On l’a déjà dit à maintes reprises, mais on ne le dira jamais assez : la façon la plus efficace d’éviter les cyberattaques est de demeurer vigilant et bien préparé. Comme les menaces à la cybersécurité évoluent constamment, les organisations doivent s’adapter pour atténuer le risque d’atteinte et minimiser les dommages en cas d’incident.
Pour vous aider à rester informé, voici quelques points clés concernant les principaux développements qui ont été observés du côté de la réglementation de la cybersécurité, de la jurisprudence et des pratiques exemplaires sur la façon de gérer les cybermenaces.
1. Les cyberattaques se multiplient. Après un bref déclin attribué au début de la guerre entre l’Ukraine et la Russie en 2022, le nombre de cyberattaques grimpe de nouveau. Il semblerait que les petites et moyennes entreprises soient de plus en plus ciblées. Celles-ci n’ont donc pas d’autres choix que de tenir compte de ces risques en déployant notamment des ressources accrues afin d’empêcher de possibles atteintes.
2. Lignes directrices propres à des secteurs particuliers. Reconnaissant le fait qu’il n’existe pas de solutions universelles pour la gestion des risques liés à la cybersécurité, les organismes de réglementation canadiens ont mis en place des pratiques exemplaires adaptées à leur secteur d’activités et ont adopté différentes lignes directrices. La ligne directrice B-13 publiée l’an dernier par le Bureau du surintendant des institutions financières et le projet de ligne directrice de l’Association canadienne des organismes de contrôle des régimes de retraite en sont de bons exemples.
3. Tendances en litige. Des actions collectives continuent d’être intentées contre des entreprises qui ont subi des cyberattaques. La décision rendue par la Cour d’appel de la Colombie-Britannique dans l’affaire Ari v. Insurance Corporation of British Columbia (l’« affaire Ari ») met par ailleurs en lumière les risques qui pèsent sur les organisations en interne, en tenant une entreprise indirectement responsable de la vente intentionnelle par l’un de ses employés de renseignements personnels de clients.
4. Nouvelles lois. Deux projets de loi fédéraux font actuellement l’objet d’un examen en comité. Le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, modifierait les obligations qui incombent aux organisations du secteur privé en ce qui a trait aux renseignements personnels et introduirait de nouvelles sanctions administratives pécuniaires ainsi que des amendes importantes. Il prévoit également des obligations pour les organisations qui développent ou utilisent des systèmes d’intelligence artificielle. Le projet de loi C-26, la Loi sur la protection des cybersystèmes essentiels, vise quant à lui à sécuriser les cybersystèmes essentiels dans les secteurs sous réglementation fédérale. À l’échelle provinciale, la Colombie-Britannique, le Québec et l’Alberta ont adopté de nouvelles lois liées à la protection des renseignements personnels ou passent en revue les lois pertinentes existantes.
5. Demandes de rançon. Une tendance d’extorsion émergente encore plus destructrice prend de l’ampleur. Lors de ce type d’attaque, les cybercriminels chiffrent les données des systèmes d’une organisation puis détruisent les sauvegardes de ces données, ce qui empêche les organisations de recourir à celles-ci et augmente ainsi la probabilité que les cibles paient les rançons demandées. Ce stratagème représente une menace de taille, particulièrement pour les petites et moyennes entreprises qui ont de plus grandes lacunes en matière de cybersécurité.
Vous avez plus de cinq minutes? Communiquez avec Sunny Handa, Cathy Beagan Flood, Alexandra Luchenko, Birch Miller ou tout membre de notre groupe Cybersécurité pour en savoir davantage. Vous pouvez également visionner notre récent webinaire (en anglais) sur ce sujet et télécharger l’édition 2023 de notre Étude sur les tendances en matière de cybersécurité au Canada. Enfin, voici des liens menant à l’affaire Ari, au projet de loi C-27 et au projet de loi C-26 dont il a été question aux présentes.
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.