Ouverture d'une enquête sur le vol de données de clients de Nova Scotia Power

HALIFAX — Le commissaire fédéral à la protection de la vie privée a ouvert une enquête sur une attaque par rançongiciel qui a conduit au vol d'informations personnelles appartenant à 280 000 clients de la compagnie d'électricité de la Nouvelle-Écosse.

La société privée Nova Scotia Power a confirmé la semaine dernière que des pirates informatiques avaient volé les données et les avaient publiées sur le «dark web».

Le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a déclaré dans un communiqué mercredi qu'il avait entamé l'enquête après avoir reçu des plaintes au sujet d'une faille de sécurité signalée par la compagnie d'électricité à la fin du mois d'avril.

«Les violations de données se sont multipliées au cours de la dernière décennie et cet incident met en évidence les risques croissants de cyberattaques pour toutes les organisations», a-t-il écrit dans le communiqué.

M. Dufresne a affirmé qu'il voulait s'assurer que la compagnie d'électricité prenait les mesures appropriées pour remédier à la faille, qui, selon Nova Scotia Power, comprenait la divulgation des numéros d'assurance sociale de certains clients.

Le commissaire a indiqué que son enquête porte sur les mesures prises par l'entreprise pour contenir la violation, informer ses clients et réduire le risque de fraude et d'usurpation d'identité.

Nova Scotia Power offre aux clients concernés un abonnement de deux ans à des services de surveillance du crédit par l'entremise de TransUnion Canada.

Elle a également envoyé des lettres à ses clients pour les informer que les données volées pouvaient inclure leur nom, leur date de naissance, leur adresse électronique, leur adresse personnelle, les informations relatives à leur compte client, leur numéro de permis de conduire et, dans certains cas, leur numéro de compte bancaire.

Certains experts ont critiqué la manière dont la compagnie d'électricité a informé ses clients de la violation.

Selon le site web de la commission, la loi fédérale sur la protection de la vie privée exige que les notifications soient faites «dès que possible» après qu'une entreprise a déterminé qu'une «violation des garanties de sécurité impliquant un risque réel de préjudice important» s'est produite.

Le site internet précise également que la notification doit comprendre une description des circonstances de la violation, l'heure à laquelle elle s'est produite, une description des informations personnelles prélevées et une «description des mesures prises par l'organisation» pour réduire le risque de préjudice.

Les normes ont-elles été respectées?

Claudiu Popa, expert en cybersécurité et PDG d'Informatica Corp, se demande si ces normes ont été respectées par la compagnie d'électricité.

D'après les lettres envoyées aux clients qu'il a vues, M. Popa estime que les informations ne sont pas très détaillées.

«L'autre lacune est l'absence d'explications sur ce qui pourrait mal se passer et sur ce qu'il est possible de faire avec ces informations», a-t-il déclaré en faisant référence aux notifications aux clients.

Il a également souligné que l'offre de l'entreprise d'un abonnement gratuit de deux ans au service de surveillance de TransUnion n'était pas assez longue.

«Nous ne devrions pas être naïfs quant au fait que ces criminels disposent maintenant d'un riche ensemble de données pour exploiter les victimes de la Nouvelle-Écosse dans un avenir prévisible, et cet avenir prévisible s'étend probablement au-delà de 24 mois», a déclaré M. Popa, auteur du livre «Manuel sur la cyberfraude au Canada».

La porte-parole de Nova Scotia Power, Kathryn O'Neill, a déclaré dans un courriel mercredi que l'entreprise est consciente que la cyberattaque «a été très préoccupante pour certains de nos clients».

«Les personnes touchées ont reçu des informations détaillées sur les ressources et le soutien disponibles», a-t-elle écrit.

«Nous continuons à travailler avec des experts en cybersécurité de premier plan sur cette enquête complexe et sur la restauration sûre et sécurisée de nos systèmes , a-t-elle ajouté. Nous mettons également en place des mesures de protection supplémentaires afin d'éviter que des incidents similaires ne se reproduisent à l'avenir»

Dans sa déclaration, M. Dufresne a indiqué qu'il serait judicieux que les clients s'inscrivent à des services de surveillance du crédit, qu'ils surveillent leurs comptes bancaires et qu'ils avertissent leurs institutions financières.

Michael Tutton, La Presse Canadienne