Près de 2 millions d'adresses courriels ont été compromis ce 15 mai 2017 chez Bell qui reconnaît investiguer le problème avec la GRC. Dans son alerte de sécurité, Wade Oosterman le président du groupe BCE/Bell Canada informe ses clients que la société a été contactée par un pirate informatique anonyme concernant l’accès illégal à des renseignements clients. Bell a présenté ses excuses à ses clients.
Au regard de la l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/« PIPEDA ») devenue loi en 2000 (ce qui fait tout de même 17 ans), les organisations canadiennes sont tenues de respecter un certain nombre de principes de sécurité dont on rappelle ici le contenu du septième principe :
« Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
4.7.1
Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
4.7.2
La nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. La notion de sensibilité est présentée à l’article 4.3.4.
4.7.3
Les méthodes de protection devraient comprendre :
a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux ;
b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif ; et
c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
4.7.4
Les organisations doivent sensibiliser leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels.
4.7.5
Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d’y avoir accès (article 4.5.3). »
Là où le bât blesse, est que les vulnérabilités les plus souvent rencontrées chez les clients sont :
– l’absence d’un système de classifications des actifs (serveurs sensibles, données sensibles)
– l’absence de système de chiffrement, en particulier à l’interne
– l’absence d’un inventaire exhaustif et à jour de tous les composants matériels et logiciels ainsi que d'une cartographie de localisation des instances de données
– la persistance de machines obsolètes n’étant plus maintenues pas les constructeurs
– l’absence d’une stratégie complète de prévention et de détection d’intrusion
– la complexité des infrastructures qui sont rarement maîtrisées de bout en bout
– l’absence de contrôle sécurité des fournisseurs
Mais au-delà de toutes ces difficultés, le problème de fond est que le sujet de la cybersécurité reste négligé, délaissé, maltraité par la Haute-Direction qui n’en fait que peu de cas, n’en retient que le coût des mesures faramineuses à mettre en œuvre pour sécuriser l’existant et évacue la patate chaude sur un pauvre bougre plus ou moins bien épaulé. Ce pauvre responsable de la sécurité sera bien évidemment montré du doigt en cas de problème, faisant fi de toutes les années où la direction lui aura refusé ses budgets de remédiation. Seuls les menaces de non-obtention des attestations PCI, SSAE 16, 52-109 et le risque des amendes associées, ou des pertes de marché commencent à peser dans la balance.
L’industrie télécoms est en fait au cœur d’un dilemme de fond. Elle est prise d’une part entre la nécessité d’assurer la continuité de services avec des serveurs performants et d’autre part la nécessité de protéger la confidentialité des informations, qui elles, nécessitent des moyens de sécurité qui vont dégrader les performances (comme le chiffrement et les scans). Les solutions existent. Elles comprennent notamment la définition d’une architecture de réseau découpée en zones de sécurité et l’utilisation de réseaux privés virtuels, ainsi que des serveurs suffisamment redondés pour prévoir des solutions de relève. Mais surtout, aucune mesure de sécurité ne pourra être complètement efficace si la fonction sécurité au sein de l’entreprise n’est pas attribuée à un gestionnaire exécutif aguerri et si possible, indépendant de la direction informatique, puisqu’il est en conflits d’intérêts.
PRADEL CONSEIL intervient dans la mise en place de programmes stratégiques de cybersécurité et dans l'assistance à la résolution des problèmes complexes liés aux TI.