Canada : l’entreprise BRP victime d’un rançongiciel

Le 8 août 2022, la multinationale Bombardier produits récréatifs (BRP), spécialiste des produits de sport motorisés et principal employeur de la petite ville québecoise de Valcourt, annonce avoir été victime du rançongiciel RansomEXX.

L’entreprise, dont le chiffre d’affaires annuel est de 7 milliards de dollars, est alors contrainte de suspendre les activités de son siège et de son usine de Valcourt pendant plus d’une semaine.

Par la suite, l’organisme à but non lucratif Hackfest révèle la mise en ligne, sur le dark web, de deux lots de données liés à cette attaque : le premier, de 30 Go, comprend notamment des numéros de passeport, des numéros de permis de conduire et des informations relatives à des contrats, le second est composé de données personnelles d’employés de BRP, dont des identifiants Pornhub, AccèsD, PayPal et Netflix.

De son coté, BRP communique a minima sur cette affaire, et interdit à ses employés tout commentaire. Cette attitude peut s’expliquer, selon Me Vanessa Henri, avocate spécialisée en cybersécurité, par la nécessité de colmater toutes les brèches avant une déclaration officielle, ou par les contraintes d’une enquête policière en cours.

Selon le droit québecois actuel, une entreprise victime d’une cyberattaque n’est d’ailleurs pas obligée de communiquer aux médias sur une brèche de sécurité si elle parvient à joindre toutes les victimes, que ces victimes sont toutes québecoises et que les données sont traitées au Québec.

Un projet de loi, baptisé « loi 64 », qui n’est pas encore entré en vigueur, imposerait à toutes les entreprises québecoises de signaler publiquement tous les incidents de confidentialité.