Title: Les contrats de services relis la scurit informatique: viter les piges Confrence Insight : Scurit in
1Les contrats de services reliés à la sécurité
informatique éviter les piègesConférence
Insight Sécurité informatiqueLes 14 et 15
janvier 2008Me Charles Morgan
2Présentation
- Profil de risque sécurité informatique
- Obligations contractuelles et statutaires
- Les situations contractuelles
- Les clauses clés
3- Profil de risque sécurité informatique
4Profil de risque sécurité informatique
- Modalités de travail non traditionnelles
- Pénurie demployés compétents dans le domaine des
technologies de linformation - Transition dune conservation des documents
papier à une conservation sous forme électronique
des documents - Transition des ordinateurs centraux (main frame)
à larchitecture ouverte - Augmentation de la présence sur le Web
augmentation de la largeur de bande
5Profil de risque sécurité informatique
- Monoculture du système dexploitation de
Microsoft - Augmentation fulgurante des communications par
courriel/Internet - Augmentation de lutilisation des services
fournis par des tiers et/ou dépendance envers des
fournisseurs de service (hébergement de données,
traitement, IPA et impartition des technologies
de linformation) - Augmentation du nombre dintrus (expérimentaux,
malveillants, locaux et étrangers)
6À quel coût?
- La Computer Emergency Readiness Team (CERT) ,
financée par le Department of Defence des
États-Unis comptabilise les incidents concernant
la cybersécurité - 2002 82 094 incidents (en un an)
- Mars 2007 80 000 incidents (en un mois!)
- Les logiciels malveillants et les virus ont
entraîné des dépenses de 169 milliards US à 204
milliards US pour les entreprises en 2004 - Coûts occasionnés par les pourriels en 2005
États-Unis (17 milliards US) Royaume-Uni (2,5
milliards US) et Canada (1,6 milliard US) - Voir le rapport du British North-American
Committee sur la cyberattaque
http//www.acus.org/docs/071212_Cyber_Attack_Repor
t.pdf
7Exemple?
- En avril 2007, lEstonie a subi pendant trois
semaines des attaques entraînant un refus de
service envers les éléments clés de son
infrastructure le gouvernement, les services
bancaires et les entreprises les plus importantes - En décembre 2007, une banque canadienne a perdu
un disque dur contenant des renseignements
confidentiels concernant495 000 clients au cours
dun transfert de données de Montréal à Toronto
8La décision TJX
- Rapport conjoint du Commissariat à la protection
de la vie privée du Canada et de lAlberta publié
le 25 septembre 2007 concernant lintrusion dans
le réseau de TJX (Winners, HomeSense) touchant
les renseignements personnels denviron 45
millions dutilisateurs de cartes au Canada, aux
États-Unis, à Puerto Rico, au Royaume-Uni et en
Irlande. - Les renseignements personnels consultés lors des
intrusions (qui ont eu lieu de 2002 à 2006)
comprenaient des données des comptes de cartes de
crédit et des données concernant les cartes de
débit (sauf au Canada), ainsi que les numéros
didentification de permis de conduire et autres
numéros didentification provinciaux, noms et
adresses connexes, que TJX avait recueillis dans
le cadre des opérations de retour de marchandise
sans reçu.
9La décision TJX
- Les trois questions clés de ce rapport
- TJX avait-elle un motif raisonnable pour
conserver les renseignements personnels touchés
par la brèche? - TJX conservait-elle les renseignements
conformément à la LPRPDE et à la PIPA? - TJX avait-elle mis en place des mesures de
sécurité raisonnables afin de protéger les
renseignements personnels quelle conservait?
10TJX avait-elle mis en place des mesures de
sécurité raisonnables?
- On détermine le nature délicate des
renseignements personnels en procédant à une
évaluation des préjudices et des risques.
Certains types de renseignements personnels
peuvent plus facilement être utilisés à des fins
préjudiciables ou servir à la fraude que dautres
types de renseignements. Vu la nature des
renseignements personnels auxquels ont eu accès
les pirates, le nombre de personnes touchées et
le temps écoulé avant que ne soit découvert
lintrusion, le préjudice pourrait être très
grave. En outre, en raison de la brèche, des
personnes ont pu vivre des niveaux plus élevés
danxiété. - On a habituellement recours à des exigences
législatives pour établir des normes minimales en
matière de conduite. Le fait que le chiffrement
figure dans la liste des mesures de protection au
principe 4.7.3 de la LPRPDE laisse croire quil
sagit dune mesure de protection bien établie.
Selon nous, le risque dune brèche était
prévisible en raison de la quantité de
renseignements personnels de nature délicate
conservés et du fait que lorganisation ayant
établi les normes de lindustrie avait déterminé
les faiblesses du protocole de chiffrement WEP.
Les renseignements auraient pu être séparés, et
les systèmes, mieux surveillés. Par conséquent,
TJX na pas respecté les dispositions relatives
aux mesures de protection de la LPRPDE et de la
PIPA.
11- Obligations contractuelles et statutaires
12Fondement de la responsabilité légale
- Violation dun contrat
- Obligations de confidentialité
- Obligations contractuelles relatives à la
protection de la vie privée - Obligations contractuelles relatives à la
sécurité - Acceptation contractuelle des risques
- Négligence
- Non respect dune obligation de diligence due à
une personne avec qui lon a un lien spécial - Associés
- Clients
- Fournisseurs
13Fondement de la responsabilité
- Violation des obligations statutaires
- Canada LPRPDE (fédéral), Loi sur la protection
des renseignements personnels dans le secteur
privé (Québec), Personal information protection
Acts (Colombie-Britannique et Alberta) - États-Unis Sarbanes-Oxley, California SB 1386,
Gramm-Leach-Bliley (GLBA) et Health Insurance
Portability and Accountability Act (HIPAA) - Recours collectifs
- Visent tout ce qui précède
- Un petit problème peut devenir important
14LPRPDE 4.7 - Mesures de sécurité
- 4.7 Les renseignements personnels doivent être
protégés au moyen de mesures de sécurité
correspondant à leur degré de sensibilité. - 4.7.1 Les mesures de sécurité doivent protéger
les renseignements personnels contre la perte ou
le vol ainsi que contre la consultation, la
communication, la copie, l'utilisation ou la
modification non autorisées. Les organisations
doivent protéger les renseignements personnels
quelle que soit la forme sous laquelle ils sont
conservés. - 4.7.2 La nature des mesures de sécurité variera
en fonction du degré de sensibilité des
renseignements personnels recueillis, de la
quantité, de la répartition et du format des
renseignements personnels ainsi que des méthodes
de conservation. Les renseignements plus
sensibles devraient être mieux protégés. 4.7.3
Les méthodes de protection devraient comprendre - a) des moyens matériels, par exemple le
verrouillage des classeurs et la restriction de
l'accès aux bureaux - b) des mesures administratives, par exemple des
autorisations sécuritaires et un accès sélectif
et - c) des mesures techniques, par exemple l'usage de
mots de passe et du chiffrement. - 4.7.4 Les organisations doivent sensibiliser
leur personnel à l'importance de protéger le
caractère confidentiel des renseignements
personnels. - 4.7.5 Au moment du retrait ou de la destruction
des renseignements personnels, on doit veiller à
empêcher les personnes non autorisées d'y avoir
accès.
15Gramm-Leach-Bliley
- 6801. Protection of nonpublic personal
information - (a) Privacy obligation policy It is the policy
of the Congress that each financial institution
has an affirmative and continuing obligation to
respect the privacy of its customers and to
protect the security and confidentiality of those
customers nonpublic personal information. - (b) Financial institutions safeguards In
furtherance of the policy in subsection (a) of
this section, each agency or authority described
in section 6805 (a) of this title shall establish
appropriate standards for the financial
institutions subject to their jurisdiction
relating to administrative, technical, and
physical safeguards - (1) to insure the security and confidentiality
of customer records and information - (2) to protect against any anticipated threats
or hazards to the security or integrity of such
records and - (3) to protect against unauthorized access to
or use of such records or information which could
result in substantial harm or inconvenience to
any customer.
16California, SB 1386
- SEC. 2. Section 1798.29 is added to the Civil
Code, to read - 1798.29. (a) Any agency that owns or licenses
computerized data that includes personal
information shall disclose any breach of the
security of the system following discovery or
notification of the breach in the security of the
data to any resident of California whose
unencrypted personal information was, or is
reasonably believed to have been, acquired by an
unauthorized person. The disclosure shall be made
in the most expedient time possible and without
unreasonable delay, consistent with the
legitimate needs of law enforcement, as provided
in subdivision (c), or any measures necessary to
determine the scope of the breach and restore the
reasonable integrity of the data system. - g) For purposes of this section, "notice" may be
provided by one of the following methods (1)
Written notice. (2) Electronic notice, if the
notice provided is consistent with the provisions
regarding electronic records and signatures set
forth in Section 7001 of Title 15 of the United
States Code. (3) Substitute notice, if the agency
demonstrates that the cost of providing notice
would exceed two hundred fifty thousand dollars
(250,000), or that the affected class of subject
persons to be notified exceeds 500,000, or the
agency does not have sufficient contact
information. Substitute notice shall consist of
all of the following (A) E-mail notice when the
agency has an e-mail address for the subject
persons. (B) Conspicuous posting of the notice on
the agency's Web site page, if the agency
maintains one. (C) Notification to major
statewide media.
17Normes de sécurité
- ISO 27002
- BS 7799 la première partie prévoit un aperçu
dune politique en matière de sécurité - BS 7799 la deuxième partie prévoit la
certification - La certification dure trois ans et elle est
contrôlée périodiquement - Lintégrité, la confidentialité et la
disponibilité sont des caractéristiques de la
sécurité de linformation - 11 zones de contrôle
- http//www.iso.org/iso/home.htm
18Vérifications ICCA 5970 et SAS 70 (Type II)
- Des vérifications semblables qui définissent les
normes professionnelles utilisées par les
vérificateurs indépendants pour évaluer
rigoureusement les contrôles internes des
organismes de services. Ces programmes comportent
des exigences précises pour les fournisseurs de
service qui gèrent les données des clients et
mettent un fort accent sur les domaines de
respect, de sécurité et daccès. - La norme ICCA 5970 est une norme canadienne
administrée par lInstitut Canadien des
Comptables Agréés - La norme SAS 70 est essentiellement léquivalent
américain élaboré par lAmerican Institute of
Certified Public Accountants.
19Autres Normes de sécurité
- Information Security Forum (ISF), Standard of
good practice , mise à jour en février 2007 - https//www.isfsecuritystandard.com/SOGP07/index.h
tm - North America Electric Reliability Council (NERC)
p. ex. la norme NERC 1300 - http//www.nerc.com/filez/standards/Cyber-Securit
y-Permanent.html - Control Objectives for Information and related
Technology (COBIT), norme dévéloppée par
Information Systems Audit and Control Association
(ISACA) - Lobtention dune certification peut faciliter
lobtention dune assurance en matière de
cybersécurité
20- Les situations contractuelles
21Les situations contractuelles
- Contrats de vérification de réseau (évaluation de
vulnérabilité) - Contrats de service pour renforcer la sécurité du
réseau existant (coupe-feu, chiffrement) - Contrats de surveillance de réseau et de
détection dintrusion - Impartition du traitement de données, des
services de réseaux, de lhébergement de données
et partage de réseau
22 23Les clauses clés
- La définition des normes des sécurité
- normes et niveau des services
- sécurité matérielle, sécurité logicielle
- chiffrement (coût par rapport au risque)
- normes de lindustrie ou définition
restreinte, détaillée? - droit de modifier les normes (traitement des
ordres de modification) - Clause de confidentialité
- séparation matérielle et logicielle des
renseignements confidentiels - employés visés par une entente de
non-divulgation, accès en fonction de la
nécessité - Clauses de protection des renseignements
personnels - les renseignements confidentiels ne sont pas
assimilables à des renseignements personnels - Droit de vérification
- vérificateur indépendant
- droit daccès aux lieux
- droit denquête en cas dincident de sécurité
- Obligation de collaborer en cas denquête par les
autorités gouvernementales
24Les clauses clés
- Classification des dommages
- dommages directs ou indirects?
- p. ex. perte de données? dommages directs subis
par les clients? manquement aux déclarations et
garanties? - Responsabilité illimitée
- manquement à lobligation de confidentialité et
aux obligations de respect de la vie privée? - le fournisseur de service devrait-il devenir
votre assureur ? - Exclusion de la responsabilité
- dommages indirects
- Limite de responsabilité
- quelle est la répartition indiquée du risque?
- Assurance
- examiner les exclusions prévues dans les polices
en ce qui concerne la cybersécurité, la perte de
données, etc. - couverture des biens incorporels?
25Préjudice occasionné à la cote destime
- Nota lattribution du risque à un tiers
fournisseur de services ne remplace pas la mise
en uvre de pratiques, de politiques, de
contrôles et de formation appropriés à linterne
pour éviter les atteintes à la sécurité et pour
gérer et atténuer les pertes en cas dincident de
sécurité
26 27Vancouver P.O. Box 10424, Pacific CentreSuite
1300, 777 Dunsmuir Street Vancouver
(Colombie-Britannique) V7Y 1K2Tél.
604-643-7100 Téléc. 604-643-7900
Calgary Suite 3300, 421 7th Avenue SWCalgary
(Alberta) T2P 4K9Tél. 403-260-3500 Téléc.
403-260-3501 Toronto Box 48, Suite 4700Toronto
Dominion Bank TowerToronto (Ontario) M5K
1E6Tél. 416-362-1812 Téléc. 416-868-0673
Ottawa The ChambersSuite 1400, 40 Elgin
StreetOttawa (Ontario) K1P 5K6Tél.
613-238-2000 Téléc. 613-563-9386
Montréal Bureau 25001000, rue De La
Gauchetière OuestMontréal (Québec) H3B 0A2Tél.
514-397-4100 Téléc. 514-875-6246
Québec Le Complexe St-Amable1150, rue de
Claire-Fontaine, 7e étageQuébec (Québec) G1R
5G4Tél. 418-521-3000 Téléc. 418-521-3099
Royaume-Uni et Europe 5 Old Bailey, 2e
étageLondres, Angleterre EC4M 7BATél. 44
(0)20 7489 5700 Téléc. 44 (0)20 7489 5777