Le Bureau du commissaire à l’information et à la protection de la vie privée (CIPVP) a terminé son examen d’une atteinte à la vie privée survenue il y a près d’un an dans la région de Durham. Cet incident était attribuable à l’utilisation, par la région, du logiciel Accellion File Transfer Appliance (FTA), un produit lié à des atteintes à la vie privée dans des organisations du monde entier dans le cadre d’une longue série de cyberattaques.

Élaboré par la société de technologie américaine Accellion Inc. (maintenant connue sous le nom de Kiteworks), Accellion FTA est un produit patrimonial datant de 20 ans qui sert au transfert de fichiers volumineux. En date du 30 avril 2021, l’entreprise ne donnait plus de soutien technique pour ce logiciel.

On croit que la cyberattaque aurait eu lieu le ou vers le 20 janvier 2021, mais la région ne l’a appris que le 25 mars 2021, lorsqu’elle a reçu un avis de rançon. La région a pris des mesures immédiates pour sécuriser ses systèmes et a informé la police de l’atteinte à la vie privée.

La région a envoyé un avis écrit aux personnes dont des renseignements personnels et des renseignements personnels sur la santé auraient pu avoir été touchés par l’atteinte à la vie privée et a publié des renseignements sur cette cyberattaque sur son site Web. Elle a également mis sur pied un centre d’appels pour répondre aux questions sur cet incident, et offert des services gratuits de surveillance du crédit aux personnes dont des renseignements financiers avaient été touchés par l’atteinte à la vie privée.

Cette cyberattaque a fait intervenir l’exploitation d’une vulnérabilité jusque-là inconnue (une exploitation du jour zéro). La région n’utilise plus ce logiciel et a pris des mesures proactives pour se protéger contre de futures cyberattaques. Ces mesures comprennent une formation à la cybersécurité pour le personnel au moyen de simulations d’attaques par hameçonnage, des analyses en temps réel des appareils et des services, des mesures de protection des comptes utilisateurs et des copies de sauvegarde régulières des dossiers électroniques.

Les systèmes plus anciens qui reposent sur des technologies et des composants dépassés peuvent permettre aux cybercriminels d’accéder à des données délicates. Si la migration de systèmes patrimoniaux vers de nouveaux systèmes peut représenter un défi financier ou organisationnel, il est important de suivre les progrès technologiques afin de tirer profit des mesures de sécurité les plus récentes. Cet incident souligne aussi l’importance de surveiller les réseaux informatiques afin de déceler toute activité anormale, laquelle pourrait être un signe avant-coureur d’un vol de données de grande envergure.

Les pirates informatiques tirent pleinement parti de la crise actuelle de santé publique, et les incidents de sécurité informatique sont en hausse. Le Centre canadien pour la cybersécurité (CCC) du Centre de la sécurité des télécommunications estime que les attaques par rançongiciel ont connu une croissance de 151 % au cours des six premiers mois de 2021 par rapport à 2020. Selon le Centre, les attaques par rançongiciels visent non seulement les grandes entreprises et les fournisseurs d’infrastructures essentielles, mais aussi de nombreuses petites et moyennes entreprises, selon ce que l’attaquant considère comme étant leur capacité de payer et la vulnérabilité de leurs mesures de sécurité.

Le vol de données est un problème croissant qui peut nuire tant aux particuliers qu’aux organisations, en augmentant le risque de vol d’identité, de perte économique et d’atteinte à la réputation. Les municipalités et autres organisations gouvernementales sont des cibles particulièrement attrayantes pour les attaquants, car leurs systèmes regorgent de renseignements délicats utilisés pour fournir toute une gamme de services essentiels aux collectivités.

« Les cyberattaques sont en forte hausse et cette tendance se poursuivra dans un avenir prévisible. Les organisations publiques doivent s’assurer que leurs systèmes et logiciels sont à jour et apprendre à leurs employés à surveiller et à reconnaître les cybermenaces et les vulnérabilités », a déclaré Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Les cybercriminels sont toujours à l’affût de leur prochain exploit, qu’il s’agisse d’un employé qu’ils peuvent leurrer avec un courriel frauduleux d’hameçonnage ou d’une technologie ou d’un processus désuet qui met l’information à risque. Les organisations publiques se voient confier les renseignements délicats des citoyens et elles ne peuvent pas se permettre de baisser la garde un seul instant. »

Ressources supplémentaires

 

This post is also available in: Anglais