La cyberattaque contre Toronto Public Library : un appel au renforcement des mesures de sécurité

Affaire marquante : Dossier MR23-00112

Contexte

En novembre 2023, Toronto Public Library (TPL) a signalé une brèche de cybersécurité au Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP). Cette brèche, qui résultait d’une attaque par rançongiciel, a été décelée pour la première fois en octobre 2023, TPL ayant remarqué une activité suspecte dans son réseau et appris qu’un individu non autorisé avait chiffré certains réseaux et subtilisé un grand nombre de fichiers se trouvant dans son serveur de fichiers.  

TPL a aussitôt mis en œuvre sa procédure d’intervention en cas d’incident majeur de cybersécurité et son protocole en cas d’atteinte à la vie privée. Elle a fait appel à son équipe d’intervention en cas d’incident, à des avocats externes et à un expert-conseil en sécurité afin de maîtriser la situation et de mener une enquête criminalistique. Elle a signalé avoir maîtrisé l’incident dans les 24 heures après l’avoir découvert mais n’a pas pu en déterminer la cause.

TPL a lancé un processus d’investigation numérique pour déterminer la portée de l’atteinte à la vie privée. Elle a constaté que celle-ci avait touché les renseignements personnels d’environ 8 018 employés actuels et anciens employés, d’environ 1 874 de leurs bénéficiaires et personnes à charge et d’au plus 4 100 clients, donateurs, entrepreneurs, bénévoles et demandeurs d’emploi non retenus.  

Constatations

Au moment de l’attaque, TPL avait en place des mesures de sécurité comprenant l’installation de correctifs critiques dans les terminaux et la sécurisation de contrôleurs de domaine conformément à des procédures et politiques standard (la sécurisation consiste généralement à réduire le nombre de voies d’accès au réseau qu’un attaquant est susceptible d’emprunter). Cependant, TPL a reconnu que certaines applications et certains systèmes d’exploitation étaient en fin de vie ou n’étaient plus pris en charge par un fournisseur externe, et que cette situation devait être rectifiée.  

Le CIPVP a souligné qu’il existait des vulnérabilités sur le plan de la sécurité au moment où l’incident s’est produit, et qu’il a fallu plus deux mois avant que la menace ne soit détectée dans l’environnement de TPL. Le CIPVP a souligné que TPL aurait pu prévenir une atteinte importante à la vie privée ou en réduire le risque si elle avait adopté une approche plus proactive afin d’identifier, d’analyser et d’atténuer les risques pour la vie privée que posent ses applications et systèmes. La cause de cet incident demeurait inconnue, ce qui était également préoccupant.

TPL a pris plusieurs mesures pour maîtriser l’atteinte à la vie privée :

  • mise en quarantaine de tous les terminaux, serveurs et postes de travail;
  • visite de chaque emplacement de TPL pour inspecter et remettre en état le matériel;
  • examen, nettoyage et rétablissement ou reconstruction de plus de 200 serveurs.

Pour renforcer davantage ses mesures de sécurité à la suite de l’atteinte à la vie privée, TPL a affirmé avoir :

  • amélioré ses politiques et procédures de journalisation, de surveillance des événements système et de détection des problèmes éventuels de sécurité;
  • rehaussé ses politiques de sécurité réseau afin de contrer les mouvements non autorisés de données entre systèmes;
  • mis en place des politiques et configurations standard de sécurisation de ses systèmes.

TPL a publié des déclarations et des questions et réponses sur l’atteinte à la vie privée afin de tenir le public au courant et a avisé certains groupes concernés, mais pas tous. Pendant plusieurs mois, le CIPVP a encouragé TPL à tenir compte du grand nombre de personnes concernées, de la nature délicate des renseignements en cause et du risque que ceux-ci soient utilisés abusivement afin de déterminer à qui donner un avis concernant l’attente à la vie privée. En définitive, TPL a donné un avis direct ou indirect à toutes les parties concernées.  

Le CIPVP a également recommandé à TPL de passer en revue et de mettre à jour sa formation sur la protection de la vie privée afin qu’elle réponde aux normes actuelles de cybersécurité.  

Ayant examiné les circonstances de l’atteinte à la vie privée et les mesures que TPL avait prises et collaboré avec TPL pendant plusieurs mois, le CIPVP a conclu que TPL avait réagi adéquatement et qu’aucune mesure supplémentaire n’était nécessaire.  

Principales leçons tirées

  1. Les organisations du secteur public doivent évaluer régulièrement et atténuer les risques décelés dans leurs systèmes et applications, au lieu d’attendre qu’un problème surgisse.
  2. Les organisations du secteur public devraient prendre des mesures proactives pour réduire le risque que des parties non autorisées aient accès à leurs systèmes informatiques; par exemple :
  • assujettir les systèmes de courrier électronique à des contrôles de sécurité afin de déceler et de bloquer les courriels contenant des liens suspects, des pièces jointes malveillantes et des adresses d’expéditeur usurpées;
  • établir un programme de gestion des vulnérabilités;
  • suivre des pratiques exemplaires de sécurisation des systèmes;
  • élaborer des stratégies visant à atténuer les risques associés aux systèmes périmés;  
  • limiter l’accès du personnel aux sites Web à risque élevé ou suspects;
  • utiliser des pratiques d’authentification solides, notamment des mots de passe forts, la gestion des mots de passe et une authentification multifacteur forte, et limiter la réutilisation des mots de passe.
  1. Afin de déceler et de prévenir les attaques par rançongiciel ou de s’en rétablir, les organisations du secteur public devraient prévoir des mesures de précaution; ainsi, elles devraient :
  • effectuer régulièrement des copies de sauvegarde des données et systèmes et les conserver dans un environnement sécurisé, hors ligne;
  • surveiller l’intégrité des documents afin de déceler des activités inhabituelles, comme des changements inattendus apportés à un grand nombre de fichiers ou à des renseignements de nature très délicate;
  • déceler l’utilisation non autorisée d’outils de chiffrement et d’interfaces de programmation d’application (API) pour éviter que des données ne soient bloquées ou chiffrées;  
  • utiliser des outils de prévention de la perte de données pour consigner, surveiller et bloquer des transferts irréguliers de fichiers vers des destinations non reconnues ou des sites Web de téléversement de fichiers connus.
  1. Les organisations du secteur public doivent examiner et mettre à jour régulièrement leur programme de formation sur la protection de la vie privée pour veiller à ce qu’il porte sur les risques liés aux accès non autorisés à des renseignements personnels. La formation devrait correspondre aux pratiques exemplaires actuelles de l’industrie, adopter un cadre de cybersécurité standard de l’industrie et prévoir des mesures qui permettent de faire face aux menaces graves.  
  2. Les organisations du secteur public devraient aviser dès que possible toutes les personnes concernées par une atteinte à la vie privée. La notification doit être directe, c’est-à-dire par téléphone, lettre ou courriel, ou en personne. La notification indirecte est acceptable dans les situations où on ne peut raisonnablement recourir à la notification directe.

Ressources supplémentaires

Les sujets
Aidez-nous à améliorer notre site web. Cette page a-t-elle été utile?

Note:

  • Vous ne recevrez pas de réponse directe. Pour toute autre question, veuillez nous contacter à l'adresse suivante : @email
  • N'indiquez aucune information personnelle, telle que votre nom, votre numéro d'assurance sociale (NAS), votre adresse personnelle ou professionnelle, tout numéro de dossier ou d'affaire ou toute information personnelle relative à votre santé.
  • Pour plus d'informations sur cet outil, veuillez consulter notre politique de confidentialité.