Le 19 juin 2024, CrowdStrike – considérée comme un fournisseur mondial de premier plan dans le secteur de la cybersécurité – a lancé la mise à jour de l'un de ses produits de sécurité. Cette mise à jour défectueuse a causé une panne informatique1 qui a été décrite comme la plus importante de l'histoire2. Bien que CrowdStrike ait résolu le problème et fourni du soutien à ses clients et qu'elle se soit engagée à publier l'analyse complète des causes profondes, l'incident a suscité un intérêt renouvelé pour l'atténuation des risques liés aux pannes informatiques. Ce bulletin donne un aperçu des bonnes pratiques en gestion des risques juridiques liés aux pannes informatiques et présente sommairement des considérations contractuelles. Nous prévoyons apporter des précisions et aborder d'autres thèmes dans les prochains bulletins de cette série.
Les pannes informatiques, quelles qu'en soient les causes, constituent un risque important à l'échelle de l'organisation, un risque qu'il faut gérer. Toutes les organisations doivent évaluer régulièrement les risques informatiques et s'assurer de mettre en place des mesures commerciales et juridiques appropriées en cas de panne informatique. Il est également important de procéder à un examen approfondi des contrats de TI afin de s'assurer que les droits et les responsabilités de chacune des parties à l'égard du déploiement des mises à jour et des correctifs (y compris la réalisation d'un contrôle approprié) sont clairs et que la responsabilité en cas de défaillances est répartie convenablement entre les parties.
Les organisations doivent faire un inventaire de leurs actifs informatiques, définir le niveau de risque et le caractère critique de ces actifs, puis surveiller les risques tout au long de leur cycle de vie. Les risques informatiques ne se limitent pas aux incidents de cybersécurité causés par des auteurs de menaces externes, et les pannes majeures peuvent découler de toutes sortes de situations, comme les problèmes de performance lors de l'exécution des entretiens et des mises à jour de routine ou l'incapacité à effectuer de telles activités de maintenance. Dans le cadre de ce processus d'évaluation des risques, les organisations devront se demander si leurs ressources informatiques ont été centralisées, de sorte qu'un seul fournisseur de services est responsable de la majorité des systèmes informatiques, ou si certains systèmes ou fournisseurs présentent des risques opérationnels particuliers en raison de la nature du système, du logiciel ou du service. Elles devront également se demander s'il existe des points de défaillance qui risqueraient de compromettre plusieurs systèmes à la fois, tant au sein de leur infrastructure TI que de façon systémique au sein de leur secteur, de leur chaîne d'approvisionnement ou d'autres axes de leurs activités. Certains organismes réglementaires ont établi des cadres pour l'évaluation de ces risques, dont la Ligne directrice B-10 du Bureau du surintendant des institutions financières sur la gestion du risque lié aux tiers.
Les fournisseurs de services doivent tenir compte de facteurs similaires en ce qui concerne l'évaluation des risques informatiques. De plus, ils doivent – lorsqu'il s'agit d'élaborer, de tester et de mettre en Suvre leurs solutions – s'assurer qu'ils ont bien pris en compte les risques informatiques, y compris les risques liés à l'emplacement géographique (p. ex., où et comment les données sont stockées, et où les solutions sont hébergées) et la mesure dans laquelle les solutions dépendent d'autres tiers et sous-traitants. Les fournisseurs de services doivent aussi effectuer une vérification diligente des sous-traitants. Les ententes conclues entre les fournisseurs de services et leurs sous-traitants doivent obliger ces derniers à se soumettre aux mêmes normes (voire à des normes plus élevées) auxquelles les clients s'attendent de leurs fournisseurs de services.
Vous verrez ci-après une description sommaire des principales considérations contractuelles dont il faut tenir compte pour éviter, atténuer et corriger les pannes informatiques ainsi que pour demander une indemnité, s'il y a lieu.
Niveaux de service
Les contrats de TI doivent tenir compte des problèmes de performance en établissant les différents niveaux de service et d'autres attentes en matière de performance. L'établissement des niveaux de service oblige les fournisseurs de services à respecter des normes particulières en ce qui concerne l'atteinte des objectifs de performance. Le non-respect des niveaux de service entraîne généralement une sanction pécuniaire quelconque, mais les clients et les fournisseurs de services peuvent négocier lesquels de ces niveaux de service sont essentiels (et, par conséquent, donnent lieu à des sanctions pécuniaires plus onéreuses) et lesquels d'entre eux sont critiques (et, par conséquent, constituent une violation déterminante, donnant lieu, de façon plus générale, à des motifs de résiliation de l'entente).
Notification d'incident
Les organisations clientes doivent s'assurer que le contrat prévoit des échéanciers et des seuils d'importance relative qui indiquent clairement quand les fournisseurs de services doivent avertir les clients de certains incidents et/ou en avertir tout organisme réglementaire pertinent dont relève le client (ou aider le client avec la préparation d'un avis à cet effet). Les incidents doivent être définis de manière à traiter non seulement les incidents de protection des renseignements personnels et de cybersécurité, mais aussi les événements liés aux pannes.
Reprise et continuité des activités après un incident
En général, les organisations doivent mettre en place leur propre plan de reprise et de continuité des activités après un incident, ce qui permet de déterminer comment elles continueront de fournir des services en cas de perturbation des services essentiels. Les organisations doivent également analyser l'ensemble des pratiques des fournisseurs de services essentiels en matière de reprise et de continuité des activités après un incident (et avoir accès aux résultats des tests réalisés à cet effet). Les fournisseurs de services doivent être tenus, entre autres obligations, de fournir des copies de ces plans et de les mettre à jour régulièrement. Les organisations doivent aussi veiller à ce que des mesures de redondance et des copies de sauvegarde soient en place afin de réduire le risque de point de défaillance unique.
Enfin, les organisations clientes doivent s'assurer de mettre en place un plan de sortie (et d'ajouter des droits de résiliation suffisants dans leurs contrats) dans l'éventualité d'une panne catastrophique du fournisseur de services (entre autres éléments déclencheurs, comme le précise la plus récente Ligne directrice sur la gestion des risques liés aux technologies de l'information émise par l'Autorité ontarienne de réglementation des services financiers).
Limitation de la responsabilité
Les organisations doivent s'assurer que les plafonds en matière de responsabilité financière prévus dans leurs ententes avec les fournisseurs de services sont suffisants, compte tenu des circonstances. À titre d'exemple, les contrats portant sur des systèmes informatiques essentiels peuvent nécessiter des plafonds plus élevés ou même distincts selon le type d'incident. Bien que les discussions avec les fournisseurs de services au sujet de la responsabilité puissent peser dans la balance des pouvoirs de négociation, particulièrement en ce qui a trait aux contrats-types des plus importants fournisseurs de services informatiques, les clients doivent tout de même être conscients de leurs limites. En outre, les exclusions relatives aux dommages indirects doivent être rédigées avec grande minutie, et les organisations doivent garder à l'esprit que les interruptions prolongées peuvent entraîner des pertes de revenus et de profits.
Il faut également tenir compte de plusieurs autres considérations contractuelles, lignes directrices sectorielles et pratiques exemplaires. Nous publierons d'ailleurs d'autres bulletins dans le cadre de cette série sur la façon de se préparer et de répondre aux pannes informatiques. Restez à l'affût!
Footnotes
1 Voir : Falcon Content Update Remediation and Guidance Hub | CrowdStrike | CrowdStrike.
2 Voir : https://www.washingtonpost.com/business/2024/07/20/outage-microsoft-economy-business/. (disponible en anglais seulement)
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
We operate a free-to-view policy, asking only that you register in order to read all of our content. Please login or register to view the rest of this article.