Le 19 juillet 2024, CrowdStrike – considérée comme un fournisseur mondial de premier plan dans le secteur de la cybersécurité – a lancé la mise à jour de l’un de ses produits de sécurité. Cette mise à jour défectueuse a causé une panne informatique[1] qui a été décrite comme la plus importante de l’histoire[2]. En réponse à cet événement sans précédent, l’équipe des technologies de l’information de Fasken publie une série de bulletins expliquant comment les organisations peuvent gérer les risques juridiques liés aux pannes informatiques.
Les lignes directrices réglementaires et les normes sectorielles proposent des approches structurées pour contrer les risques courants ainsi que des points de référence utiles (et, dans certains cas, obligatoires) pour gérer et atténuer ces risques. En respectant les lignes directrices établies et en mettant en œuvre des cadres communs, les fournisseurs de services et les clients peuvent harmoniser leurs attentes à l’égard des normes contractuelles souhaitables et/ou nécessaires, ainsi qu’améliorer les stratégies de gestion des risques, accroître l’efficience opérationnelle, se protéger contre la responsabilité réglementaire et commerciale et faire de la conformité un avantage concurrentiel.
Recourir aux exigences et aux lignes directrices réglementaires pour atténuer les risques
Les organismes de réglementation sectoriels mettent de plus en plus l’accent sur les pratiques des organisations en matière de TI et de données en raison de l’importance croissante de la sécurité des données et de l’expansion rapide des vecteurs de cybermenaces.
Le secteur des services financiers est un bon exemple d’un secteur clé dans lequel les organismes de réglementation fournissent activement des directives sur la gestion des risques informatiques et surveillent de près les organisations qui ne s’y conforment pas.
Par exemple, le Bureau du surintendant des institutions financières (le « BSIF ») a établi diverses lignes directrices, soit la Ligne directrice B-10 (Gestion du risque lié aux tiers) et la Ligne directrice B-13 (Gestion du risque lié aux technologies et du cyberrisque), qui, entre autres, énoncent les attentes quant à la façon dont les institutions financières fédérales (les « IFF ») devraient cerner et gérer les risques liés aux technologies de l’information et les cyberrisques.
Un des éléments de la Ligne directrice B-10 est particulièrement intéressant compte tenu de l’incident CrowdStrike : l’obligation d’évaluer le risque de concentration. Le risque de concentration est un risque multimodal qui existe à la fois au niveau institutionnel et au niveau du système. Le risque de concentration propre à l’institution s’entend du risque de perte ou de préjudice pour l’IFF résultant du recours excessif à un seul fournisseur, sous‑traitant ou territoire pour de multiples activités. Le risque de concentration systémique, quant à lui, découle du fait de concentrer la prestation de services à plusieurs IFF sur un fournisseur ou un territoire.
La panne de CrowdStrike met en lumière l’importance du risque de concentration propre à l’institution et, dans une moindre mesure, du risque de concentration systémique. Premièrement, les IFF qui dépendaient grandement ou entièrement de CrowdStrike pour assurer la protection des terminaux de l’ensemble de leurs unités et de leurs établissements auraient subi des dommages plus importants par suite d’un incident lié aux services de CrowdStrike. La Ligne directrice B-10 recommande d’établir « des mesures raisonnables pour évaluer le risque de concentration sur plusieurs dimensions, notamment celles qui concernent le fournisseur et les sous-traitants ainsi que la région d’où ils offrent leurs services », ce qui aurait constitué un conseil judicieux pour les organisations qui dépendaient dans une trop large mesure de CrowdStrike pour la protection des terminaux de leurs systèmes. Cela nous ramène au risque de concentration propre à l’institution que les organisations pourraient contrer en diversifiant les fournisseurs de services de protection des terminaux et en veillant à ce que leurs ententes avec les fournisseurs tiennent compte des perturbations potentielles des activités commerciales. Dans un tel contexte, la Ligne directrice B-10 constitue, pour les organisations, une ressource utile pour évaluer les pannes futures de pareille ampleur et les atténuer de façon proactive.
La panne de CrowdStrike offre une leçon différente du point de vue du risque de concentration systémique. CrowdStrike est un chef de file en matière de protection des terminaux qui détient près du quart du marché, et il semblerait que la panne ait touché 70 % des entreprises faisant partie du palmarès Fortune 500, dans différents secteurs et à travers le monde. Bien que la Ligne directrice B-10 conseille aux IFF de tenir compte des effets de la perturbation de leurs services sur le système en général « dans toute la mesure possible », elle ne fournit pas d’autres indications utiles quant à leur rôle à l’égard du risque de concentration systémique.
Il est à noter que, outre le BSIF, la panne de CrowdStrike devrait rappeler aux organisations utilisatrices et aux fournisseurs de services qu’ils auraient avantage à examiner et, s’il y a lieu, à prendre en considération les directives réglementaires relatives aux problèmes découlant des pannes informatiques. Les organismes de réglementation provinciaux qui surveillent les secteurs essentiels fournissent de plus en plus de directives ou imposent davantage d’exigences en matière de gestion des TI.[3]
Recourir aux normes et aux cadres internationaux pour harmoniser les attentes
L’adoption et la mise en œuvre de normes internationales largement acceptées réduisent également le risque organisationnel lié aux pannes informatiques en faisant en sorte que les fournisseurs de services et les clients se conforment à un ensemble commun d’exigences et de meilleures pratiques évaluées et approuvées.
Prenons l’exemple de la norme ISO/IEC 27001, laquelle est largement adoptée et recommandée pour les systèmes de gestion de la sécurité de l’information (les « SGSI »). Elle fournit un cadre pour la gestion et la protection de l’information sensible, y compris les aspects de la gestion des risques liés aux pannes informatiques. En comprenant ces risques, les organisations peuvent mettre en place les contrôles appropriés pour les atténuer. Les erreurs humaines étant l’une des causes les plus fréquentes des pannes et des interruptions des systèmes informatiques (comme dans le cas de l’incident CrowdStrike), les organisations qui obtiennent la certification ISO/EIC 27001 démontrent qu’elles ont mis en place des processus et des protocoles SGSI qui pourraient contribuer à éviter les pannes critiques des systèmes informatiques, notamment des processus et des protocoles relatifs à la planification de la continuité des opérations, aux essais et à la maintenance périodiques, à la gestion des incidents et à la formation des employés.
De même, le cadre de cybersécurité (le « CSF ») du National Institute of Technology (le « NIST ») est une ligne directrice relative à la gestion et à l’atténuation des cyberrisques dont l’application est volontaire. Il est utile pour les organisations canadiennes qui cherchent à mettre en œuvre des stratégies exhaustives de gestion des risques informatiques, y compris en ce qui a trait aux mesures à prendre en cas de panne. Plus tôt cette année, le NIST a publié une version mise à jour du CSF (le « CSF 2.0 »), laquelle vise maintenant à aider toutes les organisations — et non seulement celles exerçant des activités dans les secteurs des infrastructures essentielles — à gérer et à réduire les risques. Le CSF 2.0 s’articule autour de six fonctions : régir, identifier, protéger, détecter, intervenir et rétablir (Govern, Identify, Protect, Detect, Respond et Recover). Chacune de ces fonctions prévoit des lignes directrices détaillées et des mesures précises que les organisations doivent prendre pour gérer les risques. Les risques liés à la cybersécurité figurent parmi les risques d’entreprise les plus importants auxquels les organisations sont exposées, et les fournisseurs de services qui mettent en œuvre et respectent le CSF 2.0 peuvent démontrer à leurs clients qu’ils se sont acquittés de leur devoir de diligence afin de se protéger contre la perte de données en cas de panne majeure des systèmes informatiques.
Le CSF peut être intégré à d’autres normes et à d’autres cadres, y compris la norme ISO/IEC 27001 et l’ITIL (Information Technology Infrastructure Library), afin de compter sur une approche plus complète en matière de gestion des risques et d’atténuation des pannes informatiques. Le niveau de protection et toute question connexe doivent être évalués en fonction de la situation particulière du fournisseur de services et de l’organisation utilisatrice.
Nous fournirons d’autres renseignements sur la façon de se préparer aux pannes informatiques et d’en gérer les conséquences dans les prochains bulletins de cette série. Restez à l’affût!
[1] Voir : Falcon Content Update Remediation and Guidance Hub | CrowdStrike | CrowdStrike. (En anglais)
[2] Voir : https://www.washingtonpost.com/business/2024/07/20/outage-microsoft-economy-business/. (En anglais)
[3] Voir, par exemple, la Ligne directrice relative à la gestion des risques liés aux technologies de l’information de l’Autorité ontarienne de réglementation des services financiers et le Security Management Regulation de l’organisme de réglementation de l’énergie de la Colombie-Britannique (en anglais).
