Cinq conseils judicieux pour gérer les risques de litige liés à la cybersécurité

En cette époque axée sur le numérique, les entreprises canadiennes sont des cibles de plus en plus attrayantes pour les cybercriminels. Ces derniers cherchent à mettre la main sur les données confidentielles des entreprises, telles que les renseignements personnels des clients, les secrets commerciaux ou tout autre renseignement dont ils peuvent tirer profit.

Les organisations visées par des cyberattaques s’exposent à différents risques, notamment des risques financiers, réputationnels et juridiques. Dans le sillage des attaques, les personnes dont les renseignements personnels ont été compromis peuvent également poursuivre l’organisation. De telles poursuites prennent souvent la forme de recours collectifs, dont les conséquences sur les finances et les activités d’une organisation peuvent être désastreuses.

Le risque que des recours collectifs soient intentés par des clients lésés n’est toutefois pas le seul risque juridique majeur associé aux cyberincidents. Les cybercriminels redoublant d’efforts pour créer des attaques d’envergure sophistiquées, les conséquences juridiques que celles-ci peuvent générer sont elles aussi toujours plus grandes et complexes.

Les récents, et très médiatisés, événements impliquant la plateforme Orion de SolarWinds, Microsoft Exchange Server et Colonial Pipeline ont mis en lumière les vulnérabilités des grandes organisations et des infrastructures essentielles. Ils ont également révélé l’étendue des répercussions des cyberattaques modernes sur notre économie. Ces incidents démontrent l’ampleur des responsabilités juridiques que doivent assumer les organisations dans le cadre de leurs activités.

La responsabilité dans ce contexte n’est toutefois pas absolue. En dépit de toute la diligence et la préparation des organisations, des incidents sont inévitables. Bien que les organisations doivent prendre des mesures raisonnables et appropriées en vue de protéger l’information en leur possession ou sous leur contrôle, la loi reconnaît que la cybersécurité ne peut jamais être garantie. On peut ainsi gérer les risques juridiques en équilibrant les coûts et les impératifs commerciaux dans les marchés actuels, très concurrentiels.

Atténuer le risque

Tout d’abord, une entité privée qui exerce des activités commerciales à but lucratif au Canada ou qui gère des renseignements personnels de Canadiens est tenue de respecter la Loi sur la protection des renseignements personnels et les documents électroniques. Plusieurs provinces canadiennes ont également leurs propres lois, lesquelles imposent des exigences et des obligations essentiellement semblables en ce qui concerne la collecte, la gestion et l’utilisation de renseignements personnels.

La véritable question n’est pas « si », mais plutôt « quand » et « comment » des cybermenaces et des auteurs de cybermenaces viseront les réseaux et les systèmes de votre organisation, et « comment » celle-ci se prémunira contre de tels incidents.

Les cinq facteurs qui suivent peuvent vous aider à gérer les risques liés à la cybersécurité et l’exposition à des pertes en cas d’incident.

1. Mesures de protection

Les mesures de protection englobent les mesures procédurales, techniques et technologiques qui donnent une assurance raisonnable que des parties non autorisées ne peuvent accéder à des renseignements sensibles ni les divulguer. Parmi les mesures de protection les plus courantes, mentionnons l’attribution de certains droits d’accès en fonction des différents postes occupés au sein de l’organisation, l’adoption de procédures d’authentification complexes (telles que l’authentification multifacteurs), le chiffrement des données, et la mise en place de politiques appropriées de rétention et de destruction des données.

De plus, les organisations qui exercent des activités dans plusieurs secteurs d’activité ont mis au point des pratiques généralement acceptées en matière de sécurité de l’information en raison de la diversité de leurs activités.

Ainsi, les pratiques exemplaires pour les organisations spécialisées en services financiers, les fournisseurs de soins de santé et les entreprises du secteur de l’hôtellerie ne sont pas les mêmes. Les mesures de protection utilisées dans chacun de ces secteurs tiennent donc compte de la nature de l’information traitée et des activités menées et visent à équilibrer, d’une part, les coûts et la complexité des mesures et, d’autre part, les risques de cyberattaques et leurs conséquences.

C’est dans cette optique que les organisations doivent veiller à concevoir, à mettre en place et à maintenir des mesures de protection de l’information appropriées en fonction de la sensibilité et l’importance de celle-ci pour les activités de l’organisation.

2. Programmes de sensibilisation et de formation en sécurité

La vaste majorité des cyberattaques peuvent être attribuées à des erreurs humaines évitables. Ce qui commence par une tentative d’hameçonnage d’apparence bénigne visant à obtenir les identifiants de connexion d’un employé peut donner rapidement lieu à une attaque sophistiquée tous azimuts qui compromet l’intégralité des réseaux et des systèmes informatiques d’une organisation.

Les organisations qui réussissent à bloquer les cyberattaques dès le départ sont souvent celles qui réussissent aussi le mieux à se défendre contre les menaces plus complexes.

Le premier niveau de la cyberdéfense d’une organisation, qui est possiblement le plus efficace et assurément le moins coûteux, consiste à favoriser la sensibilisation à la sécurité et à offrir une formation appropriée. Des initiatives de sensibilisation des employés et des parties prenantes ainsi que des programmes de formation périodiques permettent aux membres et aux autres intervenants d’une organisation de demeurer vigilants afin d’être en mesure de reconnaître les cybermenaces et d’y réagir correctement, et ainsi mettre un frein aux attaques de grande envergure.

3. Vérifications de la sécurité des contrôles

En novembre 2018, Marriott International a annoncé un incident de sécurité visant Starwood Hotels, une filiale dont Marriott avait fait l’acquisition deux ans auparavant pour environ 12 milliards de dollars américains. Les auteurs de cybermenaces, qui ont compromis le système de réservation de Starwood, étaient présents dans son environnement depuis quatre ans, ce qui signifie que les systèmes de Starwood étaient déjà compromis au moment de l’acquisition. On affirme que des signes précurseurs de l’attaque ont été observés mais ignorés. Après avoir annoncé cette atteinte touchant environ 500 millions d’enregistrements de données personnelles, Marriott s’est vu contraint de débourser des sommes très importantes au terme des innombrables poursuites et procédures réglementaires dont il a fait l’objet. Ces coûts auraient pu être évités si les systèmes de contrôle de l’entité avaient été vérifiés et si on avait mené enquête aux premiers signes de l’attaque.

Les grandes organisations intègrent depuis longtemps les contrôles de sécurité des systèmes informatiques à leurs vérifications internes périodiques, ces contrôles constituant des composantes essentielles des opérations commerciales, des regroupements et des fusions et acquisitions.

Il peut également y avoir des exigences contractuelles précises en matière de vérification et de certification des contrôles des systèmes informatiques visant les sociétés ouvertes. Il est généralement reconnu qu’une saine culture de sécurité et de fiabilité informatiques favorise des relations d’affaires productives. C’est pourquoi certains partenaires d’affaires exigent des certificats attestant de la vérification exhaustive des systèmes informatiques dans le cadre de leurs processus réguliers de vérification diligente.

La vérification des contrôles de sécurité peut s’avérer extrêmement précieuse pour votre défense en cas de poursuite découlant d’un cyberincident. Les organisations qui produisent de la documentation récente démontrant la mise en place de mesures de protection raisonnables peuvent mieux se défendre contre toute réclamation en responsabilité et réduire les dommages et les pertes qu’elles pourraient subir.

4. Intervention en cas d’incident

Les stratégies de cyberdéfense efficaces sont conçues selon le principe qu’en dépit de tous les efforts déployés, une cyberattaque finira inévitablement par réussir. La prise de mesures transparentes, rapides et décisives visant à contenir l’incident afin d’en limiter les dommages et de gérer les risques subséquents est un aspect essentiel d’une intervention fiable et efficace en cas d’incident.

Le jugement rendu en avril 2021 par la Cour supérieure du Québec dans l’affaire Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (QCCS 1093) met en évidence l’importance d’une intervention appropriée en cas d’incident. L’affaire tire son origine de la perte d’un ordinateur par un employé de l’Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM »). Bien que la Cour ait jugé que l’OCRCVM avait commis une faute en perdant un ordinateur portable renfermant des renseignements personnels non chiffrés relatifs à plusieurs investisseurs, elle a conclu qu’il fallait rejeter le recours collectif compte tenu de l’intervention rapide et méticuleuse de l’OCRCVM après l’incident.

5. Cyberassurance

Une assurance cyberrisques fait partie intégrante des stratégies de défense et de gestion des risques. Il existe aujourd’hui de nombreux produits d’assurance sur le marché qui offrent une indemnisation contre les pertes subies en cas de cyberattaques, y compris les coûts liés aux enquêtes et aux litiges.

Nous vous encourageons fortement à vous renseigner et à souscrire une cyberassurance adaptée aux besoins de votre organisation. En plus de couvrir vos pertes en cas de cyberincident, le processus d’obtention d’une cyberassurance peut ajouter un niveau de défense additionnel à la stratégie de cybersécurité de votre organisation.

Les souscripteurs de cyberassurance sont habituellement des entités très sophistiquées qui mènent leurs propres procédures de contrôle diligent relativement à leurs systèmes informatiques, leurs mesures de sécurité et leurs pratiques. Ainsi, elles obtiennent un point de vue externe et peuvent évaluer davantage la conception et l’efficacité de leurs mesures de protection.

Vous pouvez en apprendre davantage au sujet des mesures préventives et de la cyberassurance dans un autre article de BDO intitulé « Cybersecurity and cyber insurance: how a two-pronged approach can build bulletproof cyber resilience »..

Nos conseillers d’expérience peuvent vous aider

Cet article a été rédigé en collaboration avec KND Complex Litigation.

L’équipe de cybersécurité de BDO peut vous aider à protéger votre entreprise des cyberattaques. Nous pouvons analyser votre situation et vous aider à élaborer un cadre qui donnera la priorité à la cybersécurité et à la protection des données afin de réduire les menaces et les incidences juridiques potentielles.

En situation de litige potentiel ou réel, KND Complex Litigation travaille avec votre entreprise dans le but de gérer ses risques et de protéger ses intérêts. Ce cabinet, qui se spécialise dans les cas de litiges complexes, les recours collectifs et la gestion de risques, a joué un rôle dans de nombreuses procédures judiciaires d’importance en lien avec la protection des renseignements personnels, la violation de données ou des recours collectifs intentés par des consommateurs au Canada.