En novembre 2024, STIIIZY a subi une violation de données qui a exposé les informations personnelles d’environ 380 000 clients. La violation, attribuée au groupe de cybercriminalité Everest, a touché de multiples sites et a été attribuée à une compromission chez l’un des fournisseurs de la société de traitement des points de vente. Mis à part les données supplémentaires que les détaillants de cannabis sont tenus de recueillir, cette attaque et les données qu’elle a touché (noms, adresses, dates de naissance, numéros de permis de conduire, numéros de passeport, photographies, signatures d’identifiants délivrés par le gouvernement, détails de carte de cannabis médical et historiques de transactions) n’ont pas nécessairement été une violation de données unique chez un détaillant. Mais, au sein de l’industrie du cannabis, l’incident a souligné non seulement les vulnérabilités au sein de l’infrastructure numérique particulière de STIIIZY, mais également les risques plus larges auxquels l’industrie du cannabis est confrontée.
L’industrie du cannabis, malgré son expansion rapide, reste particulièrement vulnérable aux cyberattaques en raison d’une combinaison de charges réglementaires, d’une infrastructure financière fragmentée et d’un accès limité aux services bancaires classiques. L’un des principaux défis auxquels les détaillants de cannabis sont confrontés est de sécuriser les transactions financières. Une méthode populaire a été l’utilisation de “DAB sans espèces”, qui dissimulent les achats de cannabis en tant que retraits DAB. Bien que cette solution ait permis aux entreprises de cannabis de fonctionner dans les limites du système financier, elle a également conduit à un examen accru des autorités de régulation et des institutions financières.
Cet examen et cette préoccupation limitent les fournisseurs disposés à prendre des risques pour traiter les transactions financières associées au cannabis. Ceux qui prennent des risques peuvent ne pas avoir les protections de cybersécurité développées, essayées et testées des autres fournisseurs de traitement des transactions financières. Le traitement des paiements étant déjà une partie fragile des opérations de vente au détail de cannabis, une violation impliquant un fournisseur de point de vente, comme dans le cas de STIIIZY, expose non seulement les données des clients, mais aussi les vulnérabilités systémiques dans la manière dont l’industrie gère les transactions financières et pourrait potentiellement rendre le traitement de ces transactions encore plus difficile à l’avenir.
Les fournisseurs tiers dans la vente de cannabis ne se limitent pas aux transactions financières. En raison de la multiplicité des réglementations compliquées et fragmentées auxquelles les détaillants de cannabis sont confrontés dans différentes juridictions, les fournisseurs tiers sont essentiels pour satisfaire à toutes les exigences nécessaires à un prix compétitif. Ils exploitent par exemple des plateformes externes pour le suivi de la conformité, la gestion des stocks de la semence à la vente et les bases de données clients, créant ainsi de multiples points de défaillance potentielle. Et les problèmes avec ces vendeurs ne sont pas nouveaux. Par exemple, MJ Freeway, un fournisseur de logiciels de conformité pour les entreprises de cannabis, a subi des violations répétées qui ont perturbé les opérations des dispensaires aux États-Unis. Le logiciel, que de nombreux États exigent pour la conformité réglementaire, est devenu une responsabilité lorsque des attaquants l’ont infiltré et l’ont rendu inutilisable. Cela a démontré comment une seule violation chez un fournisseur tiers pourrait se propager à travers l’industrie.
La violation de STIIIZY suscite des inquiétudes concernant les informations personnelles volées dans le secteur du cannabis. Contrairement à d’autres industries, où les violations de données entraînent principalement une fraude financière ou un vol d’identité, les violations dans la vente au détail de cannabis pourraient avoir des conséquences supplémentaires en raison de la stigmatisation et des zones grises légales entourant l’utilisation du cannabis. Dans certains États, les achats de cannabis sont encore considérés comme douteux sur le plan légal, et les consommateurs pourraient craindre des représailles si leur historique d’achat était révélé. De plus, ceux qui utilisent le cannabis médical pour le traitement de conditions sensibles pourraient faire face à des violations de la vie privée qui vont au-delà du préjudice financier. Ce risque est particulièrement alarmant étant donné que la violation de STIIIZY comprenait des informations telles que des détails de carte de cannabis médical, qui pourraient révéler des informations de santé protégées.
L’un des principaux enseignements de l’incident STIIIZY devrait être la nécessité de mesures de cybersécurité plus fortes dans l’ensemble de l’industrie du cannabis. Les entreprises doivent évaluer les pratiques de sécurité de leurs fournisseurs tiers et s’assurer qu’elles respectent les normes de l’industrie en matière de protection des données. Bien que de nombreux détaillants de cannabis aient investi massivement dans des technologies liées à la conformité, la cybersécurité a souvent été une réflexion après coup, principalement parce que les entreprises se sont concentrées sur la première navigation dans le complexe paysage juridique de l’industrie. Cependant, à mesure que les violations de données deviennent plus fréquentes, les entreprises doivent aborder de manière proactive ces risques de sécurité pour protéger leurs clients et maintenir la confiance.
Pour améliorer la sécurité, les entreprises de cannabis doivent donner la priorité au cryptage des informations clients sensibles tant en transit qu’au repos. Le cryptage garantit que même si les attaquants ont accès aux données, ils ne peuvent pas les utiliser facilement. Des audits de sécurité réguliers des systèmes internes et des intégrations de tiers peuvent aider à identifier les vulnérabilités avant qu’elles ne soient exploitées. La formation des employés est également essentielle ; de nombreuses violations surviennent en raison d’une erreur humaine, comme le fait de tomber pour des escroqueries de phishing ou d’utiliser des mots de passe faibles. Les entreprises doivent mettre en place des contrôles d’accès stricts pour limiter le nombre de personnes pouvant accéder aux données clients sensibles et exiger une authentification multifacteur pour toutes les tentatives de connexion.
De plus, les entreprises de cannabis doivent établir et maintenir un plan de réponse aux incidents qui leur permet de répondre rapidement aux violations de sécurité lorsqu’elles se produisent. La capacité de détecter et de répondre à une attaque en temps réel peut réduire considérablement les dommages causés par une violation. Dans le cas de STIIIZY, la violation a persisté pendant un mois avant d’être découverte, soulignant la nécessité d’une surveillance améliorée et de capacités de détection des menaces.
Les agences gouvernementales et les organismes de réglementation ont également un rôle à jouer dans l’amélioration des normes de cybersécurité pour l’industrie du cannabis. De nombreux États imposent des exigences strictes en matière de rapports pour le suivi des stocks et la conformité, mais ils n’ont pas mis en place de telles exigences en matière de sécurité des données. La création de lignes directrices en matière de cybersécurité adaptées aux défis uniques du secteur du cannabis fournirait des attentes plus claires aux entreprises et contribuerait à atténuer le risque de futures violations. Certains États ont commencé à prendre des mesures dans ce sens, mais il existe encore un écart important en matière d’application et de normalisation.
Les clients aussi doivent être conscients des risques associés à la fourniture d’informations personnelles aux détaillants de cannabis. Bien que la plupart des entreprises prennent la sécurité au sérieux, les violations de données et la nécessité de protections de cybersécurité en évolution constante resteront toujours un problème. Les consommateurs doivent faire preuve de discrétion lorsqu’ils partagent des informations et profiter des services de surveillance du crédit s’ils sont informés d’une violation. Ils doivent également être attentifs aux escroqueries de phishing qui pourraient survenir à la suite d’une violation, car les cybercriminels exploitent souvent les données exposées pour mener d’autres activités frauduleuses.
La violation de données de STIIIZY est un signal d’alarme pour l’industrie du cannabis, soulignant la nécessité de mesures de cybersécurité plus fortes, d’une meilleure surveillance des fournisseurs et d’une sensibilisation accrue aux menaces numériques. Comme l’industrie continue de croître, les cyberattaques visant à la cibler deviendront de plus en plus sophistiquées. Les entreprises doivent rester en avance sur ces menaces en investissant dans une infrastructure de cybersécurité, en formant leurs employés et en veillant à ce que les fournisseurs tiers soient tenus aux normes de sécurité les plus élevées. Avec les précautions nécessaires, l’industrie du cannabis peut continuer à prospérer tout en protégeant les informations personnelles de ses clients.
Paul Schmeltzer et Jason Schwent, avocats spécialisés dans la cybersécurité chez Clark Hill, PLC.
Cette publication est destinée à des fins d’information générale uniquement et ne constitue pas un conseil juridique ou une sollicitation de services juridiques. Les informations contenues dans cette publication ne sont pas destinées à créer et leur réception ne constitue pas une relation avocat-client. Les lecteurs ne doivent pas se fier à ces informations sans consulter au préalable un conseiller juridique professionnel. Les points de vue et opinions exprimés dans le présent document ne représentent que ceux de l’auteur individuel et ne reflètent pas nécessairement ceux de Clark Hill PLC. Même si nous nous efforçons de garantir que les publications sur notre site Web soient complètes, précises et à jour, nous n’assumons aucune responsabilité concernant leur exhaustivité, leur précision ou leur actualité.