Aujourd’hui, je vous présente un formidable guide, publié par McCarthyTetrault, sur les risques associés aux questions de la cybersécurité dans les entreprises.
Vous y trouverez une information complète ainsi que divers outils de diagnostic essentiels aux conseils d’administration qui doivent se préparer à affronter des attaques de nature cybernétique, lesquelles sont de plus en plus fréquentes.
Cet excellent document a été porté à mon attention par Joanne Desjardins, LL.B., MBA, CRHA, ASC, associée de la firme Arsenal conseils, spécialisés en gouvernance et en stratégie.
L’ouvrage est divisé en quatre parties :
(1) une mise en contexte de la situation ;
(2) Pourquoi se préparer aux risques ;
(3) Le programme de préparation aux cyberrisques ;
(4) L’exécution efficace du plan d’intervention.
Voici un aperçu de l’introduction. Je vous invite à prendre connaissance de ce document très bien conçu.
Bonne lecture ! Vos commentaires sont les bienvenus.
Gestion des risques liés à la cybersécurité | Guide pratique de McCarthyTetrault pour les entreprises
Qui dit données dit possibilité de perte de données. La façon dont une organisation se prépare à une atteinte à la protection des données — et la gère si elle se produit – a un effet mesurable sur les répercussions d’une telle atteinte. En gérant efficacement un tel incident, qui peut coûter des millions de dollars et ruiner la réputation d’une organisation, on peut le maîtriser et réduire considérablement la gravité de ses conséquences. Par exemple, à la suite d’une atteinte très médiatisée à la protection des données par un logiciel malveillant installé sur les caisses en libre-service de Home Depot, deux sociétés canadiennes ont entamé des actions collectives, réclamant une indemnisation de 500 millions de dollars ; les recours ont finalement été réglés pour un montant de 400 000 $. Cette réduction importante est justifiée, dit le juge, au vu de la réponse « exemplaire » de Home Depot & NBSP ; : 1
Dans l’affaire en question, attendu : a) que Home Depot n’a apparemment commis aucun acte répréhensible ; b) qu’elle a réagi rapidement et d’une manière responsable, généreuse et exemplaire aux actes criminels perpétrés contre elle par les pirates informatiques ; c) que le comportement de Home Depot n’avait nul besoin d’être géré ; d) que la probabilité que les membres du groupe aient gain de cause contre Home Depot tant sur le plan de la responsabilité que de la preuve de dommages consécutifs était négligeable, voire nulle ; et e) que le risque d’échec devant les tribunaux et les frais de litige connexes étaient importants et immédiats, j’aurais approuvé l’abandon de l’action collective proposé par M. Lozanski, avec ou sans dépens et sans aucun avantage pour les membres du groupe présumés. [traduction libre].
Prolifération des données
Les renseignements personnels se définissent comme les données pouvant servir à identifier une personne, et leur collecte crée des obligations de protection de la vie privée (expliquant l’existence de lois sur la protection de la vie privée). Avec les progrès technologiques, les organisations recueillent, conservent et transfèrent plus de renseignements personnels sur les consommateurs, les professionnels, les patients et les employés que jamais auparavant. L’accumulation de grandes quantités de renseignements personnels dans d’immenses bases de données augmente le risque d’accès non autorisé à ces informations ainsi que les conséquences qui peuvent en découler. Une seule atteinte à la protection des données personnelles peut aujourd’hui toucher des millions de personnes.
L’adoption croissante d’identifiants biométriques (empreintes digitales ou vocales, reconnaissance faciale, etc.) par les entreprises crée aujourd’hui de nouveaux risques, soit la perte ou la mauvaise utilisation de ces éléments d’identification immuables.
Incidents de plus en plus importants et sophistiqués
Si les incidents connaissent une augmentation croissante, le problème le plus important est leur sophistication grandissante. Les modèles d’affaires des malfaiteurs ont évolué et, en plus de recourir à des méthodes toujours plus complexes, leurs cibles ont changé. Autrefois, le modus operandi consistait à voler des renseignements de cartes de crédit pour effectuer des transactions non autorisées. Aujourd’hui, les cyberadversaires utilisent des méthodes d’ingénierie sociale (comme l’hameçonnage au moyen de courriels frauduleux visant à amener par la tromperie des employés à fournir des informations confidentielles ou sensibles) pour obtenir des renseignements de valeur pour l’entreprise. Ces renseignements sont ensuite monnayés directement par leur utilisation dans le cadre de délits d’initiés, vendus à des concurrents (dans le cas d’une propriété intellectuelle ou d’un secret commercial) ou utilisés pour exiger une rançon.
Les hauts dirigeants d’entreprise craignent de plus en plus les atteintes à la protection des données, et il est désormais communément admis que les sociétés ne doivent pas se demander si un tel incident se produira, mais quand ?
Incidents de plus en plus coûteux
Les atteintes à la protection des données deviennent de plus en plus coûteuses. Si de nouveaux produits (comme les assurances contre les cyberrisques) contribuent à en défrayer les coûts, la réaction la plus fréquente au signalement d’un incident est une poursuite en justice (le plus souvent une action collective). Les dommages-intérêts octroyés ont certes été jusqu’ici relativement minimes, mais les coûts de gestion d’une atteinte à la protection des données peuvent être incroyablement élevés.
La réglementation en la matière a un coût. De récentes modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada ont introduit l’obligation de notification d’une atteinte et une amende de 100 000 $ CA par atteinte en cas de non-respect de cette exigence — s’ajoutant aux frais financiers et aux coûts des atteintes à la réputation qu’engendrent les incidents liés à la confidentialité des données.
Les coûts ne se limitent pas aux dommages : la responsabilité des atteintes à la protection des données peut être imputée au conseil d’administration. Gregg Steinhafel, chef de la direction et président du conseil de Target, a démissionné tout juste après l’incident dont son entreprise a été victime. Un sort similaire a frappé Amy Pascal, qui a quitté ses fonctions de chef de Sony Pictures dans la foulée du piratage de Sony.
Les coûts ne se limitent pas aux dommages : la responsabilité des atteintes à la protection des données peut être imputée au conseil d’administration. Gregg Steinhafel, chef de la direction et président du conseil de Target, a démissionné tout juste après l’incident dont son entreprise a été victime. Un sort similaire a frappé Amy Pascal, qui a quitté ses fonctions de chef de Sony Pictures dans la foulée du piratage de Sony.
Gouvernance | Jacques Grisé 