Données personnelles : les données de contact des clients de Bell compromises

Près de 2 millions de courriels ont été compromis ce 15 mai 2017 chez Bell qui reconnaît investiguer le problème avec la GRC. Dans son alerte de sécurité, Wade Oosterman le président du groupe BCE/Bell Canada informe ses clients que la société a été contactée par un pirate informatique anonyme concernant l’accès illégal à des renseignements clients. La société a également présenté ses excuses.

Au regard de la l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/« PIPEDA ») devenue loi en 2000 (ce qui fait tout de même 17 ans), les organisations canadiennes sont tenues de respecter un certain nombre de principes de sécurité. À cela ajoutons les obligations relatives aux attestations 52-109, SSAE 16 ou PCI, pour les cartes de crédit. Les organisations d'aujourd'hui sont encerclées d'obligations en matière de sécurité.

Là où le bât blesse, est que les vulnérabilités les plus souvent rencontrées chez les clients sont :

– l’absence d’un système de classifications des actifs (serveurs sensibles, données sensibles)

– l’absence de système de chiffrement, en particulier à l’interne

– l’absence d’un inventaire exhaustif et à jour de tous les composants matériels et logiciels

– la persistance de machines obsolètes n’étant plus maintenues pas les constructeurs

– l’absence d’une stratégie complète de prévention et de détection d’intrusion

– la complexité des infrastructures qui sont rarement maîtrisées de bout en bout

– l’absence de contrôle sécurité des fournisseurs

Mais au-delà de toutes ces difficultés, le problème de fond est que le sujet de la cybersécurité reste négligé, délaissé, maltraité par la Direction Générale qui n’en fait que peu de cas, n’en retient que le coût des mesures faramineuses à mettre en œuvre pour sécuriser l’existant et évacue la patate chaude sur un pauvre bougre plus ou moins bien épaulé. Ce pauvre responsable de la sécurité sera bien évidemment montré du doigt en cas de problème, faisant fi de toutes les années où la Direction lui aura refusé ses budgets de remédiation. Seuls les menaces de non-obtention des attestations PCI, SSAE 16, 52-109 et le risque des amendes qui y sont associées, ou bien le risque de pertes de marchés commencent à peser dans la balance.

L’industrie télécoms, comme d'autres secteurs d'ailleurs, est en fait au cœur d’un dilemme de fond. Elle est prise d’une part entre la nécessité d’assurer la continuité de services avec des serveurs performants et d’autre part la nécessité de protéger la confidentialité des informations, qui elles, nécessitent des moyens de sécurité qui vont dégrader les performances (comme le chiffrement et les scans). Les solutions existent. Elles comprennent notamment la définition d’une architecture de réseau découpée en zones de sécurité et l’utilisation de réseaux privés virtuels, ainsi que des serveurs suffisamment redondés pour prévoir des solutions de relève.

Mais surtout, aucune mesure de sécurité ne pourra être complètement efficace si la fonction sécurité au sein de l’entreprise n’est pas attribuée à un gestionnaire exécutif aguerri, missionné par la Direction Générale elle-même, et si possible, indépendant de la direction informatique, puisqu’ils sont en conflits d’intérêts.

 Sources :

Globe and Mail

Huffington Post