La cybersécurité figure parmi les aspects les plus importants de la gestion du risque à l'échelle des organisations, tant du secteur privé que public. Le Canada ne fait pas exception. Ce scandale a précipité la modification historique de lois, les activités de réglementation, la hausse sans précédent du nombre de litiges mettant en cause la vie privée, l'octroi de dommages-intérêts et l'autorisation de recours collectifs partout au pays.

Dans son Rapport de conclusions d'enquête en vertu de la LPRPDE no 2016-005 relatif à l'Enquête conjointe sur Ashley Madison, le Commissariat à la protection de la vie privée du Canada a fourni aux organisations des lignes directrices indispensables en matière de protection des renseignements et de cybersécurité. Dans la foulée du piratage hautement médiatisé du site Web de rencontre pour adultes Ashley Madison et de la divulgation d'une quantité importante de renseignements personnels obtenus par piratage, le commissaire a conclu qu'Ashley Madison n'avait pas respecté un certain nombre d'exigences prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRDE » ).

Le commissaire a mené une enquête approfondie sur cette violation. Bien que le commissaire ait noté qu'Ashley Madison avait pris des mesures positives en réponse à cet incident, il a toutefois reproché  a) l'absence d'authentification multifactorielle pour l'accès à distance aux systèmes en tant qu'administrateur, b) l'absence de mesures préventives et de détection utilisées couramment, c) de mauvaises pratiques de gestion des identificateurs et des mots de passe (p. ex. stockage en texte clair des mots de passe, y compris dans les courriels, et le chiffrement des clés stockées en texte clair).  

En établissant la norme que devront suivre les organisations à l'avenir, le commissaire a conclu que les organisations qui détiennent des renseignements sensibles ou de grandes quantités de renseignements personnels sont tenues en vertu de la LPRDE d'avoir un cadre de gouvernance solide en matière de sécurité de l'information, y compris : a) une politique consignée sur la sécurité de l'information, b) un processus de gestion du risque explicite comprenant des évaluations périodiques et proactives des menaces à la vie privée et des évaluations de pratiques relatives à la sécurité, c) la formation concernant la protection de la vie privée et la sécurité pour tous les membres du personnel. Ces constatations s'avèrent une évolution rare et importante des attentes réglementaires et juridiques ainsi que des normes juridiques en matière de cybersécurité au Canada.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.