Voici le premier bulletin d'une série de deux qui passe en revue les directives réglementaires récentes formulées par le Canada et les États-Unis sur les normes en matière de cybersécurité dans le contexte des renseignements personnels sensibles. Dans ce premier volet de l'article, les auteurs présentent le sujet et le cadre réglementaire existant au Canada et aux États-Unis, puis ils passent en revue les principales observations en matière de cybersécurité issues de l'enquête menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la vie privée de l'Australie concernant la violation des données de Avid Life Media Inc.
A. Introduction
Les lois sur la protection des renseignements personnels au Canada, aux États-Unis et ailleurs, tout en imposant des exigences détaillées, notamment en matière de consentement, retombent souvent sur des principes directeurs en définissant des mesures en matière de protection des renseignements personnels ou des obligations sur le plan de la sécurité. Les législateurs se préoccupent du fait qu'en fournissant plus de précision, les lois risquent de se fourvoyer en privilégiant un « choix technologique » qui serait désuet dans l'espace de quelques années, compte tenu de la rapidité de l'évolution des technologies. La seconde préoccupation est une prise de mesures de sécurité convenables susceptible de s'avérer très contextuelle. Néanmoins, si bien fondées que soient ces préoccupations, il en résulte que les organisations qui cherchent dans la loi une orientation sur la façon de transposer ces exigences en matière de protection en de véritables mesures de sécurité trouvent peu de directives claires, voire aucunes sur la façon de procéder.
La Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDÉ ») donne une certaine orientation sur les démarches qui constituent des mesures de protection des renseignements personnels au Canada. Toutefois, la LPRPDÉ énonce simplement que : a) les renseignements personnels devraient être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité; b) la nature des mesures de protection varie en fonction du degré de sensibilité, de la quantité, de la répartition et du format des renseignements et de leurs méthodes de conservation; c) les méthodes de protection devraient comprendre des moyens matériels, organisationnels et techniques; et d) des précautions doivent être prises au moment du retrait ou de la destruction de renseignements personnels.[1] Malheureusement, ce que cette méthode axée sur les principes gagne en clarté, elle perd en souplesse.
Toutefois, le 22 août 2016, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») et le commissaire à la protection de la vie privée de l'Australie (collectivement avec le CPVP, les « commissaires ») ont, dans le rapport qu'ils ont publié (le « Rapport ») dans le cadre de leur enquête conjointe menée à l'endroit de la société Avid Life Media Inc. (« Avid »)[2], apporté des éléments de clarté supplémentaires sur les exigences en matière de protection des renseignements personnels.
Simultanément à la publication du Rapport, la Federal Trade Commission (la « FTC ») des États-Unis, dans l'affaire LabMD, Inc. v. Federal Trade Commission (l'« avis de la FTC »),[3] en date du 29 juillet 2016, a donné ses directives sur ce qui constituent des pratiques « raisonnables et convenables » en matière de sécurité des données, et ce, d'une manière qui non seulement étayait, mais complétait les exigences de protection fondamentales énoncées dans le Rapport.
Enfin, par l'entremise du Rapport et de l'avis de la FTC, les organisations bénéficient d'une orientation raisonnablement détaillée sur les normes de sécurité informatique en droit, soit les mesures qu'une organisation est censée mettre en œuvre afin de prouver qu'elle a mis en place une norme de sécurité convenable et raisonnable en vue de protéger les renseignements personnels.
B. Le rapport issu de l'affaire Ashley Madison
En août 2015, la société Avid a été la cible d'une atteinte à la sécurité des données qui s'est soldée par la communication de renseignements personnels très délicats. Les commissaires ont donc mené une enquête qui a donné lieu à un Rapport. Avid exploitait un certain nombre de sites Web bien connus de rencontres entre adultes, notamment « Ashley Madison », « Cougar Life », « Established Men » et « Man Crunch ». Le principal site Internet, Ashley Madison, s'adressait à des personnes à la recherche d'une aventure en toute confidentialité. Les pirates ont obtenu un accès non autorisé aux systèmes d'Avid et ont rendu publics environ 36 millions de comptes d'utilisateurs. Peu de temps après, les commissaires ont entamé une enquête de leur propre initiative.
L'enquête s'est axée sur le caractère convenable des mesures de protection qu'Avid avait mises en place afin de protéger les renseignements personnels de ses utilisateurs. Le facteur déterminant dans les conclusions du CPVP énoncées dans le Rapport était le caractère très délicat des renseignements personnels qui ont été communiqués lors de l'atteinte à la sécurité des données. Les renseignements communiqués comprenaient les renseignements du profil (notamment l'état des relations, le sexe, la taille, le poids, le type de silhouette, l'origine ethnique, la date de naissance et les préférences sexuelles), les renseignements sur le compte (y compris les adresses de courriel, les questions de sécurité et les mots de passe chiffrés) et les renseignements sur la facturation (le véritable nom des utilisateurs, leur adresse de facturation et les quatre derniers chiffres de leur carte de crédit). La publication de ces données présentait la possibilité d'atteinte à la réputation et les commissaires, dans les faits, ont conclu que dans certains cas, ces données avaient été utilisées dans le cadre de tentatives d'extorsion contre des personnes dont les renseignements avaient été compromis en conséquence de l'atteinte à la sécurité des données.
En fin de compte, le Rapport a démontré qu'Avid n'avait pas mis en œuvre des mesures de sécurité raisonnables et convenables et qu'elle avait, par conséquent, enfreint les Principes 4.1.4 et 4.7 de la LPRPDÉ.[4]
C. L'avis de la FTC
Dans l'avis de la FTC publié le 29 juillet 2016, la FTC a également élaboré une orientation sur ce qui constituent des pratiques « raisonnables et convenables » en matière de sécurité des données.
Aux États-Unis, la loi intitulée Federal Trade Commission Act autorise la FTC à interdire « [TRADUCTION] des méthodes de concurrence déloyales dans le commerce ou touchant celui-ci, et des actes ou pratiques déloyaux ou trompeurs dans le commerce ou touchant celui-ci » si « [TRADUCTION] l'acte ou la pratique cause ou est susceptible de causer un préjudice considérable aux consommateurs, que ces derniers ne peuvent raisonnablement éviter eux-mêmes et qui n'est pas compensé par des avantages pour les consommateurs ou la concurrence ».[5]
Dans l'avis de la FTC, la FTC donne un aperçu utile de la manière dont elle a contesté à maintes reprises les pratiques de sécurité des données « déraisonnables et insuffisantes » aux termes de ce pouvoir axé sur l'iniquité :
« [TRADUCTION] La pierre angulaire de la méthode préconisée par la Commission en matière de sécurité des données est le caractère raisonnable : les mesures prises par une société en matière de sécurité des données doivent être raisonnables et convenables à la lumière du caractère délicat et du volume des renseignements sur les consommateurs qu'elle détient, de la taille et de la complexité de son entreprise et du coût des outils disponibles afin d'améliorer la sécurité et de diminuer les vulnérabilités. ... [L]a Commission a clairement indiqué qu'elle n'exige pas une sécurité parfaite; une sécurité raisonnable et convenable est un processus continu d'évaluation et de traitement des risques; il n'existe aucun programme uniforme de sécurité des données; et le simple fait qu'il y ait eu une atteinte à la sécurité des données ne signifie pas qu'une société a enfreint la loi ».
L'avis de la FTC portait sur l'affaire LabMD, Inc. v. Federal Trade Commission, dans laquelle un employé de LabMD, Inc. (« LabMD ») avait exposé les renseignements personnels en matière d'assurance de 9 300 consommateurs par l'intermédiaire d'un réseau de partage de fichiers pair-à-pair. En l'occurrence, la FTC a décidé que les pratiques en matière de sécurité des données de LabMD n'offraient pas une sécurité raisonnable et convenable à l'égard des renseignements personnels délicats se trouvant sur son réseau informatique et que ce manquement était susceptible de causer un préjudice considérable que les consommateurs n'auraient raisonnablement pas pu éviter, pratiques qui n'étaient pas compensées par des avantages pour les consommateurs ou la concurrence.
D. Perspectives fondamentales sur la sécurité des renseignements personnels
1. Le Rapport : vérification diligente des mesures de protection en matière de sécurité
Dans le Rapport, le CPVP donne une orientation sur le degré de diligence auquel on s'attend d'une organisation lors de la détermination de l'existence de mesures de protection suffisantes en matière de sécurité selon le Principe 4.7 de la LPRPDÉ, notamment :
- Caractère délicat des données : une organisation doit comprendre le caractère délicat des renseignements personnels dont elle fait la cueillette, l'utilisation et la communication, ainsi que le degré correspondant de mesures de protection qui doivent être prises en vertu de la LPRPDÉ;
- Politique en matière de risques d'atteinte à la sécurité : une organisation devrait adopter des processus, des procédures et des systèmes clairs et suffisants afin de traiter les risques d'atteinte à la sécurité des renseignements, appuyés par une expertise suffisante, qu'elle soit interne ou externe;
- Évaluation des mesures de protection : une organisation devrait réaliser une évaluation utile du degré de mesures de protection nécessaire relativement à tous renseignements personnels (c.-à-d., une évaluation qui n'est pas uniquement axée sur le risque de pertes financières pour les personnes concernées en raison d'une fraude ou d'un vol d'identité, mais qui tient compte aussi de leur bien-être physique et social);
- Mise en équilibre des risques : des mesures de protection devraient être adoptées par une organisation en tenant bien compte des risques auxquels elle est confrontée.
Compte tenu de la diligence exposée précédemment, le Rapport donne des indications précises sur les exigences qu'imposerait le CPVP comme mesures de protection convenables en vertu de la LPRPDÉ lorsqu'une organisation recueille, utilise ou communique des renseignements personnels très délicats.
2. Le Rapport : mise en œuvre d'un cadre de gouvernance en matière de sécurité des renseignements
Dans le Rapport, les commissaires ont conclu qu'une organisation qui détient de vastes quantités de renseignements personnels de nature délicate doit aborder la sécurité des renseignements au moyen d'un cadre de gouvernance adéquat et cohérent. Un tel cadre de gouvernance adéquat et cohérent en matière de sécurité des renseignements doit être propre à garantir que les pratiques, systèmes et procédures en matière de sécurité sont compris de façon uniforme et mis en œuvre de manière efficace.
(i) Mesures de protection qu'Avid avait en place
Malgré l'impression générale que les médias avaient peut-être véhiculée, Avid semblait effectivement avoir mis en œuvre un cadre général de sécurité. Selon elle, elle avait implanté les protections de données suivantes au moment de l'atteinte à la sécurité des données :
- Mesures de sécurité matérielles :
- Les serveurs du bureau étaient situés dans une pièce isolée et fermant à clé à laquelle seuls les employés autorisés possédant une carte clé avaient accès.
- Les serveurs de production se trouvaient dans une cage située dans les installations du fournisseur de services d'hébergement d'Avid, et, pour y accéder, il fallait avoir un identificateur biométrique, une carte d'accès, une carte d'identité avec photo et un code de déverrouillage.
- Les mesures de protection du réseau comprenaient notamment la segmentation du réseau, les pare-feux et le chiffrement de toutes les communications entre Avid et ses utilisateurs ainsi que sur le canal par lequel les données de la carte de crédit étaient envoyées à l'organisme tiers chargé du traitement des paiements versés à Avid.
- Tous les accès externes au réseau étaient consignés.
- Tous les accès externes passaient par le réseau VPN, si bien qu'il fallait pour chaque utilisateur une autorisation reposant sur une authentification au moyen d'un « secret partagé ».
- Un logiciel de lutte contre les maliciels et un logiciel antivirus étaient installés.
- Les renseignements particulièrement délicats, plus précisément les nom et adresse véritables des utilisateurs ainsi que les données sur leurs achats étaient chiffrées, et l'accès interne à ces données était consigné et surveillé (tout accès inhabituel par le personnel d'Avid déclenchait une alerte).
- Les mots de passe étaient chiffrés au moyen de l'algorithme BCrypt (certains l'étaient au moyen d'un algorithme utilisé antérieurement).
- Avid avait commencé à dispenser à son personnel une formation générale sur la sécurité et la protection des renseignements personnels quelques mois avant la découverte de l'incident.
- Avid avait embauché un directeur de la sécurité de l'information pour élaborer des politiques et des normes de sécurité par écrit.
- Avid avait mis en place un programme de prime aux bogues au début 2015 et avait examiné les codes avant de modifier les logiciels dans ses systèmes, chaque examen de codes comprenant un processus d'assurance qualité, notamment un examen visant à cerner tout problème lié à la sécurité des codes.
(ii) Mesures de sécurité qu'Avid aurait dû avoir en place
Toutefois, selon le Rapport, le cadre de sécurité d'Avid ne respectait pas la norme d'un cadre « adéquat et cohérent » puisqu'il n'était pas doté : a) de pratiques et de politiques documentées en matière de sécurité des renseignements; b) d'un processus de gestion des risques explicite; et c) d'une formation adéquate afin que tous les employés assument correctement les obligations qui leur incombaient en matière de protection de la vie privée et de la sécurité.
a) Pratiques et politiques documentées en matière de sécurité des renseignements
Le Rapport a observé que le fait d'avoir des pratiques et des politiques documentées en matière de sécurité constituait « une mesure de sécurité organisationnelle de base », puisque de telles politiques explicites A) assurent que les attentes en matière de sécurité sont définies clairement pour en faciliter ainsi l'uniformité, B) contribuent à éviter des lacunes dans les mesures de sécurité, C) envoient des signaux essentiels aux employés concernant l'importance accordée à la sécurité de l'information, et D) compte tenu de leur forme officialisée, facilitaient la mise à jour de ces politiques en fonction de l'évolution du paysage des menaces.
Toutefois, dans le cadre de leur enquête, les commissaires sont parvenus aux conclusions suivantes :
- Même si Avid avait embauché un directeur de la sécurité de l'information afin d'élaborer des politiques et normes de sécurité écrites, celles-ci n'étaient pas en place au moment de l'atteinte à la sécurité des données.
- Les politiques et normes de sécurité non documentées existantes d'Avid ne portaient pas sur les mesures à la fois de prévention et de détection, comme plusieurs contre-mesures de détection couramment utilisées qui pourraient aider à détecter les attaques ou à relever des anomalies indiquant des problèmes de sécurité.
- Certains systèmes de détection et de surveillance étaient en place, qui visaient à détecter les problèmes de performance des systèmes et les demandes inhabituelles des employés. Avid n'avait pas mis en œuvre ce qui suit:
- un système de détection ou de prévention des intrusions;
- un système de gestion de l'information et des incidents de sécurité; ou
- une surveillance préventive de la perte de données.
- Même si le suivi des ouvertures de session dans le réseau VPN se faisait et qu'elles étaient examinées une fois par semaine, les comportements inhabituels lors d'ouvertures de session, susceptibles d'indiquer une intrusion ou une autre activité non autorisée, n'étaient pas surveillés convenablement.
b) Processus de gestion des risques explicite
En ce qui concerne la présence d'un processus de gestion des risques, le Rapport a précisé ce qui suit :
« [TRADUCTION] Une évaluation des risques périodique et documentée constitue en soi une importante mesure de sécurité organisationnelle qui permet à une organisation de choisir des mesures de sécurité appropriées afin d'atténuer les risques cernés et de réévaluer la situation à mesure que le paysage des activités et des menaces évolue. Ce type de processus devrait reposer sur un savoir-faire externe ou interne adéquat correspondant à la nature et au volume des renseignements personnels en main et aux risques à maîtriser. »
Avid prétendait que, malgré l'absence d'un cadre de gestion du risque documenté, son programme de sécurité reposait sur une évaluation des menaces éventuelles. Son cadre de gestion des risques se composait de ce qui suit :
- gestion des correctifs et évaluations trimestrielles de la vulnérabilité (pour se conformer aux normes PCI-DSS);
- un directeur de la sécurité de l'information à temps plein.
Toutefois, les commissaires ont conclu qu'Avid :
- ne disposait d'aucun cadre de gestion des risques documenté « pour l'aider à déterminer les mesures de sécurité qui conviendraient compte tenu des risques auxquels elle était exposée »;
- n'avait pu « fournir aucune preuve qu'elle avait entrepris une quelconque évaluation structurée des menaces globales auxquelles elle était exposée ou qu'elle avait évalué son cadre de sécurité de l'information au moyen de démarches normalisées, comme des vérifications ou des évaluations internes ou externes ».
Par ailleurs, dans le cadre d'une observation qui augmentera assurément le pouls de consultants en sécurité tiers, les commissaires ont semblé critiquer « la pertinence du processus décisionnel [d'Avid] concernant le choix de mesures de sécurité », l'entreprise ayant envisagé, à un certain moment, de faire appel à un spécialiste de la cybersécurité externe pour l'aider à gérer les questions de sécurité, mais ayant finalement décidé de ne pas le faire.
c) Formation adéquate afin de veiller à ce que tous les employés assument correctement les obligations qui leur incombaient en matière de protection de la vie privée et de la sécurité
Le Rapport a également souligné que la formation en bonne et due forme sur les responsabilités en matière de sécurité de l'information et de protection de la vie privée est essentielle dans toutes les organisations, « sauf les plus petites », pour s'assurer que les employés comprennent de façon correcte et uniforme les obligations leur incombant et qu'ils les respectent. Les politiques et les pratiques de sécurité doivent être mises en œuvre de façon appropriée et uniforme et suivies par les employés. Les organisations devraient également offrir cette formation aux entrepreneurs ayant accès à son réseau.
Avid a prétendu que, bien que la plupart des employés n'aient pas reçu de formation officielle, les employés connaissaient les obligations s'appliquant à leurs fonctions.
L'enquête menée par les commissaires, toutefois, est parvenue à la conclusion que, même si cette formation en matière de protection des renseignements personnels avait été donnée aux cadres supérieurs, aux principaux responsables des TI et aux nouveaux employés, environ 75 % des employés d'Avid ne l'avaient pas reçue, et tous les employés ne comprenaient pas de façon correcte et uniforme les obligations leur incombant en matière de sécurité des renseignements ni ne les respectaient.
La FTC a également souligné l'importance de la formation dans l'avis de la FTC, qui a fait mention expresse d'une possibilité accrue d'atteinte à la sécurité des renseignements personnels des consommateurs si les employés n'avaient pas reçu une formation convenable.[6] Plus précisément concernant LabMD, la FTC est parvenue à la conclusion que, même si LabMD avait reconnu la nécessité d'offrir de la formation, elle n'en a dispensé aucune à son personnel, « [TRADUCTION] se fiant plutôt à la formation dont avaient bénéficié [ses] employés dans le cadre de leurs emplois antérieurs ». Ceci a contribué au constat en définitive de la FTC que les pratiques de LabMD en matière de sécurité étaient déraisonnables.
En somme, en l'absence de ces trois éléments essentiels du cadre de gouvernance (c.-à-d. politiques, gestion des risques et formation), les commissaires ont conclu qu'Avid n'avait pas été en mesure d'évaluer le caractère convenable de sa sécurité des renseignements, ce qui avait fait en sorte que certaines mesures de sécurité soient insuffisantes ou manquantes au moment de l'atteinte à la sécurité des données.
3. Le Rapport : Authentification multifactorielle et pratiques solides de gestion des clés et des mots de passe
Dans le cadre de leur examen de ces manquements sur le plan des politiques, de la gestion des risques et de la formation – qui, collectivement, ont entraîné le manquement de la part d'Avid de mettre en œuvre un cadre de gouvernance adéquat et cohérent, les commissaires ont également mis l'accent sur deux exigences précises concernant l'authentification et les pratiques de gestion des clés et des mots de passe.
D'abord, les commissaires ont souligné l'importance d'une authentification multifactorielle, soit une pratique industrielle couramment recommandée pour contrôler l'accès de l'administrateur à distance. La pratique exige qu'au moins deux des facteurs suivants soient fournis afin d'accorder l'accès aux systèmes d'une organisation : quelque chose que l'utilisateur sait (connaissance), quelque chose que l'utilisateur possède (possession), et quelque chose que l'utilisateur est (inhérence).
L'absence d'authentification multifactorielle a été cernée dans le Rapport comme constituant une préoccupation importante et comme ayant été, en partie, la cause de l'omission d'Avid de prévoir des mesures de sécurité convenables et raisonnables en matière de protection des renseignements personnels. Avid exigeait trois éléments d'information – un nom d'utilisateur, un mot de passe et un secret partagé VPN – afin d'accéder à distance à ses systèmes; toutefois, chacun de ces éléments d'information ne prévoyait qu'un seul facteur d'authentification : quelque chose que l'utilisateur sait. Avid aurait pu avoir recours à des données biométriques, comme une empreinte digitale (quelque chose que l'utilisateur est), ou, encore plus facilement, à une clé matérielle ou un appareil de connexion, comme une clé RSA sur l'appareil mobile de l'utilisateur (quelque chose que l'utilisateur possède), afin de mettre en œuvre une authentification multifactorielle en bonne et due forme.
Deuxièmement, les commissaires ont mis l'accent sur la nécessité de mettre en place de solides pratiques de gestions des clés et mots de passe, par exemple :
- pas de stockage de la documentation d'authentification sur des lecteurs réseau partagés,
- veiller à ce que les systèmes internes ayant accès aux fonctions administratives soient en soi suffisamment protégés,
dans des situations où une organisation recueille, utilise ou communique des renseignements personnels très délicats.
En plus du constat qu'Avid avait à tort partagé un seul secret partagé VPN entre tous les utilisateurs aux fins d'obtenir un accès à ses systèmes, les commissaires ont jugé que : a) des mots de passe et clés de chiffrement avaient été stockés en texte clair et nettement identifiable dans des courriels et des fichiers textes sur les systèmes des employés et b) qu'un serveur d'Avid avait une clé SSH non protégée au moyen d'un mot de passe, qui aurait pu éventuellement permettre à un intrus de se brancher à d'autres serveurs sans avoir à fournir un mot de passe. Le Rapport est parvenu à la conclusion, en s'étayant sur ces problèmes, qu'Avid n'avait pas mis en œuvre des pratiques de gestion des clés et mots de passe convenables et raisonnables.
En somme, le Rapport apporte une orientation utile quant aux éléments obligatoires d'un cadre de gouvernance de la sécurité et il met en lumière l'importance de la mise en place de pratiques robustes d'authentification et de gestion des clés et des mots de passe.
E. Conclusion
Le rapport livre des renseignements précieux sur les exigences requises pour que les mesures en matière de sécurité et de protection de la vie privée d'une organisation canadienne soient jugées raisonnables et appropriées en ce qui a trait à la cueillette, à l'utilisation ou à la divulgation des renseignements personnels sensibles.
Dans le second bulletin, nous passerons en revue les directives formulées par la FTC dans l'avis qu'elle a publié, et nous conclurons sur les mesures en matière de sécurité et de protection de la vie privée jugées raisonnables et appropriées par les organismes de réglementation canadiens et américains en ce qui a trait à la cueillette, à l'utilisation ou à la divulgation des renseignements personnels sensibles.
[1] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5.
[2] Rapport de conclusions d'enquête en vertu de la LPRPDE no 2016-005 - Enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l'information par intérim de l'Australie.
[3] LabMD, Inc. v. Federal Trade Commission, (11th Cir. Sept. 29, 2016).
[4] Ainsi que les articles 1.2 et 11.1 de la loi intitulée Privacy Act 1988 (Cth) de l'Australie.
[5] 15 U.S.C. § 45(a) et 45(n).
[6] Dans l'avis de la FTC, celle-ci a fait mention, à titre d'exemple, du règlement appelé Security Rule de la loi intitulée Health Insurance Portability and Accountability Act of 1996, lequel règlement exige que les entités visées « [TRADUCTION] mettent en œuvre un programme de formation et de sensibilisation en matière de sécurité pour tous les membres de [l']effectif (y compris la direction) ».
