Les contrats des service reliés à la sécurité informatique ...

Les contrats des service reliés à la sécurité informatique ...

Les contrats de services relis la scurit informatique: viter les piges Confrence Insight : Scurit informatique Les 14 et 15 janvier 2008 Me Charles Morgan Prsentation Profil de risque: scurit informatique Obligations contractuelles et statutaires Les situations contractuelles Les clauses cls 2 3

Profil de risque: scurit informatique Profil de risque: scurit informatique Modalits de travail non traditionnelles Pnurie demploys comptents dans le domaine des technologies de linformation Transition dune conservation des documents papier une conservation sous forme lectronique des documents Transition des ordinateurs centraux (main frame) larchitecture ouverte Augmentation de la prsence sur le Web; augmentation de la largeur de bande 4 Profil de risque: scurit

informatique Monoculture du systme dexploitation de Microsoft Augmentation fulgurante des communications par courriel/Internet Augmentation de lutilisation des services fournis par des tiers et/ou dpendance envers des fournisseurs de service (hbergement de donnes, traitement, IPA et impartition des technologies de linformation) Augmentation du nombre dintrus (exprimentaux, malveillants, locaux et trangers) 5 quel cot? La Computer Emergency Readiness Team (CERT) , finance par le Department of Defence des tats-Unis comptabilise les incidents concernant la cyberscurit:

2002 : 82 094 incidents (en un an) Mars 2007 : 80 000 incidents (en un mois!) Les logiciels malveillants et les virus ont entran des dpenses de 169 milliards $ US 204 milliards $ US pour les entreprises en 2004 Cots occasionns par les pourriels en 2005 : tatsUnis (17 milliards $ US); Royaume-Uni (2,5 milliards $ US) et Canada (1,6 milliard $ US) Voir le rapport du British North-American Committee sur la cyberattaque : http://www.acus.org/docs/071212_Cyber_Attack_Repor t.pdf 6 Exemple? En avril 2007, lEstonie a subi pendant trois semaines des attaques entranant un refus de service envers les lments cls de son

infrastructure le gouvernement, les services bancaires et les entreprises les plus importantes En dcembre 2007, une banque canadienne a perdu un disque dur contenant des renseignements confidentiels concernant 495 000 clients au cours dun transfert de donnes de Montral Toronto 7 La dcision TJX Rapport conjoint du Commissariat la protection de la vie prive du Canada et de lAlberta publi le 25 septembre 2007 concernant lintrusion dans le rseau de TJX (Winners, HomeSense) touchant les renseignements personnels denviron 45 millions dutilisateurs de cartes au Canada, aux tats-Unis, Puerto Rico, au Royaume-Uni et en Irlande. Les renseignements personnels consults lors des

intrusions (qui ont eu lieu de 2002 2006) comprenaient des donnes des comptes de cartes de crdit et des donnes concernant les cartes de dbit (sauf au Canada), ainsi que les numros didentification de permis de conduire et autres numros didentification provinciaux, noms et adresses connexes, que TJX avait recueillis dans le cadre des oprations de retour de marchandise sans reu. 8 La dcision TJX Les trois questions cls de ce rapport : TJX avait-elle un motif raisonnable pour conserver les renseignements personnels touchs par la brche? TJX conservait-elle les renseignements conformment la LPRPDE et la PIPA? TJX avait-elle mis en place des mesures de scurit raisonnables afin de protger les renseignements

personnels quelle conservait? 9 TJX avait-elle mis en place des mesures de scurit raisonnables? On dtermine le nature dlicate des renseignements personnels en 10 procdant une valuation des prjudices et des risques. Certains types de renseignements personnels peuvent plus facilement tre utiliss des fins prjudiciables ou servir la fraude que dautres types de renseignements. [] Vu la nature des renseignements personnels auxquels ont eu accs les pirates, le nombre de personnes touches et le temps coul avant que ne soit dcouvert lintrusion, le prjudice pourrait tre trs grave. [] En outre, en raison de la brche, des personnes ont pu vivre des niveaux plus levs danxit.

On a habituellement recours des exigences lgislatives pour tablir des normes minimales en matire de conduite. Le fait que le chiffrement figure dans la liste des mesures de protection au principe 4.7.3 de la LPRPDE laisse croire quil sagit dune mesure de protection bien tablie. [] Selon nous, le risque dune brche tait prvisible en raison de la quantit de renseignements personnels de nature dlicate conservs et du fait que lorganisation ayant tabli les normes de lindustrie avait dtermin les faiblesses du protocole de chiffrement WEP. Les renseignements auraient pu tre spars, et les systmes, mieux surveills. Par consquent, TJX na pas respect les dispositions relatives aux mesures de protection de la LPRPDE et de la PIPA. 11 Obligations contractuelles et statutaires Fondement de la responsabilit

lgale Violation dun contrat Obligations de confidentialit Obligations contractuelles relatives la protection de la vie prive Obligations contractuelles relatives la scurit Acceptation contractuelle des risques Ngligence Non respect dune obligation de diligence due une personne avec qui lon a un lien spcial Associs Clients Fournisseurs 12

Fondement de la responsabilit Violation des obligations statutaires Canada : LPRPDE (fdral), Loi sur la protection des renseignements personnels dans le secteur priv (Qubec), Personal information protection Acts (Colombie-Britannique et Alberta) tats-Unis : Sarbanes-Oxley, California SB 1386, Gramm-Leach-Bliley (GLBA) et Health Insurance Portability and Accountability Act (HIPAA) Recours collectifs Visent tout ce qui prcde Un petit problme peut devenir important 13 LPRPDE 4.7 - Mesures de scurit

4.7 : Les renseignements personnels doivent tre protgs au 4.7.1 : Les mesures de scurit doivent protger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorises. Les organisations doivent protger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservs. 4.7.2 : La nature des mesures de scurit variera en fonction du degr de sensibilit des renseignements personnels recueillis, de la quantit, de la rpartition et du format des renseignements personnels ainsi que des mthodes de conservation. Les renseignements plus sensibles devraient tre mieux protgs. 4.7.3 : Les mthodes de protection devraient comprendre :

moyen de mesures de scurit correspondant leur degr de sensibilit. a) des moyens matriels, par exemple le verrouillage des classeurs et la restriction de l'accs aux bureaux; b) des mesures administratives, par exemple des autorisations scuritaires et un accs slectif; et c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement. 4.7.4 : Les organisations doivent sensibiliser leur personnel l'importance de protger le caractre confidentiel des renseignements personnels. 4.7.5 : Au moment du retrait ou de la destruction des renseignements personnels, on doit veiller empcher les personnes non autorises d'y avoir accs. 14

Gramm-Leach-Bliley 6801. Protection of nonpublic personal information (a) Privacy obligation policy: It is the policy of the Congress that each financial institution has an affirmative and continuing obligation to respect the privacy of its customers and to protect the security and confidentiality of those customers nonpublic personal information. (b) Financial institutions safeguards: In furtherance of the policy in subsection (a) of this section, each agency or authority described in section 6805 (a) of this title shall establish appropriate standards for the financial institutions subject to their jurisdiction relating to administrative, technical, and physical safeguards (1) to insure the security and confidentiality of customer records and information; (2) to protect against any anticipated threats or hazards to the security or integrity of such records; and (3) to protect against unauthorized access to or use of such records or information which could result in substantial harm or

inconvenience to any customer. 15 California, SB 1386 SEC. 2. Section 1798.29 is added to the Civil Code, to read: 1798.29. (a) Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to

determine the scope of the breach and restore the reasonable integrity of the data system. g) For purposes of this section, "notice" may be provided by one of the following methods: (1) Written notice. (2) Electronic notice, if the notice provided is consistent with the provisions regarding electronic records and signatures set forth in Section 7001 of Title 15 of the United States Code. (3) Substitute notice, if the agency demonstrates that the cost of providing notice would exceed two hundred fifty thousand dollars ($250,000), or that the affected class of subject persons to be notified exceeds 500,000, or the agency does not have sufficient contact information. Substitute notice shall consist of all of the following: (A) E-mail notice when the agency has an email address for the subject persons. (B) Conspicuous posting of the notice on the agency's Web site page, if the agency maintains one. (C) Notification to major statewide media. 16 Normes de scurit ISO 27002 BS 7799 : la premire partie prvoit un aperu

dune politique en matire de scurit BS 7799 : la deuxime partie prvoit la certification La certification dure trois ans et elle est contrle priodiquement Lintgrit, la confidentialit et la disponibilit sont des caractristiques de la scurit de linformation 11 zones de contrle http://www.iso.org/iso/home.htm 17 Vrifications ICCA 5970 et SAS 70 (Type II) Des vrifications semblables qui dfinissent les normes professionnelles utilises par les vrificateurs indpendants pour valuer rigoureusement les contrles internes des organismes de services. Ces programmes comportent des exigences prcises pour les

fournisseurs de service qui grent les donnes des clients et mettent un fort accent sur les domaines de respect, de scurit et daccs. La norme ICCA 5970 est une norme canadienne administre par lInstitut Canadien des Comptables Agrs La norme SAS 70 est essentiellement lquivalent amricain labor par lAmerican Institute of Certified Public Accountants. 18 Autres Normes de scurit Information Security Forum (ISF), Standard of good practice , mise jour en fvrier 2007 https://www.isfsecuritystandard.com/SOGP07/index.htm North America Electric Reliability Council

(NERC) : p. ex. la norme NERC 1300 http://www.nerc.com/~filez/standards/Cyber-Security-P ermanent.html Control Objectives for Information and related Technology (COBIT), norme dvloppe par Information Systems Audit and Control Associatio n (ISACA) Lobtention dune certification peut faciliter lobtention dune assurance en matire de cyberscurit 19 20 Les situations contractuelles

Les situations contractuelles Contrats de vrification de rseau (valuation de vulnrabilit) Contrats de service pour renforcer la scurit du rseau existant (coupe-feu, chiffrement) Contrats de surveillance de rseau et de dtection dintrusion Impartition du traitement de donnes, des services de rseaux, de lhbergement de donnes et partage de rseau 21 22 Les clauses cls

Les clauses cls La dfinition des normes des scurit normes et niveau des services scurit matrielle, scurit logicielle chiffrement (cot par rapport au risque) normes de lindustrie ou dfinition restreinte, dtaille? droit de modifier les normes (traitement des ordres de modification) Clause de confidentialit sparation matrielle et logicielle des renseignements confidentiels employs viss par une entente de non-divulgation, accs en fonction de la ncessit Clauses de protection des renseignements personnels les renseignements confidentiels ne sont pas assimilables des

renseignements personnels Droit de vrification vrificateur indpendant droit daccs aux lieux droit denqute en cas dincident de scurit Obligation de collaborer en cas denqute par les autorits gouvernementales 23 Les clauses cls Classification des dommages

dommages directs ou indirects? p. ex. perte de donnes?; dommages directs subis par les clients?; manquement aux dclarations et garanties? Responsabilit illimite manquement lobligation de confidentialit et aux obligations de respect de la vie prive? le fournisseur de service devrait-il devenir votre assureur ? Exclusion de la responsabilit dommages indirects Limite de responsabilit quelle est la rpartition indique du risque? Assurance

examiner les exclusions prvues dans les polices en ce qui concerne la cyberscurit, la perte de donnes, etc. couverture des biens incorporels? 24 Prjudice occasionn la cote destime Nota : lattribution du risque un tiers fournisseur de services ne remplace pas la mise en uvre de pratiques, de politiques, de contrles et de formation appropris linterne pour viter les atteintes la scurit et pour grer et attnuer les pertes en cas dincident de scurit 25

26 Merci Vancouver Ottawa Qubec P.O. Box 10424, Pacific Centre Suite 1300, 777 Dunsmuir Street Vancouver (ColombieBritannique) V7Y 1K2 Tl. : 604-643-7100 Tlc. : 604-643-7900 The Chambers

Suite 1400, 40 Elgin Street Ottawa (Ontario) K1P 5K6 Tl. : 613-238-2000 Tlc. : 613-563-9386 Le Complexe St-Amable 1150, rue de Claire-Fontaine, 7e tage Qubec (Qubec) G1R 5G4 Tl. : 418-521-3000 Tlc. : 418-521-3099 Calgary Suite 3300, 421 7th Avenue SW Calgary (Alberta) T2P 4K9 Tl. : 403-260-3500 Tlc. : 403-260-3501 Toronto

Box 48, Suite 4700 Toronto Dominion Bank Tower Toronto (Ontario) M5K 1E6 Tl. : 416-362-1812 Tlc. : 416-868-0673 Montral Bureau 2500 1000, rue De La Gauchetire Ouest Montral (Qubec) H3B 0A2 Tl. : 514-397-4100 Tlc. : 514-875-6246 Royaume-Uni et Europe 5 Old Bailey, 2e tage Londres, Angleterre EC4M 7BA Tl. : +44 (0)20 7489 5700 Tlc. : +44 (0)20 7489 5777

Recently Viewed Presentations

  • 2017 Financial Plan - Carberry

    2017 Financial Plan - Carberry

    Library - brick work from salt damage. Old Town Hall - New Furnace. Municipal Office - New Well and Shingles. Ball Park Washroom - Reno's Funding Source. Jointly funded between the Mun. of North Cypress-Langford and Town of Carberry Municipal...
  • UUD 1945 lengkap dalam Powerpoint - WordPress.com

    UUD 1945 lengkap dalam Powerpoint - WordPress.com

    Pemilihan anggota BPK Agama 20 Presiden harus dicabut [Pasal 22 (3)] Dalam hal ihwal kegentingan yang memaksa, berhak menetapkan Perpu [Pasal 22 (1)] Perpu itu harus mendapat persetujuan DPR [Pasal 22 (2)] menjadi UU BAB VII. DEWAN PERWAKILAN RAKYAT Peraturan...
  • The Power of PBL - P-12 : NYSED

    The Power of PBL - P-12 : NYSED

    Arial Cambria Calibri Adjacency The Power of PBL What is PBL? Project Based Learning PBL Key Components Group Activity The Zombie Apocalypse PowerPoint Presentation Teaching vs Coaching Group Activity Group Share Resources Thank you!
  • Probabilistic Road Maps - SIU

    Probabilistic Road Maps - SIU

    Probabilistic Road Maps. The algorithm produces a graph G=(V,E) as follows:LET. V. and . E. be empty sets. REPEAT. Let . v. be a random robot configuration . IF (v. is a valid configuration)
  • Graphics with r A statistical tool for high school maths

    Graphics with r A statistical tool for high school maths

    Graphics with rA statistical tool for high school maths By: Jade Write, Garth Lo Bello, Andrew Roberts, Prue Tinsey and Tania Young Using R, students have access to open source, professional quality, software
  • key issues - Ferdowsi University of Mashhad

    key issues - Ferdowsi University of Mashhad

    مقدمه 1- آشنايی با پديده های غيرخطی (ياد آوری و تکميل) 2- مبانی رياضی (مهم) Numerical iteration of the standard map, illustrating the inherently unpredictable nature of chaotic .systems The same FORTRAN77 code was executed on four modern computers to...
  • Types of Speeches Aside, Soliloquy, and Monologue

    Types of Speeches Aside, Soliloquy, and Monologue

    Types of Speeches Aside, Soliloquy, and Monologue Aside- a brief comment a character makes that is not heard by anyone else onstage. This statement reveals the character's thoughts or feelings. Ex. Act II. scene ii p. 862 Lines 130-133 Brutus...
  • Lord of the Flies By William Golding - Cintra's Class

    Lord of the Flies By William Golding - Cintra's Class

    metaphor. personification- A figure of speech in which human qualities are attributed to an object, animal, or idea. foreshadowing-A writer's use of hints or clues to indicate events that will occur later in a story. ... Lord of the Flies...