Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Écrivez-nous

En remplissant ce formulaire, vous permettez à notre équipe de saisir pleinement vos besoins et de vous offrir le service le plus adapté à vos attentes. Merci de votre confiance, nous nous engageons à vous fournir un suivi dans les plus brefs délais.

Technologie et gouvernance de l’information

Avez-vous négligé la cybersécurité de votre entreprise?

  • Erin Schachter
Par Erin Schachter Avocate
Voici ce que vous devez faire aujourd'hui pour rattraper votre retard.

Vous vous assurez de verrouiller les portes du bureau avant de partir, mais en faites-vous assez pour protéger votre entreprise contre les cyberattaques?

Depuis une dizaine d’années, les cybermenaces et les cyberincidents connaissent une augmentation, une diversification et une sophistication sans précédent, tant au Canada qu’ailleurs dans le monde. Directement relié à la numérisation de l’économie et au développement constant des technologies, ce phénomène pousse de plus en plus d’entreprises à vouloir élaborer ou optimiser leurs stratégies de cybersécurité afin de répondre à cet enjeu qu’elles ne peuvent plus ignorer.

Dans le contexte actuel, aucune entreprise n’échappe aux risques de cyberincidents, peu importe la taille et le secteur d’activités[1]. Les infrastructures numériques sur lesquelles les entreprises s’appuient pour opérer et prospérer sont devenues, malgré leurs nombreux avantages, un vecteur de risques important pour toute organisation[2]. Malheureusement, cette prise de conscience survient souvent trop tard, soit après qu’un cyberincident se soit produit.

Selon la nature et l’ampleur de l’événement, les conséquences peuvent être sérieuses : atteinte à la réputation, vol de la propriété intellectuelle ou de renseignements personnels, litiges, mises en péril des relations d’affaires, et coûts élevés de gestion et de reprises des opérations. Dans bien des cas, c’est la survie même de l’entreprise qui est en jeu. Pour cette raison, les entreprises doivent reconnaître que la cybersécurité est désormais un impératif d’affaires stratégique qui requiert toute leur attention.

D’ailleurs, deux nouvelles lois, qui seront bientôt en vigueur au Québec et au Canada, prévoient des amendes pouvant aller jusqu’à 25 millions de dollars ou 4 % du chiffre d'affaires de l’entreprise concernée. Pour plus d'informations sur ces projets de loi, vous pouvez consulter nos articles sur le projet de loi 64 et le projet de loi C-11.

Quels moyens peuvent être mis en place pour assurer la protection de l’entreprise?

Bien qu’il soit pratiquement impossible de se prémunir totalement contre les cyberincidents, les entreprises peuvent réduire et atténuer les risques auxquels elles sont exposées. En tenant compte des particularités qui leur sont propres et des obligations légales qui leur incombent, elles doivent développer et mettre en œuvre une stratégie de cybersécurité qui met l’accent sur la prévention, la détection et l’intervention. Cette stratégie doit prendre en compte de nombreux facteurs. En voici trois exemples :

a) Cadre de gouvernance

L’un des éléments essentiels d’une stratégie de cybersécurité est la mise place d’un cadre de gouvernance adéquat.

Étant une responsabilité qui doit être partagée entre tous, il est crucial que la cybersécurité fasse partie intégrante du mandat général de gestion des risques du conseil d’administration (ci-après le « CA »). À titre de mandataires, les administrateurs doivent, au nom du meilleur intérêt de la société[3], chercher à comprendre, à prévenir et à minimiser les cyberrisques pouvant affecter l’organisation. De concert avec les autres membres de l’organisation, ils doivent également s’assurer que les mesures de sécurité mises en place sont adéquates, efficaces et à jour.

Pour réaliser ces objectifs, le CA devra, entre autres, inclure la cybersécurité dans le champ de compétences essentielles des administrateurs et sélectionner des membres en conséquence. Il devra également s’assurer que ces membres comprennent la nature, l’importance et les conséquences des cyberrisques pour l’entreprise. À cet égard, les administrateurs devront, d’une part, identifier, évaluer et hiérarchiser, par ordre de priorité, les cyberrisques à gérer et les actifs essentiels à protéger, ainsi qu’évaluer le degré de vulnérabilité de l’organisation; d’autre part, ils devront s’assurer de comprendre le cadre juridique et les obligations légales que leur impose la loi, notamment en ce qui a trait aux pénalités en cas de non-conformité, au signalement et à la consignation des incidents.  

b) Mise en place d’un programme de gestion et de prévention des cyberrisques

Les entreprises doivent se préparer à l’inévitable pour empêcher qu’un simple incident ne dégénère. Elles doivent développer et mettre en place un programme de cybersécurité, composé à la fois d’un cadre de gestion et d’un plan d’intervention.

Le cadre de cybersécurité désigne l’ensemble des normes, des pratiques, des ressources (matérielles, technologiques, informatiques, humaines, financières, etc.), des politiques, des procédures et des mesures de contrôle internes mises en place pour aider les membres de l’organisation à gérer les risques et prévenir les incidents. Le tableau ci-dessous présente quelques-uns des éléments clés à considérer dans l’élaboration du cadre de cybersécurité :

Formation
  • Offrir aux employés et aux tiers ayant un accès aux systèmes essentielsde l’entreprise une formation de base sur les bonnes pratiques en matière de cybersécurité.
  • Offrir aux employés de la formation continue sur les cyberrisques et les techniques de cyberattaque afin de les tenir à jour et d’éviter que les mesures de contrôle informatiques ne deviennent inutiles.
  • Effectuer des rappels périodiques sur les pratiques exemplaires et répéter les messages clés.

Politiques et normes
  • Élaborer des politiques et des normes pour permettre aux employés de savoir comment se conduire et de comprendre leur rôle et leurs responsabilités. Ces documents peuvent porter, par exemple, sur la navigation Web, l’utilisation des courriels et des médias sociaux, le travail à distance, la gestion des mots de passe, de même que sur l’utilisation d’un appareil mobile personnel à des fins professionnelles.
  • S’assurer que ces politiques et normes sont simples, claires, précises, et qu’elles sont consultables facilement.

Gouvernance
  •  Attribuer la responsabilité de la cybersécurité à au moins une personne compétente ou à un comité spécialisé.
  • S’assurer que cette personne ou le comité a le soutien de la direction et que des instructions claires lui sont fournies quant au travail à accomplir.
  • Fournir des rapports réguliers au CA.
  • Doter les responsables de la cybersécurité de ressources humaines et budgétaires précises, réalistes et suffisantes.
  • Consulter des experts pour s'assurer que les informations sont à jour et respectent la législation applicable et les meilleures pratiques dans le secteur.

Plan d’intervention
  •  Élaborer un plan d'intervention et le mettre à l’essai afin que votre entreprise soit prête à réagir et qu’elle sache comment intervenir de manière efficace lorsque survient un cyberincident.
  • Préciser les rôles et les responsabilités de chaque intervenant. L’objectif de ce plan est avant tout de minimiser les dommages et permettre à l’entreprise de récupérer le plus rapidement possible.
  • Prévoir un protocole de communication et de gestion détaillé pour chaque type d’incident susceptible d’affecter l’entreprise, de même que des directives concernant le signalement obligatoire des incidents.
  • Assurer la coopération à tous les niveaux, il est essentiel que ce plan s’applique à l’échelle de l’entreprise et qu’il mette à profit l’expérience des cadres des principaux secteurs de l’organisation.

 

c) L’assurance contre les cyberrisques

Il est important de considérer souscrire à une cyberassurance pour atténuer les répercussions d’un incident. Ce type d’assurance permet de transférer une partie des risques à l’assureur, d’aider la reprise des activités et de couvrir certains frais, pertes et coûts connexes qui sont généralement exclus des garanties d’assurances traditionnelles. Par exemple, la couverture peut comprendre :

  • L’embauche d’un professionnel (technicien, avocat, cabinet de relations publiques, cabinet de gestion de crise, négociateur);
  • Les coûts des avis aux personnes dont les renseignements personnels ont été compromis;
  • Les coûts pour la perte de revenu imputable à une infraction et pour la récupération des données perdues ou détruites;
  • Certains coûts associés aux amendes et aux pénalités réglementaires;
  • Certains frais associés à la défense, au règlement ou au jugement en cas de litige.

Il est important que l’entreprise détermine le type de la protection qui correspond le mieux à ses intérêts et qu’elle recherche une police d’assurance qui englobe tous les risques auxquels elle pourrait être exposée. De plus, administrateurs et dirigeants doivent s’assurer de bien examiner les modalités de la police afin d’en comprendre la portée, les limites et les obligations qui en découlent.

Si vous êtes prêts à prendre la cybersécurité de votre entreprise au sérieux, contactez un membre de notre équipe qui pourra vous guider dans vos démarches pour protéger vos actifs.

[1] Canadian Centre for Cyber Security, « Évaluation des cybermenaces nationales 2020 », en ligne: https://cyber.gc.ca/fr/orientation/evaluation-des-cybermenaces-nationales-2020.
[2] Cisco, “Rapport Sécurité pour les PME : Petit mais puissant » (2018), en ligne https://www.cisco.com/c/dam/global/fr_fr/solutions/small-business/pdf/Cisco_2018_SMB_Security_FR.pdf.
[3] 119(2) LSA; 122(1)a) et 122(1.1) LCSA; BCE c. Détenteurs de débentures de 1976, 2008 CSC 69.

Partager cet article
1