Enquête sur les pratiques d’Agronomy en matière de protection des renseignements personnels concernant les mesures de sécurité, la responsabilisation et le consentement valide pour la collecte et l’utilisation de renseignements personnels
Avis
Il est à noter que le rapport de conclusions d’enquête en lien avec la présente affaire a été reproduit ci-dessous. Cette version a été rédigée dans un langage neutre et ne contient ni le nom d’un fournisseur tiers ni tout autre renseignement permettant d’identifier les parties prenantes concernées. Toute modification apportée à la version originale de ce rapport a été mise entre crochets.
Conclusions en vertu de la LPRPDE no 2023-002
Le 31 juillet 2023
Aperçu
Selon [la personne plaignante], Agronomy Company of Canada Ltd. (Agronomy) n’avait pas protégé adéquatement ses renseignements personnels, ce qui a entraîné la compromission de ceux-ci lors d’une atteinte des systèmes d’Agronomy. [Elle] a ajouté qu’Agronomy n’avait pas de structures de responsabilisation et avait recueilli ses renseignements personnels à des fins auxquelles [elle] n’avait pas consenti. [La personne plaignante] faisait affaire avec [le fournisseur], un membre du groupe Agromart (Agromart), un regroupement de sociétés agricoles qui appartiennent en partie à Agronomy.
Au début d’avril 2020, un auteur de menace a utilisé des identifiants administratifs valides pour obtenir un accès complet aux systèmes d’Agronomy. Pendant 2 mois, l’auteur de la menace a navigué dans le système et a exfiltré les renseignements personnels de 845 clients de divers membres du groupe Agromart.
Les renseignements personnels compromis comprenaient, selon la personne touchée, le numéro d’assurance sociale (NAS), la date de naissance, le numéro de permis de conduire, le nom, l’adresse, le numéro de téléphone, le numéro de compte bancaire et le nom de l’institution financière, les renseignements de carte de crédit, les renseignements sur le passeport, les renseignements sur le salaire ou la pension, l’adresse courriel ou la signature électronique. Ces renseignements de nature délicate peuvent être utilisés par des individus malveillants pour commettre un vol d’identité. Par conséquent, Agronomy aurait dû mettre en place des mesures de sécurité à des niveaux proportionnellement élevés.
Le 27 mai 2020, l’auteur de la menace a déployé un rançongiciel sur les systèmes, ce qui a entraîné leur chiffrement et leur verrouillage. Agronomy n’a été mise au courant de l’atteinte du système qu’après le déploiement du rançongiciel par l’auteur de la menace. Ce dernier a ensuite envoyé par courriel une demande de rançon accompagnée d’une preuve de l’exfiltration des renseignements personnels. Dans les jours qui ont suivi, Agronomy a retenu les services d’experts en sécurité et a lancé une enquête. Comme la rançon n’a pas été payée, l’auteur de la menace a mis les données compromises aux enchères avant de les diffuser sur le Web caché en juin 2020. Au début, Agronomy n’était pas certaine du nombre de personnes touchées et a retenu les services d’une entreprise d’investigation électronique tierce pour analyser l’ensemble de données ayant fait l’objet d’une fuite afin d’identifier les personnes touchées. Les membres d’Agromart ont informé les personnes touchées entre juillet 2020 et février 2021.
Notre enquête a permis de relever un certain nombre de lacunes dans les mesures de sécurité d’Agronomy qui ont mené à la présente atteinte. Plus précisément :
- Agronomy n’avait pas d’authentification multifacteur pour les comptes d’administrateur, ce qui a permis à l’auteur de la menace d’accéder facilement au système avec des identifiants volés.
- L’auteur de menace pouvait se déplacer librement dans le réseau d’Agronomy faute de segmentation. En raison de ce regroupement inutile, de multiples systèmes appartenant à différents membres d’Agromart étaient interconnectés et l’auteur de la menace pouvait y accéder.
- L’auteur de la menace pouvait lire les données consultées sur le réseau, car elles n’étaient pas chiffrées.
- L’absence d’outils de détection et d’intervention a permis à l’auteur de la menace d’infiltrer le réseau, d’exfiltrer les données et de couvrir ses traces, sans être détecté pendant environ 2 mois.
Le Commissariat a donc conclu qu’Agronomy n’avait pas de mesures de sécurité adéquates en ce qui concerne la nature délicate des renseignements en question. Cela dit, Agronomy a apporté diverses améliorations à son dispositif de sécurité et a suivi notre recommandation de mettre en œuvre un plan de gestion des incidents et un protocole pour les attaques du jour zéro. Le Commissariat estime donc que cet élément de la plainte était fondé et conditionnellement résolu.
En ce qui concerne la responsabilisation, le Commissariat a constaté qu’Agronomy n’avait pas de politique globale en matière de protection de renseignements personnels, ni de politiques, de pratiques et de formation connexe pour protéger les renseignements personnels dont elle avait la gestion. De plus, l’entreprise n’avait pas désigné de personne pour s’assurer du respect de la LPRPDE. Agronomy a depuis résolu ou s’est engagé à régler chacune de ces lacunes en matière de responsabilisation. Le Commissariat estime donc que cet élément de la plainte était fondé et conditionnellement résolu.
Enfin, Agronomy s’est appuyée sur le consentement obtenu [du fournisseur] pour recueillir et utiliser des renseignements personnels afin de fournir des services de crédit à [la personne plaignante]. [Cette dernière] a affirmé [qu’elle] n’avait pas consenti à la collecte ni à l’utilisation de ses renseignements personnels à des fins de crédit. Notre enquête a révélé que le formulaire d’Agromart, que [la personne plaignante] a admis avoir rempli et signé lors de l’ouverture de son compte, portait le titre bien en vue de « demande de crédit » [traduction]. Ce document expliquait clairement que ses renseignements seraient utilisés aux fins de l’octroi de crédit par Agromart et a donné lieu à l’octroi d’un crédit de 100 000 $, que [la personne plaignante] a utilisé. Par conséquent, le Commissariat a conclu qu’Agronomy avait obtenu un consentement valide, de sorte que cet élément de la plainte était non fondé.
Plainte et contexte
- Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a reçu une plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) d’une personne affirmant qu’Agronomy Company of Canada Ltd. (Agronomy), une filiale en propriété exclusive de Sollio Groupe Coopératif (Sollio), et ses partenaires affiliés n’ont pas protégé ses renseignements personnels contre l’accès et la divulgation non autorisés, et que ses renseignements personnels ont par la suite été compromis et utilisés pour permettre une fraude financière. [La personne plaignante] a ajouté qu’Agronomy avait recueilli ses renseignements personnels à des fins auxquelles [elle] n’avait pas consenti, et que l’entreprise n’avait pas de politique sur la protection des renseignements personnels ni d’agent de la protection de la vie privée.
- Agronomy est affiliée au groupe Agromart (Agromart), qui comprend de multiples coentreprises agricoles appartenant en partie à Agronomy. Agronomy et ses partenaires affiliés fournissent une variété de produits et de services agricoles aux fermes de l’Ontario et de l’Est du Canada. Cela comprend la vente de semences, d’engrais et de différents produits de production et de protection des cultures, ainsi que des services de consultation sur les cultures, des services de planification de la gestion des nutriments et des services d’application professionnels. Agronomy et ses sociétés affiliées exploitent 22 points de vente au détail en coentreprise ainsi que des points de distribution et de logistique. [La personne plaignante] avait une relation d’affaires avec [le fournisseur], un membre du groupe Agromart, qui appartient à 50 % à Agronomy. Au moment de l’attaque, l’infrastructure de TI d’Agronomy et de bon nombre de ses sociétés affiliées était regroupée.
- Le Commissariat souligne que, dans les observations qu’elle lui a présentées, Agronomy a affirmé être un processeur de données offrant des services à diverses entreprises membres du groupe Agromart et que ces entreprises, dont [le fournisseur], étaient responsables du traitement des données. Selon Agronomy, la LPRPDE ne devrait donc s’appliquer à elle qu’en sa qualité de processeur de données. Le Commissariat n’a pas pris position à ce sujet, car cela n’a rien à voir avec la LPRPDE dans la présente affaire. Dans le cas présent, Agronomy a recueilli, utilisé et divulgué des renseignements personnels obtenus des membres d’Agromart dans le cadre d’une activité commerciale, par la prestation de services de crédit et de technologie de l’information.
- Au début d’avril 2020, les systèmes d’Agronomy ont été compromis par un auteur de menaces qui a obtenu des identifiants administratifs, ce qui a donné un accès sans entrave aux systèmes d’Agronomy. L’auteur de menace a réussi à infiltrer les systèmes d’Agronomy et à exfiltrer les renseignements sur les clients de nombreux membres d’Agromart. À la fin de mai 2020, l’auteur de menace a installé une application de rançongicielFootnote 1 sur le système qui a chiffré et verrouillé les serveurs et les postes de travail touchés. C’était la première indication d’Agronomy que ses systèmes avaient été compromis. L’auteur de la menace a ensuite communiqué avec Agronomy et a fourni un échantillon des fichiers exfiltrés ainsi qu’une demande de rançon. Agronomy a conclu que l’échantillon regroupait les renseignements personnels de 2 personnes et a refusé de payer la rançon. Par conséquent, l’auteur de la menace a mis les fichiers aux enchères sur son site dans le Web caché en juin 2020.
- À la suite de cette publication, Agronomy a pu récupérer une copie des données volées et faire fermer le site Web de l’auteur de la menace. À la suite d’une analyse de la base de données qui a fait l’objet d’une fuite, effectuée par un expert criminalistique engagé par Agronomy et qui s’est échelonnée de juillet 2020 à février 2021, l’intimée a finalement établi que des tiers non autorisés avaient eu accès aux renseignements personnels de 845 de ses clients. Les renseignements personnels obtenus dépendaient des renseignements associés à ces comptes et sont abordés au paragraphe 14. De juin 2020 à février 2021, les membres d’Agromart ont informé les clients touchés de façon progressive au fur et à mesure qu’ils étaient repérés. Les clients se sont vu offrir un an de surveillance du crédit et de surveillance contre le vol d’identité par l’intermédiaire d’un service tiers.
- L’auteur de la menace responsable de l’atteinte a été identifié comme « REvil », aussi appelé « Sodinokibi ». REvil était un groupe de cybercriminels opérant en Russie et en Europe de l’Est qui se livrait principalement à la fraude par le développement et le déploiement de rançongiciels. En novembre 2021, le groupe a été ciblé par une opération internationale conjointe d’application de la loiFootnote 2 qui a mené à l’arrestation de 5 membres présumés. Peu après, en janvier 2022, les autorités russes ont mené une opération importante qui a entraîné de multiples arrestations et des mises en accusation qui ont mené au démantèlement du groupeFootnote 3.
Méthodologie
- Le Commissariat a analysé les observations et les documents fournis par Agronomy en réponse aux demandes de renseignements du Commissariat au sujet de l’atteinte. Il a également examiné les renseignements de source ouverte disponibles concernant cette atteinte.
- Agronomy a retenu les services d’une entreprise indépendante spécialisée dans la sécurité des TI pour effectuer une analyse judiciaire de l’incident, ainsi que d’une entreprise spécialisée dans l’investigation électronique pour analyser les données publiées par l’auteur de la menace. Agronomy a rejeté les demandes d’accès aux rapports de tiers présentées par le Commissariat, invoquant le secret professionnel. N’ayant pas accès à ces sources d’information essentielles, le Commissariat a dû se fier aux renseignements fournis par Agronomy en réponse à ses demandes individuelles d’information, lesquels étaient parfois insuffisants en raison du roulement du personnel des TI de l’entreprise et de la documentation incomplète (comme il est expliqué ci-dessous).
Analyse
Détails de l’atteinte
Description de l’atteinte
- Au début d’avril 2020, l’auteur de la menace a réussi à accéder à un compte administrateur sur les systèmes d’Agronomy à l’aide d’identifiants valides. Il a ensuite réussi à établir une connexion à distance sur un poste de travail appartenant à une entreprise membre d’Agromart. Agronomy a dit au Commissariat qu’elle n’était pas en mesure de déterminer comment l’auteur de la menace a pu obtenir les identifiants qu’ils avaient utilisés pour obtenir l’accès. Le Commissariat remarque qu’il existe diverses façons d’obtenir de tels identifiants, y compris des techniques de piratage psychologique Footnote 4 comme l’hameçonnageFootnote 5, ainsi que le bourrage d’identifiantsFootnote 6, les malicielsFootnote 7, les menaces internesFootnote 8 et de nombreuses autres tactiques. À ce sujet, Agronomy a déclaré qu’il n’y avait aucune preuve de la participation d’un employé à l’incident, ce qui laisse entendre que l’auteur de la menace avait volé les identifiants. Le Commissariat souligne que les comptes administrateur sont des cibles de prédilection, car un auteur de menace peut utiliser les nombreux privilèges associés à ces comptes pour élargir son accès et prendre le contrôle de tout un système.
- En mai, l’auteur de la menace a tenté d’utiliser son accès au système pour accéder à des comptes bancaires d’entreprise et acheter des bitcoins, sans succès. Il a ensuite profité du regroupement des systèmes d’Agronomy pour se déplacer latéralement dans le réseau et prendre le contrôle d’autres systèmes dans l’environnement de réseau d’Agronomy. Du 18 au 27 mai 2020, l’auteur de la menace a utilisé son contrôle des systèmes d’Agronomy pour exfiltrer des données des dossiers partagés, passant des communications et des dossiers organisationnels aux bases de données des clients. Il a ensuite déployé un rançongiciel le 27 mai 2020, qui a chiffré le contenu du système et bloqué l’accès légitime. Agronomy n’a pris connaissance de l’attaque qu’à ce moment-là. Ce retard dans la détection a probablement contribué au succès de l’auteur de la menace dans l’effacement des registres du système, car il a été en mesure de terminer toute l’activité et l’exfiltration, puis d’éliminer toutes les traces de ce travail avant de déployer le rançongiciel.
- Après s’être rendue compte que ses systèmes avaient été compromis, Agronomy a commencé à mettre sur pied une équipe d’intervention en cas d’incident, y compris des tiers spécialistes de la sécurité, et a renvoyé la question aux forces de l’ordre. L’équipe d’intervention en cas d’incident a été entièrement constituée, avec des ressources supplémentaires, au cours des jours suivants. Après avoir déployé le rançongiciel, l’auteur de la menace a communiqué avec Agronomy par courriel, exigé une rançon en échange de clés de déchiffrement pour son système et fourni les fichiers d’un échantillon pour démontrer la réussite de l’exfiltration des données. Acronomy a refusé de payer la rançon et a identifié 2 personnes touchées en fonction des fichiers de l’échantillon fourni. Agronomy a déclaré que les membres d’Agromart ont pris des mesures pour aviser ces 2 personnes de l’atteinte le 5 juin 2020. Agronomy a avisé le Commissariat et les 2 personnes touchées de l’atteinte le 8 juin 2020.
- Le 2 juin 2020, après qu’Agronomy eut omis de payer la rançon demandée, l’auteur de la menace a mis l’intégralité des données exfiltrées aux « enchères » sur un marché numérique qu’il a créé. La vente aux enchères est restée ouverte pendant une semaine. L’auteur de la menace a publié une série de messages sur Twitter au sujet de la vente aux enchères, alertant Agronomy qu’elle avait lieu. Pendant plusieurs jours au cours de cette période, l’auteur de la menace a publié des extraits des communications organisationnelles d’Agronomy concernant ses efforts pour gérer l’atteinte, jusqu’à ce que les systèmes d’Agronomy soient sécurisés par des experts tiers. Il a ensuite publié les fichiers exfiltrés sur le Web caché. Avec l’aide de ses experts tiers, Agronomy a été en mesure d’obtenir une copie de l’ensemble de données compromis et a fait appel à un fournisseur de services d’investigation électroniqueFootnote 9 pour analyser les données et déterminer les parties touchées.
- Agronomy a indiqué que les entreprises membres d’Agromart ont envoyé des avis aux personnes touchées au cours d’une période allant du 5 juin 2020 au 17 février 2021. Les membres d’Agromart ont envoyé de nouveaux avis à mesure qu’ils ont pris connaissance des personnes touchées grâce au processus d’investigation électronique en cours. [Le fournisseur] a envoyé un avis par la poste à [la personne plaignante] dans cette affaire [en] juillet 2020, et [celle-ci] l’a reçu au cours du [même mois]. Agronomy a fourni au Commissariat des mises à jour progressives concernant l’atteinte. Le nombre de personnes touchées a augmenté de façon constante sur plusieurs mois, passant de 2 personnes à un nombre définitif de 845.
Renseignements personnels visés par l’atteinte
- Comme il a été mentionné ci-dessus, Agronomy a finalement conclu que l’auteur de la menace avait obtenu les renseignements personnels de 845 personnes. Il s’agissait de clients de diverses entreprises du groupe Agromart, incluant [le fournisseur], dont les renseignements personnels étaient stockés dans les systèmes d’Agronomy. Tout dépendant de la personne dont les renseignements personnels ont été compromis, il y avait, en plus des renseignements recueillis dans les demandes d’ouverture de compte Agromart, le numéro d’assurance sociale (NAS), la date de naissance, le numéro de permis de conduire, le nom, l’adresse, le numéro de téléphone, le numéro de compte bancaire et le nom de l’institution financière, les renseignements de carte de crédit, les renseignements sur le passeport, les renseignements sur le salaire ou la pension, l’adresse courriel ou la signature électronique.
Enjeu 1 : Agronomy a-t-elle mis en œuvre des mesures de sécurité appropriées pour protéger adéquatement les renseignements personnels dont elle avait la gestion?
- Selon le principe 4.7 de la LPRPDE, les renseignements personnels doivent être protégés par des mesures de sécurité adaptées à leur sensibilité. Conformément au principe 4.7.1 de la LPRPDE, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
- Le principe 4.7.3 prévoit en outre que les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
- Le Commissariat a relevé de nombreuses lacunes dans les mesures de sécurité d’Agronomy. Il a conclu que, pour les raisons décrites ci-dessous, les mesures de sécurité mises en œuvre par Agronomy, lorsqu’elles sont considérées dans leur ensemble, ne permettaient pas de protéger les renseignements personnels dont elle avait la gestion.
Nature délicate des renseignements personnels
- Les renseignements personnels compromis comprenaient divers renseignements biographiques et financiers, ainsi que le NAS, une donnée de nature particulièrement délicate en raison de sa permanence et de son importance dans l’établissement de l’identité et le fonctionnement de la société canadienne. Le Commissariat souligne que de tels renseignements peuvent être utilisés par des individus malveillants pour commettre un vol d’identité. De plus, le Commissariat remarque que, dans certains cas, les renseignements sur les comptes bancaires et les numéros de carte de crédit étaient également compromis, ce qui pourrait permettre une fraude financière.
- Compte tenu de la nature délicate et des risques connexes décrits ci-dessus, les mesures de sécurité mises en œuvre par Agronomy pour protéger ces renseignements personnels auraient dû être proportionnellement élevées.
- [La personne plaignante] a affirmé avoir été victime d’une fraude financière à la suite de l’atteinte. L’intimée nie cette allégation. L’enquête du Commissariat ne portait pas sur cette question.
- Agronomy a indiqué qu’aucune autre personne n’a contacté l’entreprise, à l’exception [de la personne plaignante], pour se plaindre de l’atteinte ou pour signaler des pertes.
Mesures de sécurité techniques
- En ce qui concerne les mesures de sécurité techniques, le Commissariat a relevé un certain nombre de lacunes importantes liées à la prévention des atteintes et à l’intervention d’Agronomy. Certaines d’entre elles ont contribué directement à l’atteinte en question et à sa gravité. Plus particulièrement : i) Agronomy n’avait pas d’authentification multifacteur, ce qui a permis à l’auteur de la menace d’accéder facilement au système avec des identifiants volés; ii) après avoir obtenu l’accès au réseau, l’auteur de la menace pouvait se déplacer librement dans le réseau d’Agronomy faute de segmentation; iii) l’auteur de la menace pouvait lire les données consultées sur le réseau, car elles n’étaient pas chiffrées; et iv) en raison d’un manque d’outils de détection et d’intervention, l’auteur de la menace a pu infiltrer le réseau, exfiltrer les données et couvrir ses traces, sans être détecté pendant environ 2 mois.
- Agronomy n’a pas utilisé l’authentification multifacteur pour l’accès des employés à ses systèmes, ce qui a permis à l’auteur de la menace d’utiliser des identifiants volés pour obtenir un accès administratif complet aux systèmes de l’intimée. L’authentification multifacteur est largement reconnue comme une pratique exemplaire en matière de sécurité, en particulier pour les comptes assortis de vastes pouvoirs administratifs qui permettent d’accéder à des renseignements de nature très délicate. La mise en œuvre de l’authentification multifacteur n’aurait pas permis l’accès non autorisé au compte même si l’auteur de la menace connaissait le mot de passe de l’administrateur. Un deuxième facteur, comme un téléphone ou une clé USB « appartenant » à l’administrateur ou une empreinte biométrique prouvant qui « était » l’administrateur, aurait été requis.
- La gravité de l’attaque a été exacerbée par l’absence de segmentation dans l’architecture de réseau d’Agronomy. Agronomy avait interconnecté de multiples systèmes d’Agromart alors que ce n’était pas nécessaire. Cela a permis à l’auteur de la menace de profiter du mouvement latéral et de compromettre et de prendre le contrôle de multiples systèmes dans le réseau d’entreprise d’Agromart. Il est recommandé de ne relier que les postes de travail et les systèmes nécessaires dans un réseau afin de minimiser les dommages pouvant être causés par le mouvement latéral. Si les réseaux des différents détaillants d’Agromart avaient été séparés, les répercussions de l’atteinte auraient pu être considérablement réduites, car l’auteur de la menace n’aurait probablement pu prendre le contrôle que d’un seul des systèmes des détaillants d’Agromart.
- Agronomy n’a pas utilisé le chiffrement pour sécuriser sa base de données ou ses données. L’entreprise a stocké des renseignements personnels de nature délicate dans des dossiers partagés largement accessibles aux employés. Agronomy a fait valoir que le chiffrement n’aurait pas empêché la prise des mesures malveillantes, car l’auteur de la menace avait accès à un compte administrateur. Le Commissariat remarque toutefois que divers niveaux de privilèges administratifs peuvent exister et qu’un administrateur n’a pas nécessairement besoin d’avoir accès à toutes les clés de chiffrement. En général, il est de bonne pratique en matière de sécurité de segmenter l’accès et les permissions afin de réduire au minimum les effets d’un compte unique compromis. Indépendamment de l’incident en question, l’absence de chiffrement et les mauvaises pratiques de stockage des données (dont il est question aux paragraphes 36 et 37) ont rendu les données d’Agronomy vulnérables à la compromission dans divers scénarios, ce qui représente une vulnérabilité critique. Le chiffrement des données d’entreprise est une pratique exemplaire standard. Dans ce contexte, puisque les dossiers contenaient des renseignements personnels de nature délicate, le Commissariat se serait attendu à ce qu’il y ait du chiffrement.
- Agronomy n’avait pas non plus les outils adéquats pour détecter les attaques et y répondre. En l’absence d’outils pour alerter les comportements suspects, les auteurs de menace peuvent passer inaperçus jusqu’à ce que des dommages graves soient causés. Plus précisément, Agronomy n’avait pas les outils adéquats de journalisation et d’alertes, comme une solution de gestion de l’information et des événements de sécuritéFootnote 10 (GIES). Il ne disposait pas non plus d’outils de détection ou d’intervention comme un logiciel de détection et d’intervention sur les terminaux (EDR) ou un produit de détection et d’intervention étenduesFootnote 11 (XDR).
- Une solution de GIES bien configurée peut regrouper et analyser des données provenant de diverses sources dans un réseau d’entreprise et, lorsqu’elle est dotée de règles appropriées pour détecter les comportements suspects, elle peut fournir des alertes au personnel pour permettre l’atténuation et l’intervention. Ce genre de solution offre une vaste couverture en analysant des millions d’événements et en identifiant les attaques qu’un seul outil de sécurité pourrait manquer.
- Un logiciel d’EDR ou un produit XDR offre des capacités de surveillance, de détection et d’intervention centralisées pour les terminaux comme les postes de travail, les serveurs et les téléphones, qui sont des parties vulnérables du réseau.
- Au moment de l’incident, Agronomy se fiait aux registres de son matériel pare-feu et de son système d’exploitation pour la surveillance et la détection. Le pare-feu a enregistré un certain nombre de mesures prises par l’auteur de la menace. Un examen des registres fournis au Commissariat par l’intimée a révélé un comportement du compte et des habitudes d’accès qui auraient pu être considérés comme suspects. Toutefois, en l’absence d’une solution de détection et d’intervention, aucune de ces actions n’a donné lieu à des alertes au personnel – ces actions n’ont pas été identifiées comme suspectes jusqu’à ce que des experts tiers mènent une enquête après l’incident.
- Par conséquent, dans cette situation, l’auteur de la menace a pu profiter d’un accès non détecté aux systèmes d’Agronomy pendant environ 2 mois, ce qui lui a permis de mieux contrôler l’ensemble du système et de couvrir ses traces en supprimant divers registres et sauvegardes. L’intrusion ou la compromission n’a pas été découverte par Agronomy jusqu’à ce que l’auteur de la menace utilise un rançongiciel pour chiffrer et verrouiller les systèmes de l’entreprise. Si Agronomy avait mis en place des outils de détection et d’intervention correctement configurés, l’incident aurait pu être détecté en quelques heures ou jours, et l’exfiltration des données des clients aurait pu être évitée ou considérablement atténuée.
- Le Commissariat a également relevé d’autres lacunes dans les mesures de sécurité qui, bien qu’elles ne soient pas directement liées à l’atteinte, montrent que l’intimée a omis de protéger adéquatement les renseignements de nature délicate dont elle avait la gestion.
- Pour ce qui est de la prévention des attaques, Agronomy avait installé un pare-feu et un antivirus, mais elle n’avait pas de pare-feu d’application WebFootnote 12 et ne pouvait pas divulguer les mesures qu’elle avait prises pour sécuriserFootnote 13 ses serveurs, ce à quoi le Commissariat se serait attendu conformément aux pratiques habituelles.
- Agronomy n’avait pas non plus de politique ou de protocole de gestion des correctifs pour installer rapidement des mises à jour logicielles qui protégeraient contre les vulnérabilités connues. L’entreprise a déclaré que des correctifs avaient été apportés de façon ponctuelle. Agronomy avait travaillé à l’application de mises à jour du système d’exploitation aux postes de travail et aux serveurs, mais certains systèmes n’avaient pas été mis à jour. Si les éléments de preuve indiquent que les logiciels désuets n’étaient pas directement responsables de l’atteinte en question, le fait de ne pas corriger et mettre à jour les systèmes représente un risque important qui peut causer des atteintes ou les aggraver. Lorsque des individus malveillants prennent connaissance d’une vulnérabilité pour laquelle un correctif a été créé, ils cherchent rapidement des occasions d’en tirer parti sur des systèmes qui n’ont pas encore été corrigés. Il est donc de la plus haute importance d’établir un protocole pour garantir que les correctifs soient mis en œuvre le plus tôt possible, dès qu’ils sont disponibles.
Mesures de sécurité organisationnelles
- En plus des lacunes qu’il a constatées dans les mesures de sécurité techniques d’Agronomy, le Commissariat a également relevé des lacunes importantes dans les politiques et les mesures de protection de l’entreprise.
- Tout d’abord, Agronomy n’avait pas de protocoles d’intervention en cas de cyberattaque.
- Dans la présente affaire, le Commissariat reconnaît qu’Agronomy a pris des mesures pour intervenir après avoir découvert l’atteinte, notamment en déployant une équipe d’intervention et en demandant l’aide d’experts internes et externes. De plus, le fait d’avoir un plan d’intervention en cas d’incident n’aurait peut-être pas amélioré sensiblement le résultat dans ce cas-ci, car l’intimée n’a pas détecté l’intrusion de l’auteur de la menace pendant environ 2 mois. À ce moment-là, le rançongiciel avait déjà été déployé (et la plupart des dommages avaient été causés).
- Cela dit, si Agronomy avait mis en œuvre des outils appropriés pour détecter l’atteinte et en informer l’intimée plus tôt, un protocole d’intervention approprié aurait pu atténuer davantage les dommages causés par l’atteinte. De plus, comme il est expliqué au paragraphe 12, l’auteur de la menace a continué d’acquérir et de publier les communications confidentielles d’Agronomy même après que le déploiement du rançongiciel ait alerté Agronomy d’une atteinte. Agronomy a expliqué que même si ses dirigeants communiquaient sur le réseau d’une société affiliée qui n’avait pas été compromis, l’un des cadres participant à la discussion avait mis en place un programme de transfert de courriels qui envoyait des courriels au système compromis. Des protocoles d’intervention appropriés auraient probablement permis de prévenir ce type de comportement et, par conséquent, le réseau aurait pu être sécurisé beaucoup plus rapidement. En général, la préparation et la planification d’incidents cybernétiques sont des mesures de sécurité importantes en soi, car il est souvent essentiel de réagir rapidement à un incident pour évaluer, gérer et atténuer les dommages associés à la découverte d’une atteinte.
- De plus, Agronomy n’avait pas de bonnes pratiques de gestion de l’information et de stockage des données pour assurer le stockage sécuritaire des renseignements personnels de nature délicate de ses clients. Les employés d’Agronomy ont stocké les renseignements personnels de nature très délicate des 845 personnes touchées dans différents dossiers partagés, nommés « Documents divers » [traduction], au lieu de les sauvegarder dans une base de données ou un dépôt sécurisé.
- Cette lacune dans la gestion de l’information a contribué au retard dans l’identification des personnes touchées par Agronomy. Agronomy n’avait pas une connaissance suffisante de ses propres pratiques de stockage des données et des règles de stockage des données des clients sur ses serveurs. Par conséquent, les retards ont été importants, et il a fallu 7 mois à Agronomy pour identifier les personnes touchées de façon échelonnée au moyen de l’investigation électronique par une tierce partie de l’ensemble de données compromis. Agronomy a bien fait de demander l’aide d’experts pour confirmer les personnes et les données touchées, mais si elle avait mis en œuvre des politiques appropriées de gestion et de stockage de l’information, l’expert en matière d’investigation électronique aurait probablement pu accélérer son identification des personnes touchées.
- En fin de compte, Agronomy manquait de documentation et de dossiers liés à la sécurité, en général. En raison de la documentation et des dossiers limités ou insuffisants au sujet des mesures de sécurité antérieures de l’organisation, Agronomy n’a pu répondre à de nombreuses questions fondamentales. Par conséquent, le Commissariat n’a pas été en mesure d’évaluer pleinement son infrastructure de sécurité. Agronomy a expliqué que toute son équipe de TI et une grande partie de son infrastructure de TI ont changé depuis l’atteinte. L’entreprise s’attend à voir un roulement de personnel et un changement d’infrastructure au fil du temps. Toutefois, une tenue des dossiers et une documentation suffisantes sur les mesures de sécurité et l’atteinte auraient permis à Agronomy de mieux répondre à nos questions et de préserver les connaissances organisationnelles qui pourraient aider l’entreprise à éviter des vulnérabilités semblables en matière de sécurité à l’avenir.
- De même, Agronomy n’a fourni aucune documentation concernant la formation du personnel des TI et des autres employés. L’intimée n’a pas non plus été en mesure de confirmer si une formation en TI avait été offerte à son personnel. Le Commissariat souligne que la formation continue, en particulier en cybersécurité, est essentielle pour s’assurer que des mesures de sécurité clés sont en place et correctement configurées en raison de l’évolution constante de la sécurité des TI.
- Cela souligne l’importance pour les organisations d’avoir des politiques et des pratiques de tenue de dossiers documentées pour évaluer, gérer, suivre et démontrer la mise en œuvre de mesures de sécurité suffisantes conformément à la LPRPDE.
Évaluation des mesures de sécurité d’Agronomy avant et après l’atteinte
- Le Commissariat conclut que les vulnérabilités particulières décrites ci-dessus indiquent qu’Agronomy n’a pas appliqué les mesures de sécurité appropriées pour protéger les renseignements personnels de nature délicate de l’entreprise, ce qui contrevient au principe 4.7 de la LPRPDE.
- Le Commissariat reconnaît que ce ne sont pas toutes les petites et moyennes entreprises (PME) qui auront la capacité de maintenir, à l’interne, l’expertise diversifiée nécessaire pour assurer des mesures de sécurité techniques adéquates, gérer l’information, créer des protocoles d’intervention en cas d’atteinte et offrir la formation connexe compte tenu du caractère dynamique de l’environnement de menace. Toutefois, les PME peuvent utiliser divers fournisseurs de services et des outils automatisés tiers pour combler les lacunes en matière de protection et satisfaire aux exigences de conformité établies par la LPRPDE.
Mesures prises par Agronomy depuis l’atteinte
- Le Commissariat note que, depuis l’atteinte, Agronomy a apporté un certain nombre d’améliorations importantes à son dispositif de sécurité, notamment en passant un marché pour des services de tiers qu’elle n’a peut-être pas la capacité de maintenir à l’interne. Ces améliorations ont été guidées par des experts externes et une toute nouvelle équipe interne de TI. De plus, les recommandations du Commissariat, décrites en détail ci-dessous, ont été prises en compte.
Améliorations aux mesures de sécurité techniques
- Agronomy a mis en place l’authentification multifacteur pour tous ses services externes, ses services d’infrastructure et ses services administratifs, ainsi que de nombreux comptes d’employés. Elle a également déplacé son infrastructure vers une plateforme d’infrastructure sous forme de service tierce (c.-à-d. nuage) et mis en œuvre un accès conditionnel, en fonction des besoins des employés.
- L’intimée a mis en place un gestionnaire de mots de passe d’entreprise et une politique relative aux mots de passe afin d’améliorer la force et la qualité des mots de passe et de se protéger contre les auteurs de menaces qui tentent d’accéder au système au moyen d’attaques par force bruteFootnote 14.
- Agronomy a procédé à un examen complet de ses configurations de pare-feu et de ses comptes et a mis en œuvre un nouveau produit EDR et un nouvel antivirus.
- De plus, l’entreprise a déployé des fonctions d’alerte et des ensembles de règles dans ses outils de journalisation et de surveillance afin de détecter tout comportement anormal dans les comptes administratifs.
- Agronomy a modifié son architecture de réseau pour supprimer les liens entre les sites affiliés d’Agromart. Par conséquent, une attaque contre un système ne touche plus les autres systèmes.
- Elle a également installé des logiciels de gestion de correctifs de fournisseurs tiers et configuré des correctifs automatiques pour s’assurer que les logiciels restent à jour.
- À la suite de l’atteinte, l’intimée a installé un service de prévention de la perte de donnéesFootnote 15 (PPD) pour améliorer la sécurité, notamment par le chiffrement et le contrôle des bases de données et des fichiers. Par exemple, un service de PPD peut identifier des renseignements de nature délicate qui correspondent à des caractéristiques définies (comme un numéro à 9 chiffres qui ressemble à un NAS) et les protéger contre l’accès et l’exfiltration non autorisée.
Améliorations aux mesures de sécurité organisationnelles
- Agronomy inclut maintenant une formation en TI dans son plan de perfectionnement des employés, qui sera offerte à tout le personnel de façon continue. Agronomy offre aussi une formation en cybersécurité à son personnel. L’entreprise a établi un partenariat avec un fournisseur tiers pour offrir de la formation continue et effectuer des simulations d’hameçonnage pour aider les employés à reconnaître et à prévenir ce genre d’attaques.
- Enfin, en réponse à la recommandation du Commissariat, Agronomy a accepté de mettre en œuvre des protocoles pour la gestion des incidents et les attaques du jour zéroFootnote 16.
- Par conséquent, le Commissariat estime que cet élément de la plainte était fondé et conditionnellement résolu.
Enjeu 2 : Agronomy était-elle responsable des renseignements personnels dont elle avait la gestion?
- Le principe 4.1 de la LPRPDE stipule que les organisations sont responsables des renseignements personnels dont elles ont la gestion et doivent désigner une ou des personnes qui devront s’assurer du respect des principes de la LPRPDE. Le principe 4.1.4 prévoit en outre, en partie, que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes de la LPRPDE, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et aux pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.
- Bien que le Commissariat n’ait pas procédé à un examen exhaustif du cadre de gestion de la responsabilisation de l’intimée, il a constaté chez Agronomy un manque généralisé de politiques et de pratiques en matière de protection de la vie privée, ainsi que la formation connexe, pour protéger les renseignements dont elle a la gestion.
- Agronomy ne disposait pas non plus d’une politique globale de protection des renseignements personnels. Agronomy n’avait qu’une politique relative au traitement des renseignements personnels par l’entremise du site Web d’Agromart (p. ex. en ce qui concerne les témoins et les analyses).
- Enfin, le Commissariat note qu’Agronomy n’a pas désigné de personne pour s’assurer du respect de la LPRPDE.
- Le Commissariat conclut donc qu’Agronomy a contrevenu aux principes 4.1 et 4.1.4 de la LPRPDE.
- Le Commissariat est d’avis que si Agronomy avait mis en œuvre un vaste programme de gestion de la protection des renseignements personnels, qui aurait compris un agent désigné de la protection de la vie privée, des procédures et des pratiques de sécurité des renseignements et une formation correspondante, la majorité, sinon la totalité, des manquements aux mesures de sécurité qu’il a relevés dans le cadre de cette enquête auraient pu être atténués de façon importante ou évités entièrement.
- Tout au long de l’enquête du Commissariat, Agronomy a mis en place diverses procédures et politiques de sécurité en lien avec la protection des renseignements personnels (comme il est expliqué à l’enjeu 1). L’entreprise s’est aussi engagée à nommer un agent de la protection de la vie privée et a élaboré une politique sur la protection des renseignements personnels. Cette politique est accessible au point de collecte à partir de son formulaire de demande. La politique traite des pratiques de l’entreprise en matière de collecte, d’utilisation et de divulgation des renseignements personnels de ses clients.
- Par conséquent, le Commissariat estime que cet élément de la plainte était fondé et conditionnellement résolu.
Enjeu 3 : Agronomy a-t-elle obtenu un consentement valide?
- Le principe 4.3 de la LPRPDE stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.6 prévoit que, en général, une organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles. Le principe 4.3.2 précise en outre qu’il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement, et que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.
- Agronomy s’est fondée sur le consentement obtenu par ses sociétés affiliées, comme [le fournisseur] dans le cas de [la personne plaignante], pour la collecte et l’utilisation de renseignements personnels. Agronomy a utilisé ces renseignements personnels pour offrir des services de crédit aux clients des entreprises membres d’Agromart. L’intimée a expliqué que les membres du groupe Agromart, y compris [le fournisseur], se fiaient à un seul formulaire normalisé pour obtenir le consentement pour la collecte, l’utilisation et la communication des renseignements personnels des clients. Ce formulaire serait fourni à un client individuel pour lui permettre de contracter des services auprès d’entreprises d’Agromart et de conclure une entente de crédit s’il le souhaitait. Agronomy a ajouté que la majorité des clients ont choisi de conclure une entente de crédit. Le formulaire standard permettrait la création d’un dossier client nécessaire à la réception des commandes, à la facturation et à la livraison des produits.
- Ce formulaire demandait des renseignements personnels, y compris des renseignements biographiques comme le nom, l’adresse et la date de naissance, le NAS, le numéro de permis de conduire, la date de naissance et le NAS du conjoint ou de la conjointe, ainsi que des renseignements financiers, comme des renseignements bancaires (c.-à-d. les renseignements qui ont été compromis pendant l’atteinte). Compte tenu de la nature délicate de ces renseignements, un consentement explicite était requis.
- [La personne plaignante] a admis avoir rempli un formulaire « Groupe Agromart – Demande et entente de crédit » [traduction], mais a soutenu [qu’elle] n’avait pas autorisé l’intimée à « recueillir de façon exhaustive ses renseignements » [traduction] en vue de lui accorder un crédit. Selon [la personne plaignante, elle] avait seulement l’intention d’acheter des services agricoles [du fournisseur] et [elle] n’a jamais été informée [qu’elle] avait fait une demande de crédit ou qu’un crédit lui avait été accordé. [La personne plaignante] a indiqué que le formulaire [qu’elle] avait rempli était le seul qui lui avait été fourni pour acheter des biens et des services de l’intimée. Enfin, [la personne plaignante] a affirmé n’avoir jamais reçu de confirmation indiquant que sa demande de crédit avait été accordée ou approuvée.
- Le Commissariat a examiné une copie du formulaire de demande original et a observé ce qui suit :
- le formulaire de 2 pages contenait de gros caractères d’imprimerie en haut de la page qui indiquaient bien en vue le titre du formulaire : « Groupe Agromart – Demande et entente de crédit », suivi de : « Nom d’Agromart : [Fournisseur] » [traductions] .
- Le formulaire comportait également une section intitulée « Montant du crédit requis », remplie à la main avec le chiffre de 100 000 $, ainsi qu’une case « Intrants agricoles » cochée [traductions].
- Par la suite, diverses modalités énonçaient les obligations et les approbations nécessaires pour obtenir et maintenir le crédit.
- Le nom [de la personne plaignante], sa signature et la date étaient visibles au bas du formulaire, à la suite des modalités.
- Agronomy a fourni au Commissariat des documents montrant qu’un compte avec une limite de crédit de 100 000 $ a été ouvert au nom [de la personne plaignante] à la réception de son formulaire de demande dûment rempli.
- L’intimée a expliqué que l’octroi de crédit permettait aux clients de passer des commandes et de les payer à la réception de la facture. Dans les cas où le crédit n’est pas accordé, les clients ne peuvent recevoir des biens et des services qu’au moment du paiement intégral avant la livraison.
- Agronomy a fourni au Commissariat des factures et des dossiers de paiement émis par [le fournisseur] montrant qu’à plusieurs occasions, le produit a été fourni à [la personne plaignante] à crédit, c.-à-d. que [la personne plaignante] a reçu le produit avec une facture demandant le paiement, et [qu’elle] a par la suite payé le produit.
- [La personne plaignante] a déclaré [qu’elle] payait généralement à l’avance chaque saison et [qu’elle] payait par chèque immédiatement lorsque ses achats dépassaient le montant [qu’elle] avait déjà payé. Les dossiers fournis au Commissariat par Agronomy corroborent l’explication [de la personne plaignante] : les soldes impayés, lorsque la valeur des produits livrés dépassait le montant payé à l’avance, ont été payés dans un délai de 3 à 5 semaines.
- Enfin, le Commissariat reconnaît que [la personne plaignante] s’est vu accorder du crédit et [qu’elle] s’est prévalue des avantages du compte de crédit tout en portant un solde au cours de la relation d’affaires.
- Le formulaire signé par [la personne plaignante] portait clairement la mention de demande de crédit. Il est question en long et large dans les modalités de la création d’une entente de crédit et de la collecte de renseignements personnels à cette fin. Conformément à cette entente, l’intimée a accordé une ligne de crédit de 100 000 $ qui a ensuite été utilisée par [la personne plaignante].
- Compte tenu de tout ce qui précède, le Commissariat estime que cet élément de la plainte était non fondé.
- Malgré la conclusion du Commissariat dans le cas présent, Agronomy a indiqué que : i) les membres d’Agromart utilisent un nouveau formulaire qui sépare plus clairement la section où le client peut fournir des renseignements aux fins de la demande de crédit; et ii) un nouveau formulaire sera créé pour les clients qui n’ont pas besoin de crédit. Ce nouveau formulaire ne demandera que les renseignements commerciaux nécessaires à l’ouverture du dossier du client et à la conformité réglementaire à la vente de marchandises contrôlées.
Conclusion
- Compte tenu de tout ce qui précède et de l’engagement de l’intimée à mettre en œuvre les recommandations du Commissariat, comme il est décrit aux paragraphes 52 et 60 ci‑dessus, dans les 2 mois suivant la publication du présent rapport, le Commissariat conclut que :
- l’élément de la plainte portant sur les mesures de sécurité était fondé et conditionnellement résolu;
- l’élément de la plainte portant sur la responsabilisation était fondé et conditionnellement résolu;
- l’élément de la plainte portant sur le consentement était non fondé.
- Malgré les graves lacunes en matière de sécurité que le Commissariat a relevées dans le cadre de son enquête, il félicite Agronomy pour les améliorations qu’elle a apportées en réaction à l’atteinte, qui ont donné lieu à une infrastructure de sécurité de l’information beaucoup plus robuste.
- Date de modification :