La cybersécurité fait de plus en plus la une de l’actualité, notamment à la suite d’incidents entraînant, tantôt la fuite de renseignements personnels ou d’informations sensibles, tantôt la paralysie de tout ou partie des opérations d’une organisation.
Ainsi les enjeux entourant cette cybersécurité dépassent largement le seul domaine des technologies. Il est donc essentiel qu’elle soit considérée par les dirigeants, qui en sont imputables, dans la prise de décisions visant l’atteinte de leurs objectifs stratégiques.
Pour cela, tout dirigeant d’entreprise doit disposer d’un minimum de connaissances en la matière et des éléments de réponses à des questions essentielles telles que :
- Quels sont les actifs informationnels dont dépendent les opérations de mon organisation et quel rôle jouent-ils?
- Où sont ces actifs et qui en a le contrôle?
- Comment puis-je assumer mes responsabilités en matière de gouvernance de l’information et des technologies?
- À quelles obligations suis-je assujetti?
- Quelles sont les exigences de mes partenaires et de mes clients?
- Quelles sont nos exigences envers les fournisseurs faisant partie de notre chaîne d’approvisionnement?
- Quelles sont les contrôles de sécurité qui devraient être mise en place et quelle assurance ai-je concernant leur efficacité?
Malgré toutes les ressources qui pourront être mises dans la cybersécurité, tout risque ne pourra être écarté. C’est pourquoi, il est primordial pour les dirigeants de savoir si leur organisation est prête à faire face à un incident de cette nature.
Les événements récents ont permis de conscientiser un nombre croissant de dirigeants pour lesquels la cybersécurité est devenu une source de préoccupation.
Pour autant, il reste encore beaucoup de chemin à parcourir pour que la sécurité fasse réellement partie de la culture des organisations au Canada. Il suffit pour s’en convaincre de constater que la cybersécurité n’est encore que trop rarement abordée au sein des conseils d’administration et des comités de direction.
Pourtant les responsabilités des dirigeants en matière de cybersécurité existent, notamment en matière de protection des renseignements personnels.
C’est ce que Me Jean-François De Rico, associé et membre du comité exécutif du cabinet Langlois Avocats, est venu présenter lors de la Conférence Forensik 2019 et sur la chaîne cybersécurité INTRASEC.
Les obligations de signalement en cas d’incident de cybersécurité
Même si le Canada et le Québec en particulier ne possèdent pas encore un arsenal législatif aussi contraignant que celui mis en place par l’Union Européenne avec son Règlement Général sur la Protection des Données (RGPD)[1], le mouvement est en marche pour responsabiliser davantage les dirigeants des organisations.
Ainsi, le législateur canadien a entrepris de réviser la Loi sur la Protection des Renseignements Personnels et des Documents électroniques (LPRPDE, également connue sous son acronyme anglais PIPEDA). Il est désormais obligatoire pour les entreprises assujetties à la loi fédérale de divulguer les incidents de sécurité impliquant une atteinte à la vie privée.
Cette déclaration doit se faire autant auprès du Commissariat à la protection de la vie privée du Canada que des personnes dont les renseignements ont été impliqués dans l’atteinte aux mesures de protection. Cela concerne toute situation où il est « raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave »[2].
Selon la LPRPDE, un tel préjudice grave comprend non seulement le vol d’identité mais également l’humiliation, le dommage à la réputation ou aux relations, les pertes financières, l’atteinte au dossier de crédit ou encore la possibilité de perte d’emploi.
Concernant la nature réelle du risque, il s’agit de considérer le niveau de sensibilité des renseignements personnels concernés par l’atteinte et d’évaluer la probabilité qu’ils soient utilisés de manière malveillante.
Pour cela, il est nécessaire d’investiguer et de comprendre l’origine de l’incident en déterminant notamment :
- le type d’attaque;
- son aspect volontaire ou accidentel;
- les actifs visés;
- l’auteur;
- sa motivation et si votre organisation était ciblée ou pas.
Enfin, en termes de conséquences, l’attaque peut résulter en une perte de confidentialité de l’information mais également une perte d’intégrité (qui engendrerait par exemple des décisions dommageables) ou une perte de disponibilité (pensons par exemple aux rançongiciels ou aux attaques de déni de service).
Outre ces règles générales de déclaration, une organisation pourrait également assujettie à des exigences spécifiques du fait de son secteur d’activité.
À titre d’exemple, les institutions financières fédérales au Canada doivent signaler tout incident liés à la cybersécurité au Bureau du surintendant des institutions financières (BSIF) et ce, le plus rapidement possible, et au plus tard 72 heures après avoir déterminé que l’incident répondait à l’un des critères de gravité établi[3].
De son côté, l’Autorité des marchés financiers (AMF) s’attend des institutions financières qu’elles l’informent ainsi que les personnes concernées de toute atteinte à la confidentialité et la protection des renseignements personnels qu’elles détiennent[4].
Comme mentionné précédemment, il est fort à parier que cette obligation de signalement en cas d’incident de cybersécurité sera étendue prochainement par le législateur à l’ensemble des secteurs d’activités.
Dans tous les cas, la proactivité et la transparence sont à privilégier.
Il faut donc se préparer dès à présent!
Quels sont les risques encourus en cas d’incident de cybersécurité?
Alors que les organisations n’ont jamais été aussi dépendantes envers les informations et les technologies, il est évident que les incidents de cybersécurité peuvent avoir un impact majeur sur leurs opérations.
Ces risques peuvent se décliner en risque financier, réputationnel voire en recours judiciaire de la part des autorités, des clients victimes ou encore de partenaires floués.
Pour minimiser ces risques lors d’un incident, les dirigeants des organisations devront démontrer aux parties prenantes qu’ils ont agi avec prudence et qu’ils n’ont pas été négligents[5] pour ne pas perdre la confiance qui leur a été accordée.
Tous ces efforts ne doivent pas être considérés comme pures pertes ou comme une simple question de conformité. Outre l’efficacité de la réponse en cas d’incident, une saine gestion de la sécurité des informations est de nature à susciter des opportunités et à permettre à l’organisation de se distinguer sur un marché de plus en plus concurrentiel, et à une époque où l’acceptabilité sociale face à l’atteinte aux renseignements personnels tend à se réduire.
Comment s’y prendre?
La proactivité est la clé. Il est évident qu’il ne faut pas attendre de faire face à un incident pour agir.
En premier lieu, le chef de la direction doit nommer un responsable interne ou externe de la sécurité de l’information. La même personne pourra éventuellement assumer la charge de responsable de la protection des renseignements personnels.
L’important réside dans le fait que ce responsable ait un accès direct aux dirigeants de l’organisation. Idéalement, il devra pouvoir siéger au sein du comité de direction pour comprendre les besoins et les objectifs de l’organisation, conseiller les dirigeants, répondre à leurs questions et rendre compte de la posture de l’organisation en cybersécurité.
Ses responsabilités seront de veiller à :
- la mise en place d’un système de gestion de la sécurité (SGSI) – pour cela il pourra s’appuyer sur différents référentiels et pourquoi pas préparer l’organisation à acquérir une certification en sécurité telle qu’ISO 27001 pour faciliter la démonstration d’une saine gestion auprès des parties prenantes;
- la définition et au maintien d’un plan de traitement des risques relatifs à la sécurité de l’information et de la protection de la vie privée;
- la surveillance, l’évolution et l’amélioration continue du SGSI.
Ce faisant, l’organisation pourra disposer avec le soutien de ses dirigeants de nombreux bénéfices tels que :
- une meilleure connaissance des informations dont elle dépend et de sa posture face aux risques;
- la mise en place de mesures de protection techniques et organisationnelles adaptées à ses besoins et aux risques auxquels elle est exposée;
- la présence de mesures de contrôle permettant de s’assurer de l’adéquation des mesures de sécurité en place avec les obligations légales et les exigences contractuelles auxquelles elle est soumise.
Ainsi, l’organisation pourra minimiser la probabilité qu’un incident ne survienne et, si cela devait arriver, s’assure qu’elle sera prête à y répondre et que les conséquences en découlant seront amoindries.
En pratique, cela implique pour les dirigeants de s’entourer des bons spécialistes tels que les experts en cybersécurité d’In Fidem et notre équipe Forensik de gestion d’incidents de cybersécurité.
Pour en savoir plus et pour découvrir nos différents services d’accompagnement, contactez-nous !
Contributeurs : David Henrard et Claude Perreault
NOTES:
[1] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[2] Art. 10.1 de la Loi sur la protection des renseignements personnels et les documents électroniques
[3] Voir le préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité, BSIF,
janvier 2019.
[4] Voir les Lignes directrices sur les saines pratiques commerciales, AMF, juin 2013.
[5] L’article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec prévoit que « Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. »