• Adressé à: Commission d’accès à l’information du Québec et du Canada
• Par: Hackfest Communication et ses participants:
  • Sam Harper
  • Coralie Grozner
  • Eric Hogue

Le Québec est en voie de devenir un champion des brèches de sécurité. De multiples entreprises et organismes, comme Promutuel, la STM, l’Ordre des Ingénieurs du Québec, HelpOX et bien d’autres, sont victimes de groupes criminels utilisant des rançongiciels et autres outils informatiques leur permettant le vol de données et l’extorsion. La plupart de ces brèches ne sont pas dévoilées au public et un grand nombre de ces victimes paient les rançons. C’est un marché lucratif et sans une réponse concertée, il ne fera que prendre de l’ampleur.

La communauté du Hackfest est composée de personnes intéressées par la cybersécurité. Il s’agit d’individus qui désirent partager leurs connaissances dans les domaines des technologies de l’information et de la cybersécurité. Nous avons en commun une sensibilisation face aux risques auxquels nous sommes toutes et tous exposés lorsque surviennent des fuites de renseignements personnels. Nous avons à cœur le respect de la confidentialité et de la sécurité et la mise en place de mesures appropriées pour la préserver. Nous prenons la parole car nous croyons que cet objectif est atteignable par la collaboration et une plus grande transparence.

Obligation de divulgation

Le projet de Loi 64 est un pas dans la bonne direction. Il va baliser l’obligation de divulgation lorsqu’une entreprise est victime d’une brèche de sécurité. Nous saluons l’obligation de mise en place de politique claire sur la confidentialité et le fait de rendre l’exploitant d’une entreprise responsable de la protection des renseignements personnels qu’il détient.

Malheureusement, il nous semble qu’il laisse beaucoup de marge de manœuvre aux entreprises qui désirent se soustraire à l’obligation de dévoiler un « incident de confidentialité ». Le projet de Loi stipule qu’une entreprise est dans l’obligation d’aviser la Commission et la personne impactée seulement si elle cause un « préjudice sérieux ». Nous constatons actuellement une banalisation des brèches et de la gravité de celles-ci. Nous croyons que la balance devrait pencher dans l’autre sens et que tout « incident de confidentialité » devrait être rapporté à moins qu’il y ait un « préjudice sérieux » de le faire.

Le partage des connaissances comme moyen de défense

Il est rare qu’une entreprise divulgue les informations techniques entourant les brèches de sécurité. Pourtant, la communauté sortirait gagnante d’un partage plus ouvert de ces informations. En tenant compte de la nécessité de ne pas dévoiler d’informations sensibles ou préjudiciables, un bilan technique devrait être exigé. Quels moyens les criminels ont-ils utilisés? Quelles sont les vulnérabilités logicielles ou organisationnelles qui ont été exploitées? Quels types de données ont été volées? Comment la brèche a-t-elle été découverte?

Le projet de Loi 64 prévoit une obligation de prendre les moyens « raisonnables » pour assurer la sécurité des renseignements personnels. Ces moyens ont un coût. Il serait intéressant de connaître le pourcentage du budget consacré à la cybersécurité par les organismes et entreprises. Cette information permettrait aux client-es de faire un choix éclairé en choisissant les entreprises qui ont réellement à cœur la sécurité de leurs données.

Décourager le paiement des rançons

Le rançongiciel est une entreprise lucrative. Tant que nous payons, nous continuerons à être les victimes de ces attaques. De plus, il est fallacieux de se fier aux promesses de destruction de données volées de la part de groupes criminels. Une victime qui paie une fois est une cible de choix pour une deuxième attaque.

Des sanctions administratives et pécuniaires dissuasives

Nous sommes contents de voir l’introduction de sanctions pécuniaires dans le projet de Loi 64. Malheureusement, tant que le coût de l’inaction demeure inférieur au coût d’un programme de cybersécurité efficace, c’est l’inaction qui sera priorisée par certains. Les sanctions doivent être dissuasives et assez importantes afin d’encourager les entreprises qui ne prennent pas la menace au sérieux à investir en cybersécurité de façon adéquate.

Nous sommes conscients que toutes les entreprises n’ont pas les mêmes moyens. Par contre, la conservation de données personnelles est un choix qui implique une responsabilité. Ces sanctions devraient donc être associées à la possibilité pour les PMEs de bénéficier des services de consultant-es à la hauteur de leurs moyens.

Les brèches de sécurité et les fuites de données font partie de la nouvelle réalité. Les conséquences pour les entreprises impactées et leurs client-es sont graves. Il est donc primordial de prendre cette menace aux sérieux et mettre en place les mesures nécessaires pour endiguer ce fléau.