Sélection de la langue

Recherche

Principaux points à retenir de l’enquête du Commissariat à la protection de la vie privée du Canada sur la cyberattaque touchant le service CléGC et l’Agence du revenu du Canada

Le 28 mars 2024

Les bulletins qui portent sur la Loi sur la protection des renseignements personnels visent à transmettre les leçons apprises, les pratiques exemplaires ainsi que les nouvelles, les tendances et les renseignements importants sur la protection de la vie privée dans le secteur public fédéral. Nous vous encourageons à communiquer cette information à vos collègues.


Dans le présent bulletin :

Principaux points à retenir de l’enquête du Commissariat sur la cyberattaque touchant le service CléGC et l’Agence du revenu du Canada

Les ministères et les organismes fédéraux détiennent un grand volume de renseignements de nature sensible, y compris les renseignements personnels de millions de Canadiennes et de Canadiens, faisant de ces derniers une cible de choix lors de cyberattaques. C’est pourquoi ils doivent mettre en place des mesures de protection rigoureuses afin d’atténuer les risques d’atteinte à la sécurité des données.

Voici quelques points à retenir, lesquels sont tirés de l’enquête du Commissariat à la protection de la vie privée du Canada portant sur la cyberattaque menée en 2020 contre le portail de connexion de l’Agence du revenu du Canada (ARC) et le service d’authentification « CléGC » d’Emploi et Développement social Canada (EDSC).

L’enquête, qui visait à déterminer comment des pirates informatiques ont pu s’infiltrer dans les services en ligne et accéder aux comptes d’individus et les modifier, offre des leçons importantes qui sont valables pour tous les ministères et organismes.

  1. S’assurer que les risques d’atteinte à la vie privée liés aux programmes et aux services sont évalués et atténués, surtout lorsque ceux-ci concernent des renseignements personnels de nature sensible : Il demeure important que les ministères portent une attention particulière aux répercussions de leurs activités sur la vie privée et les évaluent soigneusement afin d’établir si une évaluation des facteurs relatifs à la vie privée (EFVP) est nécessaire et à quel moment elle doit être réalisée. Dans le cadre d’une EFVP, les ministères et les organismes doivent cerner les vulnérabilités de leurs systèmes. Ils doivent réfléchir à la manière dont des auteurs malveillants pourraient accéder aux renseignements personnels qu’ils détiennent ou les modifier, aux préjudices qui pourraient en résulter et aux mesures de protection qui pourraient être mises en œuvre pour atténuer ces préjudices.
  2. Tenir compte des risques liés à la modification frauduleuse ou à la transmission de faux renseignements personnels (p. ex. par un imposteur) : Des auteurs malveillants peuvent se faire passer pour quelqu’un d’autre et présenter une demande frauduleuse pour obtenir des services ou des prestations du gouvernement à la place de cette personne. Aux termes du paragraphe 6(2) de la Loi sur la protection des renseignements personnels, qui vise à assurer l’exactitude des renseignements personnels, les organisations sont tenues de prendre des mesures raisonnables pour prévenir la modification frauduleuse ou la communication de faux renseignements personnels.
  3. Déterminer le niveau de validation de l’identité requis et faire en sorte que les employés sachent comment l’évaluer : Les employés des centres d’appels du gouvernement qui fournissent des renseignements généraux n’ont peut-être pas besoin de savoir si leur interlocuteur est bien la personne qu’elle prétend être. Dans d’autres cas, lorsqu’une personne doit fournir des renseignements personnels pour avoir accès à des services ou à des prestations, les employés doivent confirmer l’identité d’une personne selon un niveau d’assurance plus élevé. Le fait de fournir un numéro d’assurance sociale ou un numéro d’employé n’est peut-être pas une garantie suffisante. Les ressources permettant d’établir l’assurance de l’identité comprennent la Ligne directrice sur la définition des exigences en matière d’authentification et la Ligne directrice sur l’assurance de l’identité du Secrétariat du Conseil du Trésor du Canada (SCT). Les ministères et les organismes devraient adopter des pratiques conformes aux normes d’assurance de l’identité reconnues à l’échelle internationale (en anglais seulement) dans les cas où la compromission des renseignements pourrait entraîner un préjudice modéré. Avec l’authentification multifacteur, par exemple, l’utilisateur doit souvent indiquer un renseignement qu’il connaît, comme un mot de passe, et fournir quelque chose qu’il possède, comme un code à usage unique envoyé à un numéro de téléphone inscrit à son compte.
  4. Mener des évaluations régulières de la sécurité : Les ministères et les organismes qui traitent de grandes quantités de renseignements personnels de nature sensible devraient mener des évaluations régulières de la vulnérabilité afin de cerner les failles et les faiblesses des mécanismes de sécurité et prendre des mesures pour les corriger rapidement, le cas échéant. Le Centre canadien pour la cybersécurité offre des conseils aux institutions fédérales en matière de cybersécurité, notamment sur la protection des réseaux et de l’information sensible.
  5. Assurer une surveillance pour détecter rapidement les atteintes potentielles : En vérifiant activement les connexions en vue de repérer les tendances inhabituelles, les ministères et les organismes sont mieux placés pour détecter les problèmes potentiels aussitôt qu’ils surviennent. Ils doivent mettre en place un régime de surveillance efficace, assorti de mécanismes de coordination et de communication solides.
  6. Être prêt à prendre des mesures correctives immédiatement : En cas d’atteinte, il est essentiel que les organisations réagissent rapidement pour remédier à la situation et éviter que les personnes touchées ne subissent d’autres préjudices. Ainsi, la prise de mesures de protection améliorées et les protocoles de fermeture du portail sont prêts à être déployés rapidement en cas de détection d’une menace. Les ministères et les organismes fédéraux assujettis à la Loi sur la protection des renseignements personnels sont tenus de signaler les atteintes substantielles à la vie privée au Commissariat et au SCT après avoir déployé des efforts pour limiter, évaluer et atténuer l’atteinte et au plus tard sept jours après que l’institution détermine que l’atteinte est substantielle.
  7. Établir des structures solides pour éviter les cloisonnements dans l’échange de renseignements et la prise de décision : En ce qui concerne les programmes touchant plusieurs ministères et organismes fédéraux, toutes les parties doivent être conscientes des préjudices potentiels, des menaces actuelles et des vulnérabilités propres aux différentes parties du système. Les décisions portant sur la mise à jour ou la modification des mesures de protection communes doivent être prises en connaissance de cause et avec la participation de toutes les parties concernées. Le rôle et les responsabilités de chaque partie en ce qui concerne la surveillance de l’accès aux renseignements personnels, ainsi que le repérage et le signalement des atteintes à la vie privée, doivent être clairement définis.

Les institutions fédérales peuvent consulter la Direction des services-conseils au gouvernement du Commissariat au sujet des programmes et des activités ayant une incidence sur la vie privée, ainsi que sur le processus d’EFVP. Si vous souhaitez obtenir notre aide, n’hésitez pas à envoyer un courriel à l’adresse scg-ga@priv.gc.ca.

Les institutions fédérales peuvent aussi consulter la Division de la protection de la vie privée et des données du SCT afin d’obtenir des conseils sur les éléments dont il faut tenir compte dans l’ensemble de politiques sur la protection de la vie privée du SCT, y compris le processus d’EFVP. Vous pouvez communiquer avec cette division à l’adresse ippd-dpirp@tbs-sct.gc.ca.

Pour en savoir davantage

Rapport spécial au Parlement : Enquête sur la communication et la modification non autorisées de renseignements personnels détenus par l’Agence du revenu du Canada et Emploi et Développement social Canada découlant de cyberattaques.

La période de mise en candidature pour les tout nouveaux prix pour la protection de la vie privée est ouverte

La toute première remise des prix PICCASO au Canada est une occasion de souligner les initiatives positives de protection de la vie privée dans de nombreux secteurs et de nombreuses industries partout au pays. Ces prix, décernés par un organisme externe, comprennent une catégorie dans laquelle on reconnaît le leadership dans le secteur public. Ce prix récompensera « une équipe ou une personne faisant preuve d’un leadership et d’une innovation de pointe dans le domaine des données et de la protection de la vie privée ». Nous vous invitons à présenter votre candidature ou celle d’une personne ou d’une organisation. La période de mise en candidature se termine le 7 avril. Le Commissariat ne participe pas à l’organisation de cet événement, mais nous appuyons la reconnaissance de l’excellence dans le domaine de la protection de la vie privée et nous vous communiquons ces renseignements au cas où vous seriez intéressé.


Ne manquez pas nos prochains Bulletins sur la LPRP en vous abonnant à notre fil RSS.

Date de modification :