilège

Sachant qu’il est probable que la violation de données fasse l’objet de litiges, il est souhaitable de faire appel à des conseillers juridiques dès les premiers échanges avec les fournisseurs. Ils favoriseront l’application du privilège d’intérêt commun à l’égard de ces communications des fournisseurs, ainsi que la protection du secret professionnel et le privilège relatif aux litiges portant sur la documentation et des communications essentielles.

  • Comment les communications internes et externes portant sur l’intervention en cas d’incident de sécurité seront-elles gérées, notamment afin de préserver ces privilèges?
  • Les conseillers juridiques participent-ils suffisamment tôt à l’intervention?

Indemnisation

En général, une intervention en cas d’incident de sécurité engendre des coûts importants pour les organisations touchées. Ceux-ci comprennent les coûts de prestations de service pour effectuer des investigations numériques, aviser les personnes touchées et assurer la communication avec elles, mener des campagnes de relations publiques ou fournir des conseils juridiques; les coûts des services de surveillance du crédit et de protection de l’identité aux personnes touchées; le paiement de rançons; les amendes et sanctions réglementaires; les coûts de remédiation pour rétablir la sécurité des infrastructures compromises; l’augmentation des primes de cyberassurance, ainsi que la perte de contrats et de revenus résultant des dommages causés à la réputation de l’organisation.

  • Aux termes de l’entente conclue entre votre organisation et le fournisseur, à qui incombe la responsabilité financière en cas de violation de données?
  • Si le fournisseur doit rembourser les frais encourus par votre organisation, l’indemnité prévue par l’entente est-elle suffisante pour les couvrir dans leur totalité? Y a-t-il des exceptions dont votre organisation doit tenir compte?
Outre les considérations susmentionnées en lien avec les violations de données des fournisseurs, il est impératif que les organisations se familiarisent avec les meilleures pratiques afin de pouvoir réagir à tout type de cyberattaque. Pour prendre connaissance des pratiques à adopter en cas de violation de données, consultez notre article intitulé « L’ABC pour les entreprises canadiennes » (en anglais).

Faire appel à un conseiller juridique pour l’élaboration d’un plan d’intervention, ainsi qu’au moment de l’intervention elle-même, est une mesure essentielle pour s'assurer que votre organisation est prête à faire face à une violation des données. Pour en savoir plus, n’hésitez pas à contacter les auteures du présent article ou un membre de l’équipe Cybersécurité et protection des données de Gowling WLG.