Gestion des risques liés à la cybersécurité | Guide pratique de McCarthyTetrault pour les entreprises


Aujourd’hui, je vous présente un formidable guide, publié par McCarthyTetrault, sur les risques associés aux questions de la cybersécurité dans les entreprises.

Vous y trouverez une information complète ainsi que divers outils de diagnostic essentiels aux conseils d’administration qui doivent se préparer à affronter des attaques de nature cybernétique, lesquelles sont de plus en plus fréquentes.

Cet excellent document a été porté à mon attention par Joanne Desjardins, LL.B., MBA, CRHA, ASC, associée de la firme Arsenal conseils, spécialisés en gouvernance et en stratégie.

L’ouvrage est divisé en quatre parties :

(1) une mise en contexte de la situation ;

(2) Pourquoi se préparer aux risques ;

(3) Le programme de préparation aux cyberrisques ;

(4) L’exécution efficace du plan d’intervention.

Voici un aperçu de l’introduction. Je vous invite à prendre connaissance de ce document très bien conçu.

Bonne lecture ! Vos commentaires sont les bienvenus.

 

Gestion des risques liés à la cybersécurité | Guide pratique de McCarthyTetrault pour les entreprises

 

Résultats de recherche d'images pour « gestion des risques cybernétiques »

 

Qui dit données dit possibilité de perte de données. La façon dont une organisation se prépare à une atteinte à la protection des données — et la gère si elle se produit – a un effet mesurable sur les répercussions d’une telle atteinte. En gérant efficacement un tel incident, qui peut coûter des millions de dollars et ruiner la réputation d’une organisation, on peut le maîtriser et réduire considérablement la gravité de ses conséquences. Par exemple, à la suite d’une atteinte très médiatisée à la protection des données par un logiciel malveillant installé sur les caisses en libre-service de Home Depot, deux sociétés canadiennes ont entamé des actions collectives, réclamant une indemnisation de 500 millions de dollars ; les recours ont finalement été réglés pour un montant de 400 000 $. Cette réduction importante est justifiée, dit le juge, au vu de la réponse « exemplaire » de Home Depot & NBSP ; : 1

Dans l’affaire en question, attendu : a) que Home Depot n’a apparemment commis aucun acte répréhensible ; b) qu’elle a réagi rapidement et d’une manière responsable, généreuse et exemplaire aux actes criminels perpétrés contre elle par les pirates informatiques ; c) que le comportement de Home Depot n’avait nul besoin d’être géré ; d) que la probabilité que les membres du groupe aient gain de cause contre Home Depot tant sur le plan de la responsabilité que de la preuve de dommages consécutifs était négligeable, voire nulle ; et e) que le risque d’échec devant les tribunaux et les frais de litige connexes étaient importants et immédiats, j’aurais approuvé l’abandon de l’action collective proposé par M. Lozanski, avec ou sans dépens et sans aucun avantage pour les membres du groupe présumés. [traduction libre].

Prolifération des données

Les renseignements personnels se définissent comme les données pouvant servir à identifier une personne, et leur collecte crée des obligations de protection de la vie privée (expliquant l’existence de lois sur la protection de la vie privée). Avec les progrès technologiques, les organisations recueillent, conservent et transfèrent plus de renseignements personnels sur les consommateurs, les professionnels, les patients et les employés que jamais auparavant. L’accumulation de grandes quantités de renseignements personnels dans d’immenses bases de données augmente le risque d’accès non autorisé à ces informations ainsi que les conséquences qui peuvent en découler. Une seule atteinte à la protection des données personnelles peut aujourd’hui toucher des millions de personnes.

L’adoption croissante d’identifiants biométriques (empreintes digitales ou vocales, reconnaissance faciale, etc.) par les entreprises crée aujourd’hui de nouveaux risques, soit la perte ou la mauvaise utilisation de ces éléments d’identification immuables.

Incidents de plus en plus importants et sophistiqués

Si les incidents connaissent une augmentation croissante, le problème le plus important est leur sophistication grandissante. Les modèles d’affaires des malfaiteurs ont évolué et, en plus de recourir à des méthodes toujours plus complexes, leurs cibles ont changé. Autrefois, le modus operandi consistait à voler des renseignements de cartes de crédit pour effectuer des transactions non autorisées. Aujourd’hui, les cyberadversaires utilisent des méthodes d’ingénierie sociale (comme l’hameçonnage au moyen de courriels frauduleux visant à amener par la tromperie des employés à fournir des informations confidentielles ou sensibles) pour obtenir des renseignements de valeur pour l’entreprise. Ces renseignements sont ensuite monnayés directement par leur utilisation dans le cadre de délits d’initiés, vendus à des concurrents (dans le cas d’une propriété intellectuelle ou d’un secret commercial) ou utilisés pour exiger une rançon.

Les hauts dirigeants d’entreprise craignent de plus en plus les atteintes à la protection des données, et il est désormais communément admis que les sociétés ne doivent pas se demander si un tel incident se produira, mais quand ?

Incidents de plus en plus coûteux

Les atteintes à la protection des données deviennent de plus en plus coûteuses. Si de nouveaux produits (comme les assurances contre les cyberrisques) contribuent à en défrayer les coûts, la réaction la plus fréquente au signalement d’un incident est une poursuite en justice (le plus souvent une action collective). Les dommages-intérêts octroyés ont certes été jusqu’ici relativement minimes, mais les coûts de gestion d’une atteinte à la protection des données peuvent être incroyablement élevés.

La réglementation en la matière a un coût. De récentes modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada ont introduit l’obligation de notification d’une atteinte et une amende de 100 000 $ CA par atteinte en cas de non-respect de cette exigence — s’ajoutant aux frais financiers et aux coûts des atteintes à la réputation qu’engendrent les incidents liés à la confidentialité des données.

Les coûts ne se limitent pas aux dommages : la responsabilité des atteintes à la protection des données peut être imputée au conseil d’administration. Gregg Steinhafel, chef de la direction et président du conseil de Target, a démissionné tout juste après l’incident dont son entreprise a été victime. Un sort similaire a frappé Amy Pascal, qui a quitté ses fonctions de chef de Sony Pictures dans la foulée du piratage de Sony.

Les coûts ne se limitent pas aux dommages : la responsabilité des atteintes à la protection des données peut être imputée au conseil d’administration. Gregg Steinhafel, chef de la direction et président du conseil de Target, a démissionné tout juste après l’incident dont son entreprise a été victime. Un sort similaire a frappé Amy Pascal, qui a quitté ses fonctions de chef de Sony Pictures dans la foulée du piratage de Sony.

Auteur : Gouvernance des entreprises | Jacques Grisé

Ce blogue fait l’inventaire des documents les plus pertinents et récents en gouvernance des entreprises. La sélection des billets, « posts », est le résultat d’une veille assidue des articles de revue, des blogues et sites web dans le domaine de la gouvernance, des publications scientifiques et professionnelles, des études et autres rapports portant sur la gouvernance des sociétés, au Canada et dans d’autres pays, notamment aux États-Unis, au Royaume-Uni, en France, en Europe, et en Australie. Chaque jour, je fais un choix parmi l’ensemble des publications récentes et pertinentes et je commente brièvement la publication. L’objectif de ce blogue est d’être la référence en matière de documentation en gouvernance dans le monde francophone, en fournissant au lecteur une mine de renseignements récents (les billets quotidiens) ainsi qu’un outil de recherche simple et facile à utiliser pour répertorier les publications en fonction des catégories les plus pertinentes. Jacques Grisé est professeur titulaire retraité (associé) du département de management de la Faculté des sciences de l’administration de l’Université Laval. Il est détenteur d’un Ph.D. de la Ivy Business School (University of Western Ontario), d’une Licence spécialisée en administration des entreprises (Université de Louvain en Belgique) et d’un B.Sc.Comm. (HEC, Montréal). En 1993, il a effectué des études post-doctorales à l’University of South Carolina, Columbia, S.C. dans le cadre du Faculty Development in International Business Program. Il a été directeur des programmes de formation en gouvernance du Collège des administrateurs de sociétés (CAS) de 2006 à 2012. Il est maintenant collaborateur spécial au CAS. Il a été président de l’ordre des administrateurs agréés du Québec de 2015 à 2017. Jacques Grisé a été activement impliqué dans diverses organisations et a été membre de plusieurs comités et conseils d'administration reliés à ses fonctions : Professeur de management de l'Université Laval (depuis 1968), Directeur du département de management (13 ans), Directeur d'ensemble des programmes de premier cycle en administration (6 ans), Maire de la Municipalité de Ste-Pétronille, I.O. (1993-2009), Préfet adjoint de la MRC l’Île d’Orléans (1996-2009). Il est présentement impliqué dans les organismes suivants : membre de l'Ordre des administrateurs agréés du Québec (OAAQ), membre du Comité des Prix et Distinctions de l'Université Laval. Il préside les organisations suivantes : Société Musique de chambre à Ste-Pétronille Inc. (depuis 1989), Groupe Sommet Inc. (depuis 1986). Jacques Grisé possède également une expérience de 3 ans en gestion internationale, ayant agi comme directeur de projet en Algérie et aux Philippines de 1977-1980 (dans le cadre d'un congé sans solde de l'Université Laval). Il est le Lauréat 2007 du Prix Mérite du Conseil interprofessionnel du Québec (CIQ) et Fellow Adm.A. En 2012, il reçoit la distinction Hommage aux Bâtisseurs du CAS. Spécialités : Le professeur Grisé est l'auteur d’une soixantaine d’articles à caractère scientifique ou professionnel. Ses intérêts de recherche touchent principalement la gouvernance des sociétés, les comportements dans les organisations, la gestion des ressources humaines, les stratégies de changement organisationnel, le processus de consultation, le design organisationnel, la gestion de programmes de formation, notamment ceux destinés à des hauts dirigeants et à des membres de conseil d'administration.

Qu'en pensez-vous ?

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s