Lavery : Quoi faire avant, pendant et après un cyberincident?
Le télétravail, le stockage des données par infonuagique, le développement d’outils d’aide au diagnostic intelligents et d’automatisation de processus, combinés à la sophistication croissante des attaques informatiques, font en sorte que toutes les organisations sont vulnérables à un éventuel cyberincident. Rencontre avec deux avocats spécialisés en cybersécurité du cabinet Lavery.
La cybersécurité est plus que jamais un enjeu auquel les organisations doivent porter une attention particulière, quels que soient leur taille et leur secteur d’activité. Et pour le cabinet Lavery, le concept même de cybersécurité est très large. Il touche à la fois les aspects très médiatisés des renseignements personnels, la fuite de ces données, mais aussi les secrets commerciaux ou encore les opérations d’entreprise interrompues. L’équipe a développé une offre de services pour accompagner les PMEs en proposant une approche préventive de la cybersécurité.
« Pour en arriver là, nous avons dû développer à l’interne une culture de cybersécurité pour mieux faire les liens entre nos différents secteurs de droit afin de mieux jouer notre rôle-conseil et de faire le pont entre la gouvernance et le langage des informaticiens qui assurent le déploiement de mesures techniques. C’était la clé pour être en mesure d’offrir une solution complète aux entreprises », explique Éric Lavallée, associé et directeur du laboratoire d’intelligence artificielle chez Lavery.
Selena Lu
Même les entreprises qui ont les meilleures technologies de protection peuvent être tout aussi vulnérables si elles n’ont pas mis en place des politiques pour encadrer l’utilisation des outils informatiques. « L’humain est souvent derrière un cyberincident, poursuit l’avocate. La technologie ne protège pas contre l’ingénierie sociale. On n’a qu’à penser au courriel qui annonce le changement de compte bancaire d’un fournisseur. La cybersécurité est une combinaison de facteurs technologiques, physiques et de gouvernance. »
En matière de gouvernance, il y a aussi des obligations de la part des dirigeants et des administrateurs qui concernent directement la sécurité informatique d’une entreprise ou d’une organisation. « On doit faire preuve de prudence et de diligence et s’assurer de protéger les actifs de l’entreprise. Si ce n’est pas fait, l’entreprise peut faire face à des actions en justice et les administrateurs pourraient engager leur responsabilité personnelle », prévient Selena Lu. À ce sujet, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 25) prévoit entre autres que la personne ayant la plus haute autorité dans une entreprise ou une organisation doit assurer la mise en place de telles mesures et qu’elle est dans l’obligation de divulguer tout incident informatique menaçant les données que détient une entreprise.
Eric Lavallée
« C’est important de se doter de politiques qui ne sont pas uniquement axées sur des aspects très techniques, comme les méthodes de cryptage ou les processus de transfert de données, suggère M. Lavallée. Il faut aborder le risque sous l’angle de la vigilance tout en se rappelant qu’il faudra l’adapter et la mettre à jour en suivant les tendances en matière de cybersécurité. » Par exemple, une entreprise devrait songer à mettre en place une politique encadrant le comportement des employés sur une utilisation appropriée du matériel informatique d’une entreprise. Celle-ci s’accompagne aussi de sanctions appropriées, mais encore faut-il que l’entreprise ait donné des instructions claires aux employés. À ce sujet et pour bien accompagner ses clients, l’équipe du cabinet Lavery a développé son expertise en cybersécurité en tissant non seulement des liens avec d’autres cabinets à l’international, mais aussi avec le milieu de la recherche universitaire et dans l’écosystème des technologies de l’information.
Pour les deux avocats, il ne fait aucun doute que la cybersécurité est l’affaire de tous, « surtout depuis la pandémie, alors que nous sommes en télétravail. Nous avons atteint un point de bascule. Ça devient une préoccupation de société : la cybersécurité a des impacts économiques majeurs et toutes les entreprises doivent s’en soucier, en fonction de leur réalité, du travailleur autonome à la grande entreprise », précise Éric Lavallée.
Dans un monde hyperconnecté, aucune entreprise n’est à l’abri de subir un cyberincident duquel peut résulter une fuite de données aux conséquences néfastes non seulement pour la réputation d’une organisation auprès du public, mais également quant à la gestion et à la continuité de ses affaires courantes. Pour une entreprise, un premier pas vers une meilleure protection passe par une évaluation juste des besoins et des risques : « En une fraction de seconde, on peut partager de nombreux secrets d’entreprise et des données personnelles, précise Mme Lu. Pensons à la sécurité de l’information et à la protection de la vie privée par défaut et non en voyant ces efforts comme des étapes qui viendront plus tard, souvent en réaction à un incident. La culture de la cybersécurité doit s’installer au cœur des organisations dans une approche collaborative et être accompagnée par des spécialistes au fait des dernières tendances. »
Quoi faire pour prévenir un cyberincident?
- Impliquer les administrateurs et l’équipe de gestion
- Mettre en place des plans de gestion des risques de cyberincidents et de communication
- Développer une culture de cybervigilance
- Identifier les actifs à protéger et mettre en place des mesures de cybersécurité appropriés
- Contracter une assurance contre les cyberrisques
Quoi faire en cas de cyberincident?
- Identifier et contenir le cyberincident
- Signaler l’incident aux administrateurs et dirigeants
- Contacter un expert juridique
- Informer les assureurs si l’entreprise détient une police d’assurance
Quoi faire après un cyberincident?
- Respecter l’obligation de divulgation
- Préserver des traces de l’incident et le documenter adéquatement
- Revoir et améliorer les processus
Pour plus d’information, il est possible de télécharger le livre blanc sur la cybersécurité et ses outils en cliquant sur le lien suivant :
https://www.lavery.ca/fr/focus/27-cybersecurite-quoi-faire-avant-pendant-apres-cyberincident.html
La cybersécurité est plus que jamais un enjeu auquel les organisations doivent porter une attention particulière, quels que soient leur taille et leur secteur d’activité. Et pour le cabinet Lavery, le concept même de cybersécurité est très large. Il touche à la fois les aspects très médiatisés des renseignements personnels, la fuite de ces données, mais aussi les secrets commerciaux ou encore les opérations d’entreprise interrompues. L’équipe a développé une offre de services pour accompagner les PMEs en proposant une approche préventive de la cybersécurité.
« Pour en arriver là, nous avons dû développer à l’interne une culture de cybersécurité pour mieux faire les liens entre nos différents secteurs de droit afin de mieux jouer notre rôle-conseil et de faire le pont entre la gouvernance et le langage des informaticiens qui assurent le déploiement de mesures techniques. C’était la clé pour être en mesure d’offrir une solution complète aux entreprises », explique Éric Lavallée, associé et directeur du laboratoire d’intelligence artificielle chez Lavery.
Vulnérabilité omniprésente
Historiquement, le cabinet a toujours eu cette expertise en droit des technologies et en protection des renseignements personnels. Or, les risques reliés à la technologie touchent tous les secteurs du droit — propriété intellectuelle, gouvernance ou encore droit du travail notamment — et Lavery a adapté son offre de services en conséquence. « Pour une PME, lorsqu’on pense au droit des technologies, on ne se sent pas toujours interpellé. Pourtant, ça touche l’ensemble [de l’écosystème d’affaires]. C’est pourquoi, dans nos initiatives de cybersécurité, on insiste sur le fait que ça nous concerne tous. Dès qu’une entreprise utilise Internet, le risque de cyberincident existe », ajoute l’avocate Selena Lu.
Selena Lu
Gouvernance et cybersécurité
« En matière de droit commercial, il y a aussi tout le volet contractuel : comment adapter les contrats avec les fournisseurs et partenaires, les communications et tout le système décisionnel. Est-ce que le fournisseur va protéger adéquatement l’information que je partage avec lui? » avance Éric Lavallée.En matière de gouvernance, il y a aussi des obligations de la part des dirigeants et des administrateurs qui concernent directement la sécurité informatique d’une entreprise ou d’une organisation. « On doit faire preuve de prudence et de diligence et s’assurer de protéger les actifs de l’entreprise. Si ce n’est pas fait, l’entreprise peut faire face à des actions en justice et les administrateurs pourraient engager leur responsabilité personnelle », prévient Selena Lu. À ce sujet, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 25) prévoit entre autres que la personne ayant la plus haute autorité dans une entreprise ou une organisation doit assurer la mise en place de telles mesures et qu’elle est dans l’obligation de divulguer tout incident informatique menaçant les données que détient une entreprise.
Eric Lavallée
Le point de bascule est atteint
Les méthodes utilisées pour perpétrer une cyberattaque évoluent. Selon les experts, on remarque aujourd’hui une recrudescence des logiciels espions pour aller chercher de l’information sensible. L’hameçonnage est toujours très présent, et surtout plus sophistiqué pour mieux usurper le style de communication d’une entreprise ou d’un fournisseur. Aussi, les failles de sécurité sont encore scrutées par les pirates informatiques.Pour les deux avocats, il ne fait aucun doute que la cybersécurité est l’affaire de tous, « surtout depuis la pandémie, alors que nous sommes en télétravail. Nous avons atteint un point de bascule. Ça devient une préoccupation de société : la cybersécurité a des impacts économiques majeurs et toutes les entreprises doivent s’en soucier, en fonction de leur réalité, du travailleur autonome à la grande entreprise », précise Éric Lavallée.
Dans un monde hyperconnecté, aucune entreprise n’est à l’abri de subir un cyberincident duquel peut résulter une fuite de données aux conséquences néfastes non seulement pour la réputation d’une organisation auprès du public, mais également quant à la gestion et à la continuité de ses affaires courantes. Pour une entreprise, un premier pas vers une meilleure protection passe par une évaluation juste des besoins et des risques : « En une fraction de seconde, on peut partager de nombreux secrets d’entreprise et des données personnelles, précise Mme Lu. Pensons à la sécurité de l’information et à la protection de la vie privée par défaut et non en voyant ces efforts comme des étapes qui viendront plus tard, souvent en réaction à un incident. La culture de la cybersécurité doit s’installer au cœur des organisations dans une approche collaborative et être accompagnée par des spécialistes au fait des dernières tendances. »
Se poser les bonnes questions
Est-ce qu’on a mis en place toutes les mesures nécessaires en matière de cybersécurité? Pour répondre adéquatement aux besoins des entreprises et des organisations, Lavery a publié plusieurs outils, dont un guide des bonnes pratiques et un questionnaire d’autoévaluation. En quelques mots, le cabinet trace les bases d’un bon plan de gouvernance.Quoi faire pour prévenir un cyberincident?
- Impliquer les administrateurs et l’équipe de gestion
- Mettre en place des plans de gestion des risques de cyberincidents et de communication
- Développer une culture de cybervigilance
- Identifier les actifs à protéger et mettre en place des mesures de cybersécurité appropriés
- Contracter une assurance contre les cyberrisques
Quoi faire en cas de cyberincident?
- Identifier et contenir le cyberincident
- Signaler l’incident aux administrateurs et dirigeants
- Contacter un expert juridique
- Informer les assureurs si l’entreprise détient une police d’assurance
Quoi faire après un cyberincident?
- Respecter l’obligation de divulgation
- Préserver des traces de l’incident et le documenter adéquatement
- Revoir et améliorer les processus
Pour plus d’information, il est possible de télécharger le livre blanc sur la cybersécurité et ses outils en cliquant sur le lien suivant :
https://www.lavery.ca/fr/focus/27-cybersecurite-quoi-faire-avant-pendant-apres-cyberincident.html
Ce contenu a été produit par l’équipe des publications spéciales du Devoir en collaboration avec l’annonceur. L’équipe éditoriale du Devoir n’a joué aucun rôle dans la production de ce contenu.