Vous ne pouvez jamais être sûr d’être à l’abri. Des atteintes vont se produire. Ce que vous pouvez faire, c’est vous préparer à l’avance et cela vous aidera à atténuer les risques.
Balado disponible en anglais avec retranscription en français ci-dessous.
La cybersécurité est devenue un des principaux enjeux de gouvernance auxquels les organisations doivent faire face aujourd’hui, et le nombre de cyberincidents augmente à un rythme alarmant. Dans cet épisode de notre balado, les avocats de Blakes Sunny Handa, Nicole Henderson, Alexandra Luchenko et Allison Sibthorpe partagent les résultats convaincants de notre récente Étude sur les tendances canadiennes en matière de cybersécurité, ainsi que des conseils importants pour atténuer les risques.
La cybersécurité est devenue un des principaux enjeux de gouvernance auxquels les organisations doivent faire face aujourd’hui, et le nombre de cyberincidents augmente à un rythme alarmant. Dans cet épisode de notre balado, les avocats de Blakes Sunny Handa, Nicole Henderson, Alexandra Luchenko et Allison Sibthorpe partagent les résultats convaincants de notre récente Étude sur les tendances canadiennes en matière de cybersécurité, ainsi que des conseils importants pour atténuer les risques.
Table des matières
- Pourquoi une étude sur la cybersécurité (00:35)
- Comment atténuer le risque d’une atteinte à la protection des données? (01:20)
- Secteurs les plus touchés par les cyberattaques (01:10)
- La nature des incidents et des données ciblées (01:00)
- Autorisation des actions collectives en matière de protection de la vie privée (01:45)
- Responsabilité des administrateurs et dirigeants (3:15)
Retranscription
| Mathieu : | Bonjour, je m’appelle Mathieu Rompré. |
| Yula : | Et je m’appelle Yula Economopoulos, et voici le balado Continuité. |
| Mathieu : | Depuis le début de cette série de balados, nous avons couvert de nombreux sujets liés à l’impact de la pandémie actuelle sur les entreprises canadiennes. |
| Yula : | Et certaines menaces, malheureusement, n’ont pas du tout ralenti pendant la COVID. C’est le cas de la cybersécurité. Cette question demeure l’un des principaux enjeux de gouvernance avec lesquels les organisations sont aux prises de nos jours. |
| Mathieu : | Pour le balado d’aujourd’hui, nous sommes avec Sunny Handa, Nicole Henderson, Alexandra Luchenko et Allison Sibthorpe, des avocats de nos groupes Cybersécurité et Litige. Ils nous parleront de notre plus récente étude sur la cybersécurité et de ce que les résultats signifient pour les entreprises. |
| Yula : | Sunny, nous en sommes maintenant à la deuxième édition de l’étude annuelle de Blakes sur les tendances canadiennes en matière de cybersécurité. Qu’est-ce qui nous a incités à commencer à étudier les cyberincidents? |
| Sunny : | Nous avons remarqué que nos clients subissaient des atteintes, et nous nous sommes dit que cela commençait à devenir de plus en plus courant sur le marché. Nous voulions mieux comprendre ce phénomène. Nous voulions nous assurer de bien informer nos clients. Nous avons constaté que la création de ce genre d’études dans d’autres domaines s’est avérée très efficace, donc nous avons commencé à examiner la question, et après pas mal de travail, nous avons réalisé que nous étions en mesure de faire quelque chose de très utile. |
| Yula : | Les données de l’étude montrent que les atteintes sont en hausse, en particulier depuis le début de la COVID. Nos clients peuvent-ils agir différemment pour atténuer les risques? |
| Sunny : | Vous ne pouvez jamais être sûr d’être à l’abri. Je pense que tous ceux qui travaillent dans le domaine de la cybersécurité le savent et le comprennent. Des atteintes vont se produire. Ce que vous pouvez faire, c’est vous préparer à l’avance et cela vous aidera à atténuer les risques. Ce que nous avons vu au cours de la dernière année, c’est que les attaques, particulièrement les attaques par rançongiciels, ont augmenté. Non seulement en ce qui concerne le volume ou le nombre, mais elles sont également de plus en plus sophistiquées. Les cyberpirates pénètrent dans les systèmes des entreprises des mois à l’avance, ils préparent leur coup, et quand ils sont prêts, ils installent le maliciel, le déploient et le tour est joué. Lorsque l’entreprise tente de récupérer des sauvegardes, il peut arriver que celles-ci aient été chiffrées. Quand l’entreprise essaie de comprendre ce qui se passe et à combien devrait s’élever la rançon qu’elle aura à payer, elle découvre que le cyberpirate détient déjà toutes les données. Celui-ci a pris son temps et connait à fond tout le trafic d’information à l’interne. C’est de ça qu’il est question quand je parle de sophistication. |
| Mathieu | Allison, l’étude montre que certains secteurs ont été plus touchés par les cyberincidents que d’autres. Peux-tu nous en dire davantage à ce sujet? |
| Allison | En fait, tous les secteurs sont exposés au risque d’une cyberattaque. D’après mon expérience, j’ai eu affaire à des organisations de divers secteurs. J’ai aidé des organismes sans but lucratif, des écoles, des entreprises de services professionnels, des entreprises de commerce interentreprises, entre autres. En somme, une organisation est plus à risque si elle n’a pas de solides dispositifs en matière de sécurité. Cela dit, l’impact d’une cyberattaque n’est pas le même pour tous. En général, les organisations du secteur des services professionnels de la santé et du secteur financier sont touchées plus lourdement par une atteinte en raison des renseignements qu’elles détiennent, qui sont généralement des renseignements personnels, des renseignements confidentiels et des renseignements de nature sensible. Donc, en gros, lorsqu’une organisation qui détient des milliers de renseignements personnels de particuliers subit une atteinte, elle doit aviser des milliers de particuliers ainsi que tous les commissaires à la protection de la vie privée concernés. Donc, oui, certains secteurs d’activité ressentent l’impact d’une cyberattaque plus que d’autres. |
| Mathieu | Parle-moi un peu plus de la nature des incidents et du type de données les plus ciblées? |
| Allison | Nous avons récemment constaté une augmentation considérable du nombre d’attaques par rançongiciels. Les chiffres sont d’ailleurs très éloquents. En 2019, les attaques par rançongiciels représentaient environ 35 % des incidents que nous avons traités, et puis en 2020, elles représentaient un peu moins de 70 %, soit presque le double. Et cela est à la fois malheureux et remarquable parce que généralement les attaques par rançongiciels constituent les atteintes les plus dévastatrices pour une organisation. Elles peuvent vraiment neutraliser toute une organisation en quelques minutes ou quelques heures. Et en ce qui concerne les données les plus ciblées, il s’agit des renseignements personnels et confidentiels, car les cyberpirates peuvent les utiliser comme un levier pour augmenter le montant de la rançon, puis les vendre sur le dark web à une date ultérieure. |
| Yula | Nicole, dans l’étude de l’an dernier, l’équipe a signalé que les demandeurs connaissaient un succès mitigé en tentant de faire autoriser leurs actions collectives en matière de protection de la vie privée. As-tu constaté la même chose au cours de la dernière année? |
| Nicole | Oui, beaucoup en 2019 et dans la première partie de 2021. Nous avons certainement vu de tout à nouveau. Certaines demandes ont été autorisées, mais aussi, encore une fois, nous avons vu des tribunaux refuser d’autoriser d’autres actions, en particulier lorsqu’il semble y avoir une absence de dommages. Cela dit, cependant, les demandeurs ne baissent pas les bras. Nous continuons de voir de nombreuses demandes d’autorisation d’actions collectives en matière de protection de la vie privée être déposées, et nous nous attendons à ce que cette tendance se poursuive, particulièrement à mesure que le commissaire à la protection de la vie privée intensifie ses activités d’application de la loi. Si le projet de loi C-11 est adopté, nous nous attendons à ce que cela alimente également cette tendance. Un développement que je voulais signaler et dont il n’a pas été fait mention dans notre étude sur la cybersécurité, parce que c’est arrivé cette semaine, c’est qu’une majorité de juges de la Cour divisionnaire de l’Ontario a statué dans une action collective découlant d’une cyberattaque, qu’une organisation qui a été victime d’une atteinte à la sécurité de données ne peut pas être tenue responsable d’un délit d’intrusion dans l’intimité parce que dans un tel cas, elle n’est pas réellement un intrus — elle est plutôt victime d’une cyberattaque. Des appels pourraient suivre, et d’autres types de recours seront encore potentiellement disponibles contre des organisations qui ont été victimes de cybercriminalité. Cela dit, nous considérons qu’il s’agit là d’une évolution positive qui continuera probablement d’alimenter la tendance des tribunaux à examiner soigneusement certaines de ces affaires afin de décider si celles-ci devraient aller de l’avant. |
| Mathieu | Alex, les administrateurs et les dirigeants devraient-ils craindre d’engager leur responsabilité personnelle en cas d’incidents de cybersécurité? Quels risques courent-ils? |
| Alex | J’aimerais pouvoir te dire que les administrateurs et les dirigeants n’ont absolument aucune raison de s’inquiéter, et que les nouvelles ne sont pas si mauvaises. La common law canadienne a mis en place une approche très robuste à l’égard du voile corporatif, ce qui offre une certaine protection aux administrateurs et aux dirigeants. Toutefois, aux États-Unis, nous avons aussi vu certaines plaintes formulées comme des manquements à l’obligation fiduciaire pour défaut de surveillance en matière de cybersécurité. Par exemple, un demandeur pourrait alléguer que les administrateurs et les dirigeants n’ont pas fait preuve de diligence raisonnable à l’égard de l’approche de leur entreprise en matière de cybersécurité ou de l’association de celle-ci avec un fournisseur tiers. La bonne nouvelle est que des mesures proactives peuvent être prises sur le front de la cyberpréparation. Il est très important pour les administrateurs et les dirigeants de s’assurer que ces questions font l’objet de discussions entre les personnes appropriées au sein de l’entreprise sur une base très régulière. Comme l’indique notre étude, il s’agit de mettre à jour les politiques, de demeurer à l’affût lors de l’intégration de nouveaux systèmes et processus, et de fournir des formations continues aux membres du personnel. Quant à la question de la sensibilisation accrue, il était très intéressant dans l’étude de constater que 40 % des entreprises cotées en bourse qui ont été étudiées n’ont toujours pas de politique de cybersécurité. C’est une diminution par rapport à l’année dernière, où environ 60 % n’avaient pas de politique de ce genre, mais c’est quand même un chiffre assez élevé. Nous avons également constaté que seulement 17 % des entreprises ont indiqué qu’elles maintenaient des mesures de protection par chiffrement pour les renseignements confidentiels et sensibles, et que seulement un tiers des entreprises ont indiqué que leurs employés ont participé à des programmes de formation et de sensibilisation à la cybersécurité. Et ces chiffres devraient donner aux administrateurs et aux dirigeants l’occasion de réfléchir. Surtout maintenant que la sensibilisation aux cybermenaces est à son plus haut niveau. Les tribunaux ont peut-être été persuadés un jour qu’il s’agissait de menaces émergentes et que les administrateurs et les dirigeants n’avaient pas toujours besoin d’en être conscients, mais je ne pense plus que ce soit le cas maintenant. Par conséquent, même si je ne suis au courant d’aucun cas où un administrateur ou un dirigeant au Canada a été jugé personnellement responsable d’une atteinte à la sécurité des données d’une entreprise, ça s’en vient. Peu importe que les recours soient fructueux ou non, les administrateurs et les dirigeants auraient intérêt à s’assurer non seulement que les questions sont abordées et que les protocoles sont mis en œuvre, mais aussi que les étapes sont correctement consignées, ce qui est un élément clé de la gestion des litiges, qui protège non seulement les entreprises, mais aussi les conseils d’administration et la direction. |
| Mathieu | Quand ils t’appellent, tu dois être capable de sentir à quel point ils sont nerveux à propos du risque auquel ils sont exposés? |
| Alexandra | Je ne saurais trop insister, Mathieu, sur le niveau de stress qu’un cyberincident peut causer à une organisation. Souvent, c’est la première incursion de l’organisation dans ce type de crise, et le conseil d’administration et la direction doivent généralement porter plusieurs chapeaux, qu’il s’agisse de traiter avec les médias, de répondre aux clients, de répondre aux divers intervenants, aux organismes de réglementation, aux organismes chargés de l’application de la loi, etc. C’est donc une tâche extrêmement difficile à accomplir au niveau organisationnel. Le travail du conseiller juridique consiste donc à optimiser la réponse sous différents angles – atténuer la responsabilité, assurer la prise de mesures correctives, gérer les litiges – dans un contexte intrinsèquement stressant. L’autre chose que je voudrais dire à ce sujet est que notre étude a constaté que seulement 23 % des organisations que nous avons étudiées ont un plan d’intervention en cas de cyberincident. Et de tels plans, même s’ils ne pourront pas rendre un cyberincident non stressant – ce n’est pas possible – pourront atténuer ce stress et réduire considérablement les coûts dans le meilleur des cas. |
| Mathieu | Sunny, Allison, Nicole et Alex, merci d’avoir partagé avec nous vos intéressantes découvertes et de nous avoir rappelé qu’il est important d’être vigilant dans le cyberespace. Les auditeurs qui souhaitent obtenir de plus amples renseignements sur notre groupe Cybersecurité, et obtenir une copie de notre étude, peuvent visiter notre site Web à l’adresse blakes.com. |
| Yula | D’ici la prochaine fois, prenez soin de vous et restez en sécurité. |
À propos du balado Volume d’affaires de Blakes
Notre balado Volume d’affaires (anciennement Continuité) se penche sur les répercussions que peut avoir l’évolution du cadre juridique canadien sur les entreprises, et ce, dans notre réalité « post-COVID-19 » et dans l’avenir. Des avocates et avocats de tous nos bureaux discutent des défis, des risques, des occasions, des développements juridiques et des politiques gouvernementales dont vous devriez avoir connaissance. Nous abordons par ailleurs divers sujets qui vous importent et qui sont liés à la responsabilité sociale, comme la diversité et l’inclusion.
Si vous souhaitez en entendre davantage sur un sujet en particulier, adressez-vous à notre équipe Communications à [email protected].
Pas le temps d’écouter maintenant? Pas de problème.
Suivez Volume d’affaires sur votre plateforme favorite et écoutez-nous quand bon vous semble.
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.