Les contrats de services relis la scurit informatique: viter les piges Confrence Insight : Scurit in

1
Les contrats de services reliés à la sécurité
informatique éviter les piègesConférence
Insight Sécurité informatiqueLes 14 et 15
janvier 2008Me Charles Morgan
2
Présentation

• Profil de risque sécurité informatique
• Obligations contractuelles et statutaires
• Les situations contractuelles
• Les clauses clés

3

• Profil de risque sécurité informatique

4
Profil de risque sécurité informatique

• Modalités de travail non traditionnelles
• Pénurie demployés compétents dans le domaine des
  technologies de linformation
• Transition dune conservation des documents
  papier à une conservation sous forme électronique
  des documents
• Transition des ordinateurs centraux (main frame)
  à larchitecture ouverte
• Augmentation de la présence sur le Web
  augmentation de la largeur de bande

5
Profil de risque sécurité informatique

• Monoculture du système dexploitation de
  Microsoft
• Augmentation fulgurante des communications par
  courriel/Internet
• Augmentation de lutilisation des services
  fournis par des tiers et/ou dépendance envers des
  fournisseurs de service (hébergement de données,
  traitement, IPA et impartition des technologies
  de linformation)
• Augmentation du nombre dintrus (expérimentaux,
  malveillants, locaux et étrangers)

6
À quel coût?

• La Computer Emergency Readiness Team (CERT) ,
  financée par le Department of Defence des
  États-Unis comptabilise les incidents concernant
  la cybersécurité
• 2002 82 094 incidents (en un an)
• Mars 2007 80 000 incidents (en un mois!)
• Les logiciels malveillants et les virus ont
  entraîné des dépenses de 169 milliards US à 204
  milliards US pour les entreprises en 2004
• Coûts occasionnés par les pourriels en 2005
  États-Unis (17 milliards US) Royaume-Uni (2,5
  milliards US) et Canada (1,6 milliard US)
• Voir le rapport du British North-American
  Committee sur la cyberattaque
  http//www.acus.org/docs/071212_Cyber_Attack_Repor
  t.pdf

7
Exemple?

• En avril 2007, lEstonie a subi pendant trois
  semaines des attaques entraînant un refus de
  service envers les éléments clés de son
  infrastructure le gouvernement, les services
  bancaires et les entreprises les plus importantes
• En décembre 2007, une banque canadienne a perdu
  un disque dur contenant des renseignements
  confidentiels concernant495 000 clients au cours
  dun transfert de données de Montréal à Toronto

8
La décision TJX

• Rapport conjoint du Commissariat à la protection
  de la vie privée du Canada et de lAlberta publié
  le 25 septembre 2007 concernant lintrusion dans
  le réseau de TJX (Winners, HomeSense) touchant
  les renseignements personnels denviron 45
  millions dutilisateurs de cartes au Canada, aux
  États-Unis, à Puerto Rico, au Royaume-Uni et en
  Irlande.
• Les renseignements personnels consultés lors des
  intrusions (qui ont eu lieu de 2002 à 2006)
  comprenaient des données des comptes de cartes de
  crédit et des données concernant les cartes de
  débit (sauf au Canada), ainsi que les numéros
  didentification de permis de conduire et autres
  numéros didentification provinciaux, noms et
  adresses connexes, que TJX avait recueillis dans
  le cadre des opérations de retour de marchandise
  sans reçu.

9
La décision TJX

• Les trois questions clés de ce rapport
• TJX avait-elle un motif raisonnable pour
  conserver les renseignements personnels touchés
  par la brèche?
• TJX conservait-elle les renseignements
  conformément à la LPRPDE et à la PIPA?
• TJX avait-elle mis en place des mesures de
  sécurité raisonnables afin de protéger les
  renseignements personnels quelle conservait?

10
TJX avait-elle mis en place des mesures de
sécurité raisonnables?

• On détermine le nature délicate des
  renseignements personnels en procédant à une
  évaluation des préjudices et des risques.
  Certains types de renseignements personnels
  peuvent plus facilement être utilisés à des fins
  préjudiciables ou servir à la fraude que dautres
  types de renseignements. Vu la nature des
  renseignements personnels auxquels ont eu accès
  les pirates, le nombre de personnes touchées et
  le temps écoulé avant que ne soit découvert
  lintrusion, le préjudice pourrait être très
  grave. En outre, en raison de la brèche, des
  personnes ont pu vivre des niveaux plus élevés
  danxiété.
• On a habituellement recours à des exigences
  législatives pour établir des normes minimales en
  matière de conduite. Le fait que le chiffrement
  figure dans la liste des mesures de protection au
  principe 4.7.3 de la LPRPDE laisse croire quil
  sagit dune mesure de protection bien établie.
  Selon nous, le risque dune brèche était
  prévisible en raison de la quantité de
  renseignements personnels de nature délicate
  conservés et du fait que lorganisation ayant
  établi les normes de lindustrie avait déterminé
  les faiblesses du protocole de chiffrement WEP.
  Les renseignements auraient pu être séparés, et
  les systèmes, mieux surveillés. Par conséquent,
  TJX na pas respecté les dispositions relatives
  aux mesures de protection de la LPRPDE et de la
  PIPA.

11

• Obligations contractuelles et statutaires

12
Fondement de la responsabilité légale

• Violation dun contrat
• Obligations de confidentialité
• Obligations contractuelles relatives à la
  protection de la vie privée
• Obligations contractuelles relatives à la
  sécurité
• Acceptation contractuelle des risques
• Négligence
• Non respect dune obligation de diligence due à
  une personne avec qui lon a un lien spécial
• Associés
• Clients
• Fournisseurs

13
Fondement de la responsabilité

• Violation des obligations statutaires
• Canada LPRPDE (fédéral), Loi sur la protection
  des renseignements personnels dans le secteur
  privé (Québec), Personal information protection
  Acts (Colombie-Britannique et Alberta)
• États-Unis Sarbanes-Oxley, California SB 1386,
  Gramm-Leach-Bliley (GLBA) et Health Insurance
  Portability and Accountability Act (HIPAA)
• Recours collectifs
• Visent tout ce qui précède
• Un petit problème peut devenir important

14
LPRPDE 4.7 - Mesures de sécurité

• 4.7 Les renseignements personnels doivent être
  protégés au moyen de mesures de sécurité
  correspondant à leur degré de sensibilité.
• 4.7.1 Les mesures de sécurité doivent protéger
  les renseignements personnels contre la perte ou
  le vol ainsi que contre la consultation, la
  communication, la copie, l'utilisation ou la
  modification non autorisées. Les organisations
  doivent protéger les renseignements personnels
  quelle que soit la forme sous laquelle ils sont
  conservés.
• 4.7.2 La nature des mesures de sécurité variera
  en fonction du degré de sensibilité des
  renseignements personnels recueillis, de la
  quantité, de la répartition et du format des
  renseignements personnels ainsi que des méthodes
  de conservation. Les renseignements plus
  sensibles devraient être mieux protégés. 4.7.3
  Les méthodes de protection devraient comprendre
• a) des moyens matériels, par exemple le
  verrouillage des classeurs et la restriction de
  l'accès aux bureaux
• b) des mesures administratives, par exemple des
  autorisations sécuritaires et un accès sélectif
  et
• c) des mesures techniques, par exemple l'usage de
  mots de passe et du chiffrement.
• 4.7.4 Les organisations doivent sensibiliser
  leur personnel à l'importance de protéger le
  caractère confidentiel des renseignements
  personnels.
• 4.7.5 Au moment du retrait ou de la destruction
  des renseignements personnels, on doit veiller à
  empêcher les personnes non autorisées d'y avoir
  accès.

15
Gramm-Leach-Bliley

•  6801. Protection of nonpublic personal
  information
• (a) Privacy obligation policy It is the policy
  of the Congress that each financial institution
  has an affirmative and continuing obligation to
  respect the privacy of its customers and to
  protect the security and confidentiality of those
  customers nonpublic personal information.
• (b) Financial institutions safeguards In
  furtherance of the policy in subsection (a) of
  this section, each agency or authority described
  in section 6805 (a) of this title shall establish
  appropriate standards for the financial
  institutions subject to their jurisdiction
  relating to administrative, technical, and
  physical safeguards
• (1) to insure the security and confidentiality
  of customer records and information
• (2) to protect against any anticipated threats
  or hazards to the security or integrity of such
  records and
• (3) to protect against unauthorized access to
  or use of such records or information which could
  result in substantial harm or inconvenience to
  any customer.

16
California, SB 1386

• SEC. 2. Section 1798.29 is added to the Civil
  Code, to read
• 1798.29. (a) Any agency that owns or licenses
  computerized data that includes personal
  information shall disclose any breach of the
  security of the system following discovery or
  notification of the breach in the security of the
  data to any resident of California whose
  unencrypted personal information was, or is
  reasonably believed to have been, acquired by an
  unauthorized person. The disclosure shall be made
  in the most expedient time possible and without
  unreasonable delay, consistent with the
  legitimate needs of law enforcement, as provided
  in subdivision (c), or any measures necessary to
  determine the scope of the breach and restore the
  reasonable integrity of the data system.
• g) For purposes of this section, "notice" may be
  provided by one of the following methods (1)
  Written notice. (2) Electronic notice, if the
  notice provided is consistent with the provisions
  regarding electronic records and signatures set
  forth in Section 7001 of Title 15 of the United
  States Code. (3) Substitute notice, if the agency
  demonstrates that the cost of providing notice
  would exceed two hundred fifty thousand dollars
  (250,000), or that the affected class of subject
  persons to be notified exceeds 500,000, or the
  agency does not have sufficient contact
  information. Substitute notice shall consist of
  all of the following (A) E-mail notice when the
  agency has an e-mail address for the subject
  persons. (B) Conspicuous posting of the notice on
  the agency's Web site page, if the agency
  maintains one. (C) Notification to major
  statewide media.

17
Normes de sécurité

• ISO 27002
• BS 7799 la première partie prévoit un aperçu
  dune politique en matière de sécurité
• BS 7799 la deuxième partie prévoit la
  certification
• La certification dure trois ans et elle est
  contrôlée périodiquement
• Lintégrité, la confidentialité et la
  disponibilité sont des caractéristiques de la
  sécurité de linformation
• 11 zones de contrôle
• http//www.iso.org/iso/home.htm

18
Vérifications ICCA 5970 et SAS 70 (Type II)

• Des vérifications semblables qui définissent les
  normes professionnelles utilisées par les
  vérificateurs indépendants pour évaluer
  rigoureusement les contrôles internes des
  organismes de services. Ces programmes comportent
  des exigences précises pour les fournisseurs de
  service qui gèrent les données des clients et
  mettent un fort accent sur les domaines de
  respect, de sécurité et daccès.
• La norme ICCA 5970 est une norme canadienne
  administrée par lInstitut Canadien des
  Comptables Agréés
• La norme SAS 70 est essentiellement léquivalent
  américain élaboré par lAmerican Institute of
  Certified Public Accountants.

19
Autres Normes de sécurité

• Information Security Forum (ISF), Standard of
  good practice , mise à jour en février 2007
• https//www.isfsecuritystandard.com/SOGP07/index.h
  tm
• North America Electric Reliability Council (NERC)
  p. ex. la norme NERC 1300
• http//www.nerc.com/filez/standards/Cyber-Securit
  y-Permanent.html
• Control Objectives for Information and related
  Technology (COBIT), norme dévéloppée par
  Information Systems Audit and Control Association
  (ISACA)
• Lobtention dune certification peut faciliter
  lobtention dune assurance en matière de
  cybersécurité

20

• Les situations contractuelles

21
Les situations contractuelles

• Contrats de vérification de réseau (évaluation de
  vulnérabilité)
• Contrats de service pour renforcer la sécurité du
  réseau existant (coupe-feu, chiffrement)
• Contrats de surveillance de réseau et de
  détection dintrusion
• Impartition du traitement de données, des
  services de réseaux, de lhébergement de données
  et partage de réseau

22

• Les clauses clés

23
Les clauses clés

• La définition des normes des sécurité
• normes et niveau des services
• sécurité matérielle, sécurité logicielle
• chiffrement (coût par rapport au risque)
• normes de lindustrie ou définition
  restreinte, détaillée?
• droit de modifier les normes (traitement des
  ordres de modification)
• Clause de confidentialité
• séparation matérielle et logicielle des
  renseignements confidentiels
• employés visés par une entente de
  non-divulgation, accès en fonction de la
  nécessité
• Clauses de protection des renseignements
  personnels
• les renseignements confidentiels ne sont pas
  assimilables à des renseignements personnels
• Droit de vérification
• vérificateur indépendant
• droit daccès aux lieux
• droit denquête en cas dincident de sécurité
• Obligation de collaborer en cas denquête par les
  autorités gouvernementales

24
Les clauses clés

• Classification des dommages
• dommages directs ou indirects?
• p. ex. perte de données? dommages directs subis
  par les clients? manquement aux déclarations et
  garanties?
• Responsabilité illimitée
• manquement à lobligation de confidentialité et
  aux obligations de respect de la vie privée?
• le fournisseur de service devrait-il devenir
  votre assureur ?
• Exclusion de la responsabilité
• dommages indirects
• Limite de responsabilité
• quelle est la répartition indiquée du risque?
• Assurance
• examiner les exclusions prévues dans les polices
  en ce qui concerne la cybersécurité, la perte de
  données, etc.
• couverture des biens incorporels?

25
Préjudice occasionné à la cote destime

• Nota lattribution du risque à un tiers
  fournisseur de services ne remplace pas la mise
  en uvre de pratiques, de politiques, de
  contrôles et de formation appropriés à linterne
  pour éviter les atteintes à la sécurité et pour
  gérer et atténuer les pertes en cas dincident de
  sécurité

26

• Merci

27
Vancouver P.O. Box 10424, Pacific CentreSuite
1300, 777 Dunsmuir Street Vancouver
(Colombie-Britannique) V7Y 1K2Tél.
604-643-7100 Téléc. 604-643-7900
Calgary Suite 3300, 421 7th Avenue SWCalgary
(Alberta) T2P 4K9Tél. 403-260-3500 Téléc.
403-260-3501 Toronto Box 48, Suite 4700Toronto
Dominion Bank TowerToronto (Ontario) M5K
1E6Tél. 416-362-1812 Téléc. 416-868-0673
Ottawa The ChambersSuite 1400, 40 Elgin
StreetOttawa (Ontario) K1P 5K6Tél.
613-238-2000 Téléc. 613-563-9386
Montréal Bureau 25001000, rue De La
Gauchetière OuestMontréal (Québec) H3B 0A2Tél.
514-397-4100 Téléc. 514-875-6246
Québec Le Complexe St-Amable1150, rue de
Claire-Fontaine, 7e étageQuébec (Québec) G1R
5G4Tél. 418-521-3000 Téléc. 418-521-3099
Royaume-Uni et Europe 5 Old Bailey, 2e
étageLondres, Angleterre EC4M 7BATél. 44
(0)20 7489 5700 Téléc. 44 (0)20 7489 5777