Plusieurs entreprises impartissent les services de gestion et de contrôle de certains ou de tous leurs systèmes d information, de leurs réseaux ou des mécanismes de stockage des données à des fournisseurs de services et des services dans les nuages («cloud»). Les tiers fournisseurs de services incluent les fournisseurs d accès Internet, les vendeurs de matériel informatique, de logiciels et de progiciels, ainsi que les autres tiers fournisseurs de services qui effectuent des services au nom de votre entreprise et qui peuvent avoir accès à des données sensibles. D un point de vue commercial, les propriétaires d entreprises devraient toujours prendre pour acquis que les tiers fournisseurs de services sont vulnérables. Par conséquent, ils devraient élaborer un processus écrit formel pour choisir et gérer les tiers entrepreneurs et fournisseurs de services. Les considérations en matière de contrôle des risques incluent notamment : Considérations générales pour choisir un entrepreneur ou un fournisseur de services Évaluer sa stabilité financière. > L entreprise existe-t-elle depuis longtemps ou est-elle en démarrage? > Est-elle solvable financièrement pour fournir un soutien à long terme? Confirmer qu il a le personnel nécessaire pour fournir un niveau acceptable de soutien technique au client. > Au besoin, peut-il fournir un soutien 24 heures sur 24, 7 jours sur 7, 365 jours par année? Déterminer les titres de compétence du personnel qui sera attitré à votre contrat. > Préciser quels contrôles de sécurité vous effectuerez avant de retenir les services de tiers. > Ont-ils l expertise technique pour compléter le projet ou effectuer les services? Décrire les contrôles de sécurité des antécédents et les qualifications du personnel qui aura accès à vos renseignements. Déterminer si les tiers s occuperont de toutes les portions de votre contrat ou s ils auront besoin de sous-traiter à d autres entreprises. > Décrire tous les services qu ils sous-traiteront. > S ils sous-traitent à d autres personnes, vérifier qu ils assument la responsabilité de s assurer que leurs soustraitants respectent toutes vos exigences de sécurité. Effectuer des recherches et obtenir suffisamment de renseignements, notamment au moyen de recherche sur PAGE 1
Internet, de sondages indépendants et de rapports pour mieux comprendre leurs services/activités publicisés. Obtenir des références provenant d autres clients ou organisations comme le Bureau d éthique commerciale. Leur demander de décrire leur historique d incidents en cybersécurité et les améliorations qu ils ont apportées. Confirmer qu ils connaissent toutes les exigences légales et réglementaires et qu ils les respectent. Leur demander de décrire leurs capacités au niveau de la continuité des affaires. > Ont-ils un plan écrit? Si oui, est-il mis en application au moins une fois par année? > Ont-ils des systèmes redondants et/ou des sites de stockage des données? > Quel est le délai pour retourner aux activités normales en cas de défaillance à un emplacement? Leur demander de décrire leur plan d intervention en cas d incident en matière de cyberrisques. > En cas d atteinte, quel est le processus normal pour faire enquête, intervenir et aviser votre entreprise? Modalités et conditions contractuelles/transfert des risques Lorsque vous contractez avec des tiers, assurez-vous d être clair au niveau des responsabilités de chacun afin qu il n y ait pas de confusion relativement à qui doit protéger les renseignements sensibles. Tous les contrats devraient être signés avant de débuter le travail ou les services. Établir des politiques internes qui régissent votre programme de transfert des risques contractuels afin de préciser quelles personnes au sein de votre entreprise ont le pouvoir de faire ou d approuver des modifications aux dispositions contractuelles et aux exigences en matière d assurance. Travailler avec un avocat qui a des connaissances au niveau du droit des contrats pour développer un libellé efficace. Les modalités et conditions du contrat devraient tenir compte des ententes de transfert des risques, et notamment : > Le contrat devrait inclure des clauses de non-responsabilité, d indemnisation et de défense pour protéger les intérêts de votre entreprise. Si on exige que vous indemnisiez d autres parties, vous devriez exiger la pareille de vos entrepreneurs. > Des précisions concernant les assurances devraient figurer dans le contrat, comme les garanties offertes, les montants de garantie, le statut d assuré supplémentaire, les avis écrits de résiliation, etc. Consultez votre agent d assurance pour plus de détails. PAGE 2
Exigences en matière de sécurité des données Votre contrat devrait inclure des ententes visant les utilisations acceptables afin de limiter la façon dont les tiers peuvent avoir accès aux données sensibles et aux systèmes, ou les utiliser, et de prévoir des conséquences disciplinaires en cas de non-respect. Voici quelques dispositions à prévoir dans votre contrat : Les qualifications et attestations minimales pour le personnel qui travaille sur le projet ou qui effectue les services, y compris les normes de passage au niveau des contrôles de sécurité de toute personne ayant accès à des données sensibles ou des systèmes critiques. Une liste des personnes qui sont autorisées à accéder à votre système ou vos données et une déclaration à l effet que l entrepreneur est responsable de la protection et du contrôle approprié des privilèges administratifs. Cette liste devrait être mise à jour régulièrement. Des directives pour exiger des mécanismes de contrôle des mots de passe robustes La responsabilité de l entrepreneur de s assurer que ses sous-traitants respectent toutes les exigences de sécurité. La responsabilité de l entrepreneur de respecter toutes les exigences légales et réglementaires. Des précisions à l effet que le produit du travail effectué par les entrepreneurs appartient à votre entreprise. > Si nécessaire, ce produit du travail devrait contenir un droit d auteur qui démontre ce droit de propriété. Des restrictions au niveau des types de renseignements auxquels l entrepreneur et ses sous-traitants ont accès. Des dispositions à l effet qu ils protègeront la confidentialité et l intégrité des données sous leurs soins et garde. Dépendamment de la sensibilité des renseignements, des clauses de confidentialité et des ententes de nondivulgation pourraient être exigées. Des restrictions au niveau de la copie, du stockage ou de la transmission des données. Des exigences pour le retour ou la destruction de renseignements et de biens à la fin du contrat ou travail. Des directives qui exigent le maintien de mécanismes de contrôle de sécurité physiques et d accès pour restreindre l accès aux utilisateurs autorisés uniquement. Exigences pour la continuité des affaires Votre contrat devrait inclure des exigences pour la continuité des affaires, et notamment : PAGE 3
Des directives sur ce que constitue un niveau acceptable de soutien technique aux clients, comme le délai de réponse, les périodes de disponibilité à chaque jour et les jours ouverts à chaque semaine. Des directives sur ce que constitue le délai maximal pour intervenir pour remplacer ou restaurer votre équipement critique, vos applications, vos logiciels ou vos services en cas de dommages physiques ou d atteinte à la cybersécurité. Exigences pour intervenir en cas d incident Votre contrat devrait inclure des exigences pour intervenir en cas d incident, et notamment : Des directives au niveau des procédures de notification de votre entreprise pour tous incidents liés à la sécurité, ainsi que les exigences pour gérer l incident. Des exigences à l effet qu ils collaboreront au besoin dans le cadre de votre plan d intervention en cas d incident. Vérifications Afin d assurer que vos entrepreneurs agissent avec diligence dans le cadre de la prestation de leurs services afin de protéger vos données, votre contrat devrait préciser votre droit d effectuer des vérifications. Inscrire la fréquence des vérifications et les niveaux de sécurité de celles-ci (p. ex., auto-vérifications ou par des tiers certifiés) et les détails qu ils doivent fournir dans les rapports. Pour les tiers qui stockent vos données sensibles, inclure une exigence à l effet qu ils enregistrent tout accès autorisé aux données et toutes les tentatives non autorisées d accéder aux données. Les renseignements comme la date, l horodatage, l adresse de la source, etc., devraient être inscrits et vous être fournis dans les rapports. Voir le bulletin du contrôle des risques Map and secure your network (en anglais seulement) pour obtenir de plus amples renseignements. > Exiger qu ils respectent toutes les exigences légales, réglementaires et contractuelles. Impartition signature des contrats de tiers Plusieurs entreprises impartissent les services de gestion et de contrôle de certains ou de tous leurs systèmes d information, de leurs réseaux ou des mécanismes de stockage des données à des fournisseurs de services et des services dans les nuages («cloud»). Habituellement pour ces services, vous devez signer leurs ententes qui sont typiquement à l avantage unilatéral de la société à qui est imparti le travail. Le contrat devrait être passé en revue par votre conseiller juridique afin que les modifications appropriées y soient apportées pour protéger vos intérêts. PAGE 4
Logiciels libres attention Les logiciels libres peuvent éventuellement poser des risques importants sous différentes formes, y compris à l égard des systèmes d exploitation, des éléments sur la plate-forme, des outils de développement et des intergiciels. Plusieurs programmes de logiciels exclusifs ont des composantes libres. Contrairement aux conceptions erronées, la plupart des logiciels libres sont encore assujettis à des ententes de licences, qui imposent des obligations particulières à quiconque utilise, modifie ou distribue le code. Si les développeurs de logiciels libres se dégagent de toute responsabilité à l égard des logiciels, l utilisateur peut être responsable de toutes réclamations pour toute violation par les logiciels des droits d auteur, brevets ou autres droits de propriété intellectuelle du tiers. Pour obtenir plus de renseignements sur Travelers Canada, consultez notre site Web à, communiquez avec votre conseiller en contrôle des risques ou envoyez un courriel à Ask-Risk-Control- Canada@travelers.com. PAGE 5