Fermer X

En vous inscrivant à notre infolettre vous acceptez de recevoir périodiquement des courriels de la part de Dubé Latreille Avocats Inc.

Merci! Nous avons bien reçu votre courriel.

Désolé, une erreur s'est produite. Merci de réessayer plus tard.

Chronique

BULLETIN VOS AFFAIRES – SPÉCIAL C19

Le rôle de l’internet en entreprise : un risque sous-estimé

2020-06-02
Droit des affaires
Me Jean-François Latreille, CD
Me Jean-François Latreille, CD
Le rôle de l’internet en entreprise : un risque sous-estimé

Une pandémie est un puissant vecteur d'anxiété en société; pour combattre cet ennemi invisible et potentiellement létal, elle requiert des mesures exceptionnelles. Pourtant, un autre type de pandémie sévit dans l’indifférence et menace de paralyser toutes les entreprises québécoises: la criminalité sur Internet.

L'éruption récente de la crise de Covid-19 n'y fait pas exception, car une recrudescence significative des cyberattaques a été observée dans le monde [1].

Votre organisation est-elle consciente de ce fléau de l’ère numérique et des risques que cela implique?

Dubé Latreille Avocats Logo

Ces dernières années, les technologies de l'information (TI) ont révolutionné la façon dont les organisations pensent, interagissent et font des affaires. Il semble que ce ne soit que le début, car les tendances récentes qui émergent actuellement amènent ces changements à un autre niveau avec l'automatisation, l'intelligence artificielle (IA) et la multiplication des dispositifs IdO [2]. L'une de ces tendances est clairement mise en évidence par la conversion croissante des entreprises à l'Industrie 4.0 caractérisée par l'intégration de la gestion des données et de la robotisation dans les processus de production.

Cette transformation numérique se caractérise fondamentalement par l'automatisation et par une intégration de nouvelles technologies à la chaîne de valeur de l'entreprise. L'exploitation et la gestion massive des données, l'interconnexion des machines, la dématérialisation des canaux de communication et de distribution et la restructuration de l'entreprise pour une production flexible et personnalisée, constituant toutes les difficultés qui demandent à chaque usine d'agir rapidement pour se transformer en une usine connectée et intelligente. [3]

Ces développements et percées, destinés à améliorer les performances et la compétitivité des entreprises, ont également accru notre dépendance à l'égard de la gestion de données et envers l'interconnectivité. [4] En effet, il serait difficile de concevoir de faire des affaires de nos jours sans l'un ou l'autre. En conséquence, le volume de données que les entreprises génèrent, gèrent et collectent régulièrement (que ce soit sur les clients, les fournisseurs, les employés, les finances, les informations contractuelles, les secrets commerciaux, etc.) a explosé. En fait, les données sont devenues si précieuses qu'elles devraient désormais être considérées comme une «ressource indispensable» dans la plupart des entreprises. De même, le rôle d'Internet s'est élargi à un point tel qu'il est devenu un service essentiel. D’ailleurs, il est juste de dire qu'Internet et ses applications ont joué et continuent à jouer un rôle central dans les communications depuis le début de la pandémie du Covid-19.

Sans surprise, cette double dépendance des personnes et des entreprises vis-à-vis des données et d'Internet est devenue de plus en plus la cible des cybercriminels qui s'efforcent d'accéder à vos ordinateurs via Internet afin de les infecter par des programmes malveillants [5] conçus pour voler, rançonner et/ou détruire vos données.

Il y a une montée fulgurante des cyberattaques. Les cybercriminels sont de mieux en mieux équipés et de plus en plus nombreux. [6]

En fait, ce type d'activité criminelle n'a cessé de croître [7]; cela peut s'expliquer par le fait que peu de ressources sont nécessaires (un ordinateur et l'accès à Internet) pour lancer une attaque, par le foisonnement d'outils malveillants disponibles sur Internet, par le potentiel de gain élevé et, bien sûr, par le risque très faible de faire face à la justice.

Si vous êtes un dirigeant d'entreprise, quelles sont les chances?

En 2012, l'ancien directeur du FBI, Robert Mueller, avait prévenu qu'aucune organisation ne pouvait s'attendre à être à l'abri de telles attaques:

I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again. [8]

À la suite de ces paroles prophétiques, une série interminable de hacks [9] majeurs s'est produite dans le monde avec des sociétés bien connues telles que Target (2013), Sony Entertainment Picture (2014), Anthem (2015), Yahoo (2016), Equifax (2017), Facebook (2018), Mariott Hotels (2019), etc., pour n'en nommer que quelques-uns. La province de Québec a également eu sa juste part de cyberincidents de grande envergure impliquant, entre autres, Hydro-Québec, Trans-Union, la Banque de Montréal, l'Institut national de la recherche scientifique (INRS), etc. Pour la plupart, ces cyberattaques ont provoqué le vol de millions de renseignements sensibles ou confidentiels qui ont ensuite été vendus en vrac sur le darkweb [10] pour de futures activités criminelles. Sans surprise, selon le baromètre des risques d'Allianz pour 2019, la cybercriminalité est devenue l'une des principales menaces pour les opérations commerciales.

Impact of business interruption (incl. supply change disruption) is the major risk for companies for the seventh year in a row according to the Allianz Risk Barometer with 37% of responses ranking it as one of the three most important risks companies face in 2019. Fittingly, it is joined at the top of the rankings for the first time by cyber incidents (e.g. cybercrime, IT failure/outage, data breaches, fines and penalties) (37%) which are increasingly resulting in significant business interruption (BI) losses of their own. [11]

Compte tenu de ce qui précède, considérant que la cybercriminalité est une réalité, quels sont les risques?

Il est essentiel de déterminer la vulnérabilité de votre entreprise à ces attaques afin d'atténuer les risques. Quelles sont vos ressources critiques en termes de données, réseaux, systèmes? Comment sont-elles protégées? Si vous deviez perdre l'accès à ces actifs essentiels, comment vos opérations en seraient-elles affectées? Quelles sont les menaces les plus probables? Avez-vous un plan de réponse aux cyberincidents?

Afin de protéger les entreprises québécoises de ce qui est devenu un danger clair et actuel, les membres exécutifs doivent intégrer les cybermenaces dans leur analyse de risques pour faire de la cybersécurité une priorité opérationnelle afin que des garde-fous soient mis en place pour minimiser les risques que cela représente pour les opérations, la réputation et la responsabilité/conformité de l’entreprise. Si vous ne l'avez pas déjà fait, il est important d'agir sans délai et de faire de la cybersécurité une partie de votre culture organisationnelle car c'est la nouvelle réalité avec laquelle les entreprises doivent composer à l'ère numérique. En étant proactif maintenant, vous améliorerez non seulement la résilience de votre organisation à la cybercriminalité et sa capacité à atténuer les risques, mais vous la rendrez également plus éligible à l'assurance de cybersécurité [12], une option intéressante d'atténuation des risques qui est maintenant devenue un incontournable dans n'importe quel secteur économique.

De plus, avec la nouvelle législation attendue du gouvernement du Québec sur la confidentialité et la protection des données (pour remplacer la Loi sur la protection des renseignements personnels dans le secteur privé), vous pouvez vous attendre à des changements substantiels au niveau de la responsabilité que les organisations devront assumer dans la gestion des données confidentielles (que ce soit celles des clients, des utilisateurs, des employés, des parties prenantes, etc.), laquelle qui devrait s’inspirer dans une certaine mesure du Règlement général sur la protection des données (RGPD), un ensemble de règles européennes qui rendent les organisations pleinement responsables de l’utilisation, la protection et la disposition des données.

En outre, il est à prévoir que les tribunaux reconsidéreront bientôt la portée de la responsabilité des sociétés pour les préjudices subis par des particuliers à la suite de la perte ou vol de données confidentielles [13] des suites d'un cyberincident. Jusqu'à présent, la preuve du préjudice incombait à l'individu qui souvent ne pouvait pas présenter beaucoup de preuves, une réalité qui n'incitait guère les entreprises à investir dans la cybersécurité et la protection des données…

Pour de plus amples détails, n’hésitez pas à consulter notre cabinet pour vous aider à évaluer les cyber risques auxquels votre organisation est confrontée afin de déterminer  quelles options s’offrent à vous afin d’en minimiser la portée et l’impact.

Dubé Latreille Avocats Logo

[1] https://www.businessinsider.com/microsoft-research-shows-coronavirus-cyberattacks-in-every-country-2020-4;

[2] IdO : terme technique désignant “Internet des objets”, c’est-à-dire les objets connectés sur Internet;

[3] https://www.economie.gouv.qc.ca/bibliotheques/outils/gestion-dune-entreprise/industrie-40/feuille-de-route-industrie-40/

[4] Interconnectivité: se réfère au besoin d'être connecté à Internet;

[5] Les programmes malveillants sont également appelés «logiciels malveillants»;

[6] https://www.journaldequebec.com/2019/11/13/montee-fulgurante-des-cyberattaques

[7] https://www.itworldcanada.com/article/cybersecurity-in-canada-2019-it-was-an-awesome-year-for-attackers/425514

[8] Robert S. Mueller, III Director of FBI, RSA, Cyber Security Conference, San Francisco, CA, March 01, 2012;  
https://archives.fbi.gov/archives/news/speeches/combating-threats-in-the-cyber-world-outsmarting-terrorists-hackers-and-spies;

[9] «Hacks» fait référence à des «cyber-incidents impliquant une violation d'un système d'information»;

[10] Dark web: un réseau Internet distinct utilisé par les criminels pour communiquer et mener des affaires;

[11] https://www.agcs.allianz.com/content/dam/onemarketing/agcs/agcs/reports/Allianz-Risk-Barometer-2019.pdf

[12] La cyberassurance n'est pas accordée sur demande; les industries et les entreprises doivent répondre à divers critères pour être admissibles. Si vous avez déjà fait l'objet d'une cyberattaque, par exemple, il est possible que vous ne soyez pas éligible sans vous conformer à diverses améliorations coûteuses pour votre organisation. De plus, les polices d'assurance doivent être soigneusement examinées afin de garantir qu'elles protègent adéquatement votre organisation.

[13] En ce qui concerne la charge de preuve disproportionnée pesant sur les victimes de cybercriminalité, veuillez lire notre article à ce sujet: https://www.dubelatreille.ca/blog/indemnisation-en-matiere-de-vol-de-donnees-personnelles-un-fardeau-exorbitant-pour-les-victimes

Notre équipe est disponible pour vous aider et répondre à vos questions.
N’hésitez pas à nous contacter !

Notre Infolettre

Joignez-vous à notre infolettre et demeurez à l'affût de nos nouvelles, nos événements et nos chroniques.

Je désire m'inscrire