Insights Header image
Insights Header image
Insights Header image

Leçons tirées de l’attaque par rançongiciel de la TTC

Le 23 avril 2024 Bulletin sur la protection de la vie privée et des données Lecture de 6 min

Les politiques en matière de cybersécurité ne sont efficaces que si les systèmes en place permettent de les suivre. La récente enquête du commissaire à l’information et à la protection de la vie privée de l’Ontario (« CIPVP ») sur l’efficacité des mesures de cybersécurité prises par la Toronto Transit Commission (« TTC ») pour prévenir une cyberattaque souligne ce point[1].

Ce bulletin passe en revue les conclusions et recommandations principales du CIPVP concernant les pratiques de la TTC en matière de cybersécurité et réponse aux incidents.

Contexte : L’attaque par rançongiciel et la réponse de la TTC

À la fin de 2021, la TTC a subi une attaque de ses systèmes de TI par rançongiciel. Un acteur de menace a envoyé un courriel à un employé de la TTC à partir de l’adresse courriel d’un tiers de confiance, dont les systèmes avaient été compromis par ce même acteur. L’employé a cliqué sur un lien malveillant dans le courriel, ce qui a permis à l’auteur de menace d’infiltrer les systèmes de la TTC. L’auteur de menace a ensuite exploité une vulnérabilité en matière de sécurité et utilisé des logiciels malveillants pour chiffrer et transférer des données, y compris des renseignements personnels. La TTC a été en mesure de détecter la violation et a mis en œuvre ses protocoles de sécurité des TI pour atténuer la menace.

Bien que l’entreprise ait réussi à restaurer la plupart de ses systèmes à partir de copies de sauvegarde, l’incident a entraîné le vol de renseignements personnels de milliers d’employés, anciens et actuels. Les types de renseignements personnels confirmés comme ayant été affectés par l’incident comprennent les noms, les informations de contact, les antécédents professionnels et les conditions médicales. Dans le cas d’un petit nombre de dossiers, les données pouvaient aussi inclure des renseignements sensibles comme les antécédents criminels, les renseignements sur l’immigration, les renseignements financiers et les numéros d’assurance sociale. La TTC a également noté qu’un petit échantillon de ses fichiers pourrait avoir été publié brièvement sur le web clandestin.

La TTC a publié un avis public au début de l’incident et a par la suite donné un avis privé à toutes les personnes potentiellement touchées par l’incident en leur offrant une surveillance du crédit.

Enquête et conclusions du CIPVP

L’enquête du CIPVP a porté sur les deux questions suivantes : 1) la TTC disposait-elle de mesures raisonnables, documentées et en place pour empêcher l’accès non autorisé aux renseignements personnels contenus dans ses systèmes, conformément à la Loi sur l’accès à l’information municipale et la protection de la vie privée[2]; et 2) la TTC a-t-elle réagi adéquatement à la violation.

Conclusion no 1 : La TTC ne disposait pas de mesures de sécurité raisonnables

Le CIPVP a constaté que la TTC n’avait pas mis en place de mesures de sécurité raisonnables pour empêcher l’accès non autorisé aux renseignements personnels contenus dans ses systèmes. Plus particulièrement, il a été conclu que la TTC n’avait pas mis en œuvre un correctif de sécurité disponible, bien connu de tous et disponible au moment de l’incident. Ce défaut était contraire aux politiques internes de la TTC concernant les correctifs de sécurité, ces politiques exigeant que ces derniers soient déployés dans les 72 heures.

Notamment, le CIPVP n’a pas blâmé la TTC concernant l’employé qui a cliqué sur le lien malveillant dans le courriel. Un mois avant l’incident, l’employé avait suivi une formation obligatoire sur la cybersécurité, qui portait sur l’hameçonnage et les signaux d’alarme communs applicables aux courriels. Le CIPVP a souligné que cette attaque d’hameçonnage était pernicieuse et difficile à repérer, car elle provenait d’une tierce partie de confiance dont le système était compromis. Cela étant dit, pour respecter rigoureusement les pratiques exemplaires du CIPVP, l’employé aurait dû vérifier l’adresse URL de l’hyperlien avant de cliquer sur ce dernier, ce qui aurait pu éviter l’incident.

Conclusion 2 : La procédure de réponse à la violation de la TTC était suffisante

Le CIPVP était généralement satisfait de la réponse de la TTC à la violation. La TTC a réagi rapidement pour identifier l’attaque, bloquer l’accès des employés aux appareils de la TTC et balayer et nettoyer ses appareils par ordre de priorité. L’entreprise a rapidement eu recours à des enquêteurs judiciaires dans le cadre de ses protocoles de sécurité pour enquêter davantage sur la violation.

Pour ce qui est de la notification, la TTC a envoyé de multiples vagues d’avis aux employés, y compris des lettres aux employés touchés indiquant les renseignements qui avaient été touchés par l’attaque.

En ce qui concerne les mesures correctives, la TTC a fait appel à des experts en technologies de l’information de premier plan pour l’aider à restaurer ses systèmes. L’entreprise s’est procuré des tests de pénétration et des évaluations de la vulnérabilité. Elle a également élaboré de nouvelles politiques et mis à jour sa norme de correctifs afin d’énoncer clairement les étapes requises pour identifier, mettre en œuvre et tester les correctifs de sécurité requis. Une nouvelle politique de gestion de la vulnérabilité fournit des indications plus claires sur la responsabilité de corriger le réseau de la TTC.

La seule lacune que le CIPVP a constatée dans les mesures correctives prises par la TTC, par rapport aux orientations que le CIPVP a établies, est l’absence de protocoles de chiffrement pour les renseignements personnels stockés sur les systèmes de la TTC. Le CIPVP a recommandé à la TTC de mettre en place un système de chiffrement par défaut sur tous les documents, appareils et bases de données contenant des renseignements personnels.

À retenir

Cette décision couvre plusieurs aspects importants pour les organisations de tous types. Nous avons divisé ces leçons en deux catégories : celles touchant la sécurité des données et celles touchant la réponse à un incident.

Leçons à retenir pour la sécurité des données

Responsabilité, responsabilité, responsabilité : Bien que les politiques soient importantes, pour être efficaces, elles doivent être soigneusement mises en œuvre. Pour assurer l’application efficace de leurs politiques, les organisations doivent préciser clairement quels membres de l’équipe sont responsables de quelles mesures à prendre et dans quels délais prévus. Dans le cas de la TTC, les normes de la TTC en matière de correctifs auraient permis d’éviter l’incident, mais elles n’ont pas été mises en œuvre efficacement.

  1. Il est essentiel de former les employés régulièrement : Même avec une formation en cybersécurité bien en place, les employés peuvent encore être victimes d’attaques sophistiquées d’hameçonnage. Des programmes continus de formation et de sensibilisation sont nécessaires pour aider les employés à reconnaître les menaces à la sécurité et à y réagir efficacement.
  2. Gestion des correctifs : Il est essentiel de disposer d’une politique et d’une procédure solides en matière de gestion des correctifs. L’omission de mettre en œuvre les correctifs de sécurité disponibles, surtout pour les vulnérabilités connues, peut rendre les systèmes vulnérables aux attaques et exposer les entreprises à une responsabilité potentielle.
  3. Chiffrement : Évaluez la nécessité de protocoles de chiffrement, surtout pour les renseignements personnels sensibles. Adoptez le chiffrement par défaut de tous les documents contenant des renseignements personnels peut fournir une protection supplémentaire contre l’accès non autorisé.
  4. Apprendre des indications réglementaires : Portez attention aux indications et aux recommandations réglementaires, comme celles fournies par le CIPVP ou les autres organismes de réglementation de la protection des renseignements personnels au Canada. Les pratiques en matière de cybersécurité devraient être examinées et mises à jour régulièrement afin de s’assurer qu’elles sont conformes aux normes établies, de démontrer la conformité et de réduire les risques juridiques.

Leçons à retenir concernant la réponse à un incident

  1. Le délai de réponse est important : Il est essentiel de détecter rapidement les incidents de sécurité et d’intervenir rapidement. Il est important d’établir des protocoles et des procédures clairs pour identifier, contenir et atténuer l’incidence des violations afin de réduire au minimum les dommages et d’empêcher tout autre compromis.
  2. Faire appel à des experts judiciaires : Selon la gravité de l’incident de sécurité, il peut être nécessaire de faire appel à des enquêteurs judiciaires pour effectuer une analyse approfondie. Leur expertise peut contribuer à découvrir l’ampleur de la violation, à cerner les vulnérabilités et à recommander des améliorations.
  3. Communication efficace : Les organismes de réglementation de la protection des renseignements personnels encouragent la communication ouverte et transparente en temps opportun avec les parties concernées.

La cybersécurité est un processus continu qui nécessite une amélioration et une adaptation continues. Les organisations doivent évaluer régulièrement leur position en matière de sécurité, cerner les points à améliorer et mettre en œuvre des mesures pour faire face aux menaces et aux vulnérabilités émergentes.

Des membres de l’équipe de protection de la vie privée et des données de McMillan sont disponibles pour aider les entreprises à harmoniser leurs stratégies, politiques et procédures en matière de sécurité des données et de réponse aux violations avec les normes juridiques et réglementaires.

[1] Ontario Information and Privacy Commissioner, Privacy Complaint MR21-00114 (5 avril 2024), disponible ici (en anglais). Cette enquête a été menée conformément à la loi ontarienne sur la protection des renseignements personnels, la Loi sur l’accès à l’information municipale et la protection de la vie privée, LRO 1990, c M.56.[LAIMPVP]
[2] Dispositions générales de la LAIMPVP, R.R.O. 1990, Règl 823, article 3 (3).

par Mitch Koczerginski et Robbie Grant

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s.r.l., 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)

Déchiffrer le projet de loi 194 de l’Ontario : Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. Modifications principales et stratégies de conformité expliquées en détail.

Lire plus
24 Mai, 2024
Featured Insight

Comprendre le cadre des services bancaires pour les gens : perspectives clés de la loi no 1 d’exécution du budget de 2024

Le 30 avril, le gouvernement fédéral a présenté la Loi no 1 d’exécution du budget 2024, qui fournit le cadre législatif du système bancaire ouvert au Canada.

Lire plus
16 Mai, 2024
Featured Insight

Expiration des restrictions imposées aux étudiants étrangers pour le travail hors campus : lignes directrices pour les employeurs

La dérogation temporaire accordée par le gouvernement du Canada dans le but de permettre aux étudiants étrangers de travailler plus de 20 heures par semaine a pris fin le 30 avril 2024.

Lire plus
16 Mai, 2024
Featured Insight

L’évaluation des risques juridiques : un outil essentiel de gestion des risques

Nous pouvons affirmer que la meilleure façon de régler les questions juridiques qui se posent dans toute entreprise est de concentrer les efforts sur leur détermination et leur résolution avant qu’elles ne deviennent des problèmes juridiques.

Lire plus
17 Mai, 2024
Featured Insight

Comprendre les limites du privilège juridique à la suite d’une cyberattaque : enseignements tirés de la violation des données de Lifelabs

Dans l’affaire LifeLabs LP v. Information and Privacy Commr (Ontario), la Cour a clarifié la portée limitée du privilège juridique dans le contexte des atteintes à la protection des données.

Lire plus
10 Mai, 2024