Quelles sont les responsabilités éthiques et légales d'un partenaire informatique en tant que lanceur d'alerte face à des pratiques de sécurité inadéquates de ses clients, en particulier dans le contexte de la #Loi25 au Québec? L'article de Philippe Teisceira-Lessard dans La Presse, 'Montréal accuse une firme de prendre des données en otage' parle de Vertisoft, que je connais bien pour son intégrité et ses pratiques sécuritaires éprouvées depuis 2005. Cet article soulève des questions sur le rôle de Vertisoft après l'incident de piratage subi par la CSEM (rançon de $2M et perte de toutes les données). Rappelons que la CSEM joue un rôle critique dans l'infra électrique de Montréal... J'y vois plusieurs signaux d'alarme: ☠️ Une entreprise de sécurité refuse parfois de travailler avec un client qui ne faisait pas déjà affaire avec elle avant l'incident. L'article mentionne que Vertisoft a accepté de les aider en urgence. ✅ Trouvez une entreprise qui fera un audit de vos infras, vous accompagnera et travaillera avec vous AVANT qu'il y ait un problème! ☠️ Selon l'article, il semble que l'hébergement de l'infra était à l'interne. Ceci est typiquement un risque pour une petite organisation comme la CSEM (surtout en regard du point précédent). Le fait de recréer l'environnement sur d'autres serveurs, hébergés à l'externe et gérés par des professionnels étaient certainement la bonne chose à faire et la solution la plus rapide. ✅ De nos jours, une infra moderne est souvent prise en charge par un partenaire spécialisé. Pour une PME, est-ce sage de faire ça seul à l'interne? ☠️ "la banque de documents de la CSEM avait pu être rebâtie à partir des pièces jointes qui dormaient dans les boîtes de courriel des employé" - juste cette affirmation en révèle beaucoup sur le niveau de sécurité et de protection des renseignements qui se trouvaient dans ces documents! ✅ La Loi 25 comporte plusieurs obligations à cet égard et ce genre de pratique - partager des documents sensibles par courriels - est à proscrire! ☠️ Est-ce possible que dans son rôle, Vertisoft devait tirer l'alarme et agir rapidement (retirer les accès admin) si son client avait des pratiques de sécurité qui mettaient à risque les données personnelles de ses employés, clients et partenaires (partage des mots de passe administrateur et certainement d'autres choses)? ✅ Lorsqu'on "outsource" son infrastructure informatique, il n'est pas rare que les droits d'accès les plus élevés soient restreints et que le client lui-même n'y ait pas accès. Je ne vois pas en quoi avoir le droit d'administration est requis pour avoir accès aux données... au contraire, on évite ce genre de chose et on encadre l'accès! ☠️ Un site web d'une autre époque est souvent un indice des pratiques qui sont derrière... Je me demande ce que mes collègues avocats et en sécurité en pensent? /cc Patrick Mathieu Audrey Shink Jean-Philippe Racine, Vanessa Henri Sylvain Belleau Hugo Joncas Simon Du Perron