– Co-écrit par Paul Schmeltzer
En novembre 2024, STIIIZY a subi une violation de données qui a exposé les informations personnelles d’environ 380 000 clients. La violation, attribuée au groupe de cybercriminalité Everest, a touché plusieurs sites et a été retracée jusqu’à une compromission chez l’un des fournisseurs de traitement des points de vente de la société. Outre les données supplémentaires que les détaillants de cannabis sont tenus de collecter, cette attaque et les données qu’elle a affectées (noms, adresses, dates de naissance, numéros de permis de conduire, numéros de passeport, photos, signatures d’identifiants gouvernementaux, détails de la carte de cannabis médical et historiques de transaction) n’étaient pas nécessairement uniques dans les violations de données de détaillants. Mais, au sein de l’industrie du cannabis, l’incident a mis en lumière non seulement les vulnérabilités de l’infrastructure numérique spécifique de STIIIZY, mais aussi les risques plus larges auxquels l’industrie du cannabis est confrontée.
L’industrie du cannabis, malgré son expansion rapide, reste particulièrement vulnérable aux cyberattaques en raison d’une combinaison de contraintes réglementaires, d’une infrastructure financière fragmentée et d’un accès limité aux services bancaires traditionnels. L’un des principaux défis auxquels les détaillants de cannabis sont confrontés est la sécurisation des transactions financières. Une méthode populaire a été l’utilisation de « distributeurs automatiques de billets sans espèces », qui dissimulent les achats de cannabis en tant que retraits de distributeurs automatiques de billets. Bien que cette solution ait permis aux entreprises de cannabis de fonctionner dans le cadre du système financier, elle a également suscité un examen plus approfondi de la part des régulateurs et des institutions financières.
Cet examen et cette préoccupation limitent les fournisseurs prêts à prendre des risques pour traiter les transactions financières associées au cannabis. Ceux qui prennent des risques peuvent ne pas avoir les protections de cybersécurité développées, testées et éprouvées d’autres fournisseurs de traitement des transactions financières. Le traitement des paiements étant déjà un maillon faible des opérations de vente au détail de cannabis, une violation impliquant un fournisseur de points de vente, comme dans le cas de STIIIZY, expose non seulement les données des clients, mais aussi les vulnérabilités systémiques dans la manière dont l’industrie traite les transactions financières et pourrait potentiellement rendre le traitement de ces transactions encore plus difficile à l’avenir.
Les fournisseurs tiers du secteur de la vente au détail de cannabis ne se limitent pas aux transactions financières. En raison des nombreuses réglementations complexes et fragmentées auxquelles sont confrontés les détaillants de cannabis dans différentes juridictions, les fournisseurs tiers sont essentiels pour répondre à toutes les exigences nécessaires à un prix compétitif. Ils exploitent, par exemple, des plateformes externes pour le suivi de la conformité, la gestion des stocks du producteur au consommateur et les bases de données clients, créant ainsi plusieurs points de défaillance potentiels. Et les problèmes avec ces fournisseurs ne datent pas d’hier. Par exemple, MJ Freeway, un fournisseur de logiciels de conformité pour les entreprises de cannabis, a subi des violations répétées qui ont perturbé les opérations des dispensaires aux États-Unis. Le logiciel, que de nombreux États exigent pour la conformité réglementaire, est devenu un passif lorsque des attaquants ont infiltré son système et l’ont rendu inutilisable. Cela a démontré comment une seule violation chez un fournisseur tiers pouvait se répercuter sur toute une industrie.
La violation de STIIIZY suscite des inquiétudes quant aux informations personnelles volées dans le secteur du cannabis. Contrairement à d’autres secteurs, où les violations de données entraînent principalement des fraudes financières ou des vols d’identité, les violations du secteur de la vente au détail de cannabis pourraient avoir des conséquences supplémentaires en raison de la stigmatisation et des zones grises légales entourant l’utilisation du cannabis. Dans certains États, les achats de cannabis sont toujours considérés comme problématiques d’un point de vue légal, et les consommateurs pourraient craindre des représailles si leur historique d’achats était révélé. De plus, les personnes qui utilisent du cannabis médical pour le traitement d’affections sensibles pourraient être confrontées à des violations de la vie privée qui vont au-delà des dommages financiers. Ce risque est particulièrement inquiétant compte tenu du fait que la violation de STIIIZY a inclus des informations telles que les détails de la carte de cannabis médical, qui pourraient révéler des informations de santé protégées.
Un des principaux enseignements que l’on peut tirer de l’incident STIIIZY est la nécessité de renforcer les mesures de cybersécurité dans l’ensemble de l’industrie du cannabis. Les entreprises doivent évaluer les pratiques de sécurité de leurs fournisseurs tiers et s’assurer qu’elles respectent les normes de l’industrie en matière de protection des données. Bien que de nombreux détaillants de cannabis aient investi massivement dans la technologie liée à la conformité, la cybersécurité a souvent été négligée, essentiellement parce que les entreprises se sont concentrées d’abord sur la navigation dans le complexe paysage juridique de l’industrie. Cependant, à mesure que les violations de données se multiplient, les entreprises doivent aborder de manière proactive ces risques de sécurité pour protéger leurs clients et maintenir la confiance.
Pour améliorer la sécurité, les entreprises de cannabis devraient prioriser le chiffrement des informations sensibles des clients, tant en transit qu’au repos. Le chiffrement garantit que, même si les attaquants accèdent aux données, ils ne peuvent pas les utiliser facilement. Des audits de sécurité réguliers des systèmes internes et des intégrations de tiers peuvent aider à identifier les vulnérabilités avant qu’elles ne soient exploitées. La formation des employés est également essentielle; de nombreuses violations surviennent en raison d’erreurs humaines, telles que la chute dans des escroqueries par hameçonnage ou l’utilisation de mots de passe faibles. Les entreprises devraient mettre en œuvre des contrôles d’accès stricts pour limiter le nombre de personnes susceptibles d’accéder aux données sensibles de leurs clients et exiger une authentification multifacteur pour toutes les tentatives de connexion.
De plus, les entreprises de cannabis devraient élaborer et maintenir un plan de réponse en cas d’incident qui leur permette de réagir rapidement aux violations de sécurité lorsqu’elles se produisent. La capacité à détecter et à répondre à une attaque en temps réel peut réduire considérablement les dommages causés par une violation. Dans le cas de STIIIZY, la violation a persisté pendant un mois avant d’être découverte, soulignant le besoin d’une amélioration de la surveillance et des capacités de détection des menaces.
Les agences gouvernementales et les régulateurs ont également un rôle à jouer dans l’amélioration des normes de cybersécurité pour l’industrie du cannabis. De nombreux États imposent des exigences strictes en matière de reporting pour le suivi des stocks et la conformité, mais ils n’ont pas mis en place des exigences similaires pour la sécurité des données. L’élaboration de directives de cybersécurité adaptées aux défis uniques du secteur du cannabis permettrait de fournir des attentes plus claires aux entreprises et d’aider à atténuer le risque de violations futures. Certains États ont commencé à prendre des mesures dans ce sens, mais il existe encore un écart important en matière d’application et de normalisation.
Les clients eux-mêmes devraient également être conscients des risques associés à la fourniture d’informations personnelles aux détaillants de cannabis. Bien que la plupart des entreprises prennent la sécurité au sérieux, les violations de données et la nécessité de protocoles de cybersécurité en constante évolution demeurent inévitables. Les consommateurs devraient faire preuve de discrétion lorsqu’il s’agit de partager des informations et tirer parti des services de surveillance du crédit s’ils sont avertis d’une violation. Ils devraient également se méfier des escroqueries par hameçonnage qui pourraient survenir à la suite d’une violation, car les cybercriminels exploitent souvent les données exposées pour mener à bien d’autres activités frauduleuses.
La violation de données chez STIIIZY constitue un signal d’alarme pour l’industrie du cannabis, soulignant la nécessité de mesures de cybersécurité plus strictes, d’une meilleure surveillance des fournisseurs et d’une sensibilisation accrue aux menaces numériques. À mesure que l’industrie continuera à croître, la sophistication des cyberattaques qui la visent augmentera également. Les entreprises doivent rester en avance sur ces menaces en investissant dans une infrastructure de cybersécurité, en formant leurs employés et en veillant à ce que leurs fournisseurs tiers soient tenus de respecter les normes de sécurité les plus strictes. Avec les précautions nécessaires, l’industrie du cannabis pourra continuer à prospérer tout en protégeant les informations personnelles de ses clients.
Paul Schmeltzer et Jason Schwent, avocats en cybersécurité chez Clark Hill, PLC.
Cette publication vise à fournir des renseignements généraux uniquement et ne constitue pas un avis juridique ni une sollicitation de services juridiques. Les renseignements contenus dans cette publication ne visent pas à créer de relation avocat-client, et la réception de ces informations ne constitue pas une telle relation. Les lecteurs ne devraient pas agir en fonction de ces informations sans l’avis d’un conseiller juridique professionnel. Les opinions exprimées dans cette publication sont celles de l’auteur individuel uniquement et ne représentent pas nécessairement les opinions de Clark Hill PLC. Bien que nous tentions de nous assurer que les publications sur notre site web soient complètes, exactes et à jour, nous déclinons toute responsabilité quant à leur complétude, leur exactitude ou leur actualité.