Les cybercrimes évoluent. Et vous?

Jordan : Bonjour, je m’appelle Jordan Virtue.

Nathan : Et je m’appelle Nathan Kanter. Bienvenue à Volume d'affaires de Blakes.

Jordan : Nathan, tout le monde se doute que les chefs d’entreprise sont aux prises avec des préoccupations susceptibles de les garder éveillés la nuit, mais savais-tu que la cybersécurité figure en tête de liste?

Nathan : Je ne suis pas vraiment étonné, Jordan, étant donné le nombre de plus en plus élevé de cyberattaques et la gravité des dommages qu’elles peuvent causer.

Jordan : C’est là que Blakes entre en jeu. Et c’est pour ces raisons que le cabinet a lancé son Étude sur les tendances en matière de cybersécurité au Canada, qui en est maintenant à sa troisième édition. Pour discuter de certaines des plus récentes tendances en matière de cybersécurité, nous sommes accompagnés aujourd’hui de l’avocat de Blakes à Montréal, John Lenz, ainsi que des avocates de Blakes à Toronto, Ellie Marshall et Nicole Henderson.

[musique]

Nathan : John, parlez-nous de certains des faits saillants de la plus récente Étude de Blakes sur les tendances en matière de cybersécurité? Qu’est-ce que les auditeurs devraient savoir?

John : Certaines des principales tendances cernées l’an dernier se sont poursuivies pendant la nouvelle période visée par l’Étude. Encore une fois, des cyberattaques se sont produites d’un océan à l’autre du pays. Et elles ont touché des organisations de toutes tailles, sans égards aux secteurs d’activité.

Certaines choses diffèrent par rapport à l’an dernier, toutefois. Nous avons par exemple constaté que les stratagèmes utilisés par les nombreux groupes de cyberattaquants ont grandement évolué. De nouvelles variantes de rançongiciels sont apparues, et certaines étaient des ramifications de filons déjà exploités par des groupes bien connus. Nous avons également noté que les renseignements sensibles des organisations sont des cibles prisées, y compris les renseignements personnels. En fait, dans environ 70 % des attaques que nous avons étudiées cette année, les cyberattaquants ont pu accéder à de l’information sensible, ce qui représente une augmentation notable par rapport aux données de l’an dernier.

Nathan : D’ailleurs, dans l’Étude de l’an dernier, les attaques par rançongiciel avaient été décrites comme étant la forme de cybermenace la plus courante pour les organisations. Est-ce encore le cas aujourd’hui?

John : Oui, les attaques par rançongiciel demeurent le principal type de cyberincident observé, représentant plus de la moitié des attaques que nous avons étudiées. Non seulement ces attaques sont-elles très fréquentes, mais elles coûtent aussi de plus en plus cher aux organisations canadiennes touchées, et il n’est pas rare que les rançons payées dépassent 1 M $ US.

Une des tendances susceptibles d’expliquer le nombre accru d’attaques par rançongiciel est la capacité des groupes de cyberattaquants de tirer parti des failles de sécurité dans la chaîne d’approvisionnement des organisations ou dans les outils de tiers que les organisations ciblées utilisent. En fait, environ un tiers des incidents que nous avons examinés découlaient d’une vulnérabilité logicielle.

Par exemple, cela peut se produire lorsqu’une organisation n’a pas procédé à la dernière mise à jour logicielle. Un cybercriminel peut alors tirer parti d’une vulnérabilité connue dans l’ancienne version et mener son attaque en accédant au réseau de l’organisation.

Jordan : Ellie, il est question dans l’Étude des obligations de signalement des atteintes à la vie privée et de la façon dont la réforme du droit à la protection de la vie privée au Canada est en train de transformer le paysage. Comment ces changements toucheront-ils les entreprises?

Ellie : Les lois canadiennes sur la protection de la vie privée et des données, qui sont un peu disparates, font en effet actuellement l’objet de nombreuses réformes en réponse aux menaces croissantes qui pèsent sur les renseignements personnels.

En juin, le gouvernement fédéral a présenté le projet de loi C-27. S’il est adopté, le projet de loi abrogera certaines parties de la loi fédérale régissant la protection des renseignements personnels dans le secteur privé, la LPRPDE, qui réglemente notamment le traitement des renseignements personnels, et promulguera une nouvelle Loi sur la protection de la vie privée des consommateurs, ou LPVPC. Dans sa forme actuelle, la LPVPC inclurait les mêmes obligations de signalement des atteintes à la vie privée que celles actuellement prévues dans la LPRPDE. En cas d’atteinte aux mesures de sécurité, les fournisseurs de services seraient toutefois tenus d’aviser l’organisation qui contrôle les renseignements personnels qu’ils traitent dès que possible.

Cette nouvelle loi élargirait par ailleurs les pouvoirs d’application de la loi du commissaire à la protection de la vie privée et augmenterait considérablement les amendes en cas d’infractions.

Jordan : Qu’en est-il des opérations de F&A? Quels sont les effets des cyberincidents sur ce type d’opération?

Ellie : Nous avons notamment observé une hausse évidente du nombre de vérifications diligentes réalisées en matière de cybersécurité dans le cadre des opérations de F&A. Le fait que la plupart des organisations dépendent maintenant fortement de leurs actifs numériques pour exploiter et fournir des biens et des services à leurs clients peut entre autres expliquer cette hausse.

Réaliser au moins une vérification diligente juridique devrait suffire à donner une bonne idée des actifs technologiques visés par une opération. L’acquéreur devrait examiner de près les mesures de cybersécurité mises en place par la société cible afin de s’assurer que cette dernière teste ou vérifie ces mesures de temps à autre et que celle-ci est suffisamment assurée contre les cyberrisques pour couvrir les dommages éventuellement causés par une atteinte.

Le processus de vérification diligente devrait par ailleurs permettre de déterminer quelles lois sur la protection des données s’appliquent et d’évaluer si les polices d’assurance sont conformes à ces lois.

Nathan :  Nicole, d’après les tendances observées par votre équipe, il semble que les actions collectives en matière de protection de la vie privée liées à la cybersécurité franchissent rarement l’étape de l’autorisation. Les entreprises devraient-elles être préoccupées par cette tendance?

Nicole : Bien sûr, nous sommes très heureux que les tribunaux examinent en profondeur les demandes d’autorisation d’actions collectives en matière de protection de la vie privée et, selon moi, les avocats des demandeurs continuent malgré cela de voir les actions collectives comme un moyen viable de traiter des affaires liées à des atteintes à la vie privée, d’où le nombre assez élevé de nouvelles affaires en cours. Il y a par ailleurs lieu de noter que certains règlements accordés ont été plutôt considérables.

Dans l’Étude sur la cybersécurité, nous mentionnons le fait que la plupart des règlements d’actions collectives dans le domaine de la protection de la vie privée se sont révélés peu élevés par personne, et c’est tout à fait vrai. Mais si une organisation a été victime d’une atteinte et que des dizaines de milliers de personnes ont été touchées, la somme peut rapidement devenir exorbitante. Ce point n’est certainement pas à négliger. Je pense que nous devrions notamment surveiller l’affaire entourant la cyberattaque subie par Equifax en Ontario, qui fait l’objet d’appels devant les tribunaux. L’issue de cette affaire sera déterminante pour connaître la portée du délit d’« intrusion dans l’intimité » et savoir si ce dernier peut s’appliquer dans le cas d’une cyberattaque commise par un tiers.

Nathan : Il y a aussi de bonnes nouvelles, puisque plus tôt cette année un pirate informatique s’est vu infliger une peine de prison pour avoir orchestré des attaques par rançongiciel à grande échelle. Pourrions-nous voir d’autres jugements similaires?

Nicole : Seul l’avenir nous le dira, mais je suppose que oui. L’une des raisons pour lesquelles j’ai pensé qu’il était intéressant d’en parler est que les organisations qui ont fait l’objet d’une cyberattaque nous demandent souvent si elles sont tenues de signaler l’incident en vertu des lois. Leur décision semble toujours reposer entre autres sur la question de savoir si la police ou d’autres autorités pourront réellement faire quelque chose dans les circonstances.

Bien entendu, il faut être réaliste. Bon nombre de cybercriminels mènent leurs attaques depuis des pays étrangers, où les autorités ne vont pas nécessairement collaborer avec la GRC ou le FBI. Or, au bout du compte, ce qu’il est important de retenir selon moi est que les organismes d’application de la loi accordent une attention accrue à la cybercriminalité et que les tribunaux prennent au sérieux ce type de crime, en infligeant de vraies sanctions. C’est donc encourageant, et je pense que nous espérons tous que les choses continueront sur cette voie.

[musique]

Jordan : Merci, Nicole, John et Ellie. Nous savons à quel point notre Étude sur les tendances en matière de cybersécurité exige beaucoup de travail, et vos connaissances sont inestimables.

Nathan : Les auditeurs qui souhaitent obtenir de plus amples renseignements sur notre groupe Cybersecurité, et notre balado, peuvent visiter notre site Web à l’adresse blakes.com.

Jordan : D’ici à la prochaine fois, faites attention à vous... dans le monde réel et en ligne.