Avez-vous négligé la cybersécurité de votre entreprise?

Vous vous assurez de verrouiller les portes du bureau avant de partir, mais en faites-vous assez pour protéger votre entreprise contre les cyberattaques?

Depuis une dizaine d’années, les cybermenaces et les cyberincidents connaissent une augmentation, une diversification et une sophistication sans précédent, tant au Canada qu’ailleurs dans le monde.

Directement relié à la numérisation de l’économie et au développement constant des technologies, ce phénomène pousse de plus en plus d’entreprises à vouloir élaborer ou optimiser leurs stratégies de cybersécurité afin de répondre à cet enjeu qu’elles ne peuvent plus ignorer.

Dans le contexte actuel, aucune entreprise n’échappe aux risques de cyberincidents, peu importe la taille et le secteur d’activités. Les infrastructures numériques sur lesquelles les entreprises s’appuient pour opérer et prospérer sont devenues, malgré leurs nombreux avantages, un vecteur de risques important pour toute organisation. Malheureusement, cette prise de conscience survient souvent trop tard, soit après qu’un cyberincident se soit produit.

Selon la nature et l’ampleur de l’événement, les conséquences peuvent être sérieuses : atteinte à la réputation, vol de la propriété intellectuelle ou de renseignements personnels, litiges, mises en péril des relations d’affaires, et coûts élevés de gestion et de reprises des opérations.

Dans bien des cas, c’est la survie même de l’entreprise qui est en jeu. Pour cette raison, les entreprises doivent reconnaître que la cybersécurité est désormais un impératif d’affaires stratégique qui requiert toute leur attention.

D’ailleurs, deux nouvelles lois, qui seront bientôt en vigueur au Québec et au Canada, prévoient des amendes pouvant aller jusqu’à 25 millions de dollars ou 4 % du chiffre d'affaires de l’entreprise concernée. Pour plus d'informations sur ces projets de loi, vous pouvez consulter nos articles sur le projet de loi 64 et le projet de loi C-11.

Quels moyens peuvent être mis en place pour assurer la protection de l’entreprise?

Bien qu’il soit pratiquement impossible de se prémunir totalement contre les cyberincidents, les entreprises peuvent réduire et atténuer les risques auxquels elles sont exposées. En tenant compte des particularités qui leur sont propres et des obligations légales qui leur incombent, elles doivent développer et mettre en œuvre une stratégie de cybersécurité qui met l’accent sur la prévention, la détection et l’intervention. Cette stratégie doit prendre en compte de nombreux facteurs. En voici trois exemples :

a) Cadre de gouvernance

L’un des éléments essentiels d’une stratégie de cybersécurité est la mise place d’un cadre de gouvernance adéquat.

Étant une responsabilité qui doit être partagée entre tous, il est crucial que la cybersécurité fasse partie intégrante du mandat général de gestion des risques du conseil d’administration (ci-après le « CA »). À titre de mandataires, les administrateurs doivent, au nom du meilleur intérêt de la société[3], chercher à comprendre, à prévenir et à minimiser les cyberrisques pouvant affecter l’organisation. De concert avec les autres membres de l’organisation, ils doivent également s’assurer que les mesures de sécurité mises en place sont adéquates, efficaces et à jour.

Pour réaliser ces objectifs, le CA devra, entre autres, inclure la cybersécurité dans le champ de compétences essentielles des administrateurs et sélectionner des membres en conséquence. Il devra également s’assurer que ces membres comprennent la nature, l’importance et les conséquences des cyberrisques pour l’entreprise.

À cet égard, les administrateurs devront, d’une part, identifier, évaluer et hiérarchiser, par ordre de priorité, les cyberrisques à gérer et les actifs essentiels à protéger, ainsi qu’évaluer le degré de vulnérabilité de l’organisation; d’autre part, ils devront s’assurer de comprendre le cadre juridique et les obligations légales que leur impose la loi, notamment en ce qui a trait aux pénalités en cas de non-conformité, au signalement et à la consignation des incidents.

b) Mise en place d’un programme de gestion et de prévention des cyberrisques

Les entreprises doivent se préparer à l’inévitable pour empêcher qu’un simple incident ne dégénère. Elles doivent développer et mettre en place un programme de cybersécurité, composé à la fois d’un cadre de gestion et d’un plan d’intervention.

Le cadre de cybersécurité désigne l’ensemble des normes, des pratiques, des ressources (matérielles, technologiques, informatiques, humaines, financières, etc.), des politiques, des procédures et des mesures de contrôle internes mises en place pour aider les membres de l’organisation à gérer les risques et prévenir les incidents.

c) L’assurance contre les cyberrisques

Il est important de considérer souscrire à une cyberassurance pour atténuer les répercussions d’un incident. Ce type d’assurance permet de transférer une partie des risques à l’assureur, d’aider la reprise des activités et de couvrir certains frais, pertes et coûts connexes qui sont généralement exclus des garanties d’assurances traditionnelles. Par exemple, la couverture peut comprendre :

• L’embauche d’un professionnel (technicien, avocat, cabinet de relations publiques, cabinet de gestion de crise, négociateur);
  


• Les coûts des avis aux personnes dont les renseignements personnels ont été compromis;
  


• Les coûts pour la perte de revenu imputable à une infraction et pour la récupération des données perdues ou détruites;
  


• Certains coûts associés aux amendes et aux pénalités réglementaires;
  


• Certains frais associés à la défense, au règlement ou au jugement en cas de litige.
  

Il est important que l’entreprise détermine le type de la protection qui correspond le mieux à ses intérêts et qu’elle recherche une police d’assurance qui englobe tous les risques auxquels elle pourrait être exposée. De plus, administrateurs et dirigeants doivent s’assurer de bien examiner les modalités de la police afin d’en comprendre la portée, les limites et les obligations qui en découlent.

Si vous êtes prêts à prendre la cybersécurité de votre entreprise au sérieux, contactez un membre de notre équipe qui pourra vous guider dans vos démarches pour protéger vos actifs.