Droit de la cybersécurité

Ces dernières années, l'omniprésence de l'informatique et de l'Internet a engendré ce que l'on appelle désormais « l'ère numérique » qui est caractérisée par une interconnectivité et une interopérabilité sans précédent entre les individus, les ordinateurs et les réseaux à travers le monde.

L'un des aspects les plus remarquables de cette révolution technologique est la capacité de convertir tout type d'information (mots, images, sons, etc.) en une forme standard, c'est-à-dire en « données » ou « data », et de les échanger sur Internet avec d'autres entités n'importe où dans le monde presque instantanément.

En l'espace de 2-3 décennies, cette révolution a complètement bouleversé notre société, en particulier dans la façon dont nous interagissons, communiquons et menons les affaires. C'est pourquoi une majorité croissante d'entreprises en sont venues à dépendre des réseaux informatiques et des systèmes d'information connectés à Internet pour gérer leurs opérations. Cette dépendance axée sur les données n'est qu'un début, car elle devrait encore s’accentuer avec l'intelligence artificielle, l'automatisation (industrie 4.0), le développement de l'Internet des objets (IoT) et le déploiement de la technologie 5G.

Bien que ces innovations technologiques offrent des avantages significatifs à leurs utilisateurs, elles soulèvent également d'importantes questions juridiques relatives à la sécurité et à la confidentialité des données avec des conséquences sans précédent. C'est pourquoi la cybersécurité joue un rôle si déterminant dans les stratégies de gestion de risques des organisations modernes.

Qu'est-ce que la cybersécurité ?

Le changement le plus fondamental que l'ère numérique a apporté est notre relation aux données. Avec la standardisation massive des données par la numérisation, les entreprises et les organisations traitent, collectent et stockent un volume croissant de données dans le cours normal de leurs opérations (que ce soit pour les programmes, les applications, les bases de données, les secrets commerciaux, les informations privilégiées, la facturation, les RH, la recherche et le développement, etc.). Cette tendance (dépendance des données) n'est qu'un début, car les développements technologiques continueront de nécessiter un volume de données toujours croissant pour maintenir ou améliorer l'interopérabilité et l'interconnectivité entre les personnes et les systèmes.

Bien que la numérisation de l’information soit associée à la croissance, au progrès et à la compétitivité, elle représente également une source de risque pour les entreprises car toute cyber-attaque peut occasionner des dommages importants (perte de données, atteinte à la vie privée, usurpation d'identité, fraude, fuite de données sur Internet, vol de IP, menace pour la vie humaine, interruption des opérations, pertes financières, dévaluation des actions, perte de confiance des clients etc.). En conséquence, la protection des systèmes d’information et des données constituent et doivent être considérées comme des éléments d’actifs essentiels, voire critiques, pour les organisations. C'est pourquoi la confidentialité, l'intégrité et l'accessibilité des données sont des objectifs opérationnels au cœur même de la cybersécurité.

Qu'est-ce que la cybersécurité ? Selon le National Institute of Science and Technology (NIST), la cybersécurité peut être définie comme le processus de protection des données axé sur la prévention, la détection et la réponse aux cyber incidents. Cela comprend la protection et la restauration des ordinateurs, des systèmes de communication électronique et, bien entendu, la protection de l'information.

Cependant, mettre en œuvre la cybersécurité en entreprise n’est guère aisé pour trois raisons.

Premièrement, la cybersécurité est une discipline complexe, technique et abstraite. Deuxièmement, toutes les organisations connectées à Internet sont exposées aux cybermenaces qui pullulent sur le Web sous une forme ou une autre. Et troisièmement, étant donné qu'Internet et toutes les composantes de l'industrie informatique (firmware, logiciels, pièces, etc.) n'ont pas de sécurité intégrée dès la conception, la responsabilité de la protection des données, ultimement, incombe à l'utilisateur final (c'est-à-dire les individus ou les organisations) qui n'ont souvent pas les connaissances, les compétences ou les ressources pour agir en conséquence. De plus, la cybersécurité est souvent considérée comme un problème informatique et non pas comme un enjeu opérationnel, ce qui explique pourquoi la cybercriminalité est devenue ces dernières années une industrie en croissance qui coûte annuellement des milliards de dollars aux organisations.

À la lumière de ce qui précède, le droit de la cybersécurité n'est pas tant un domaine de pratique en soi, mais plutôt une approche de gestion de risques d'un point de vue juridique qui vise à minimiser les dommages potentiels auxquels sont exposées les organisations connectées à Internet.

Pourquoi se préoccuper de cybersécurité ?

Il est généralement admis parmi les professionnels de l'informatique et de la cybersécurité que les organisations et les entreprises connectées à Internet (c'est-à-dire la plupart sinon toutes) sont régulièrement exposées à divers types de cybermenaces qui finiront par parvenir à compromettre leurs systèmes d'information et leurs réseaux. Par conséquent, le problème n'est pas de savoir si une organisation est susceptible de subir une cyberattaque, mais plutôt de savoir quand cette attaque se manifestera... Conséquemment, la question qui devrait préoccuper tout dirigeant soucieux de la continuité des opérations est la suivante :

Sommes-nous prêts à résister à une cyberattaque ?

Malgré la survenance de plusieurs cyberattaques et de cas de compromission de données spectaculaires qui ont fait l'actualité ces dernières années (Desjardins, Equifax, Maddison, Microsoft, Yahoo, LinkedIN, Target, etc.) et la probabilité que la plupart des organisations subiront des cyberincidents aux conséquences potentiellement dramatiques en coûts et en réputation (comme c'est souvent le cas avec les attaques de rançongiciel et le vol massif de renseignements personnels), une majorité d'entreprises canadiennes et québécoises négligent de faire face à ce danger imminent avec la gravité et l'urgence qu'il mérite. Cela est souvent dû à une méconnaissance des risques, à un manque de ressources et à la nature technique et abstraite inhérente à la cybercriminalité.

Quels sont les risques liés à la cybersécurité ?

La cybersécurité est comme une armure, une forme de dernière ligne de défense, destinée à protéger les systèmes et les données d'une organisation contre les attaques et les intrusions. Celles-ci peuvent être perpétrées soit par des individus (pour le profit, la célébrité ou une cause), le crime organisé, des États-nations ou soit par des employés mécontents (risque souvent négligé, comme ce fut le cas avec Desjardins). Les moyens d'exécuter ces intrusions peuvent prendre diverses formes : phishing, ingénierie sociale, vol d'identifiants, erreur humaine, vulnérabilités du système et accès illégal/illégitime aux données, pour n'en citer que quelques-uns.

Si la cyberdéfense d'une organisation échoue, les conséquences peuvent donner lieu à quatre  (4) catégories de risques:

1. Risque opérationnel : compte tenu de la facilité relative avec laquelle les cybercriminels peuvent compromettre les systèmes d'information et leurs données (les cyberarmes se vendent impunément sur Internet !), une organisation peut être contrainte d'interrompre partiellement ou totalement ses opérations pendant un certain temps afin de déterminer la source/cause d’une brèche, de l'isoler et de l'éradiquer, et de déterminer quelles données ont été compromises afin de prendre les mesures d'urgence appropriées (y compris la notification aux victimes et aux autorités selon le cas). Le temps d'arrêt qui s'ensuit peut-être très coûteux et même fatal pour une organisation compte tenu de la perte de productivité et de l'impact négatif sur le moral, la réputation et la performance générale de l'entreprise.
2. Risque de poursuites: un incident informatique qui entrave la production et/ou implique des renseignements personnels exposera probablement l'organisation en cause à des poursuites judiciaires pour les dommages subis par les victimes (utilisateurs, clients, employés, partenaires commerciaux, actionnaires, etc.).
3. Risque réputationnel : De nos jours, les cyberattaques sont devenues une nuisance courante et les gens sont généralement empathiques lorsqu'une organisation en fait les frais. Cependant, considérant la préoccupation croissante du public pour la vie privée et la protection des données, une cyberattaque peut s'avérer très préjudiciable à l'image et à la réputation d'une organisation s'il s’avère qu'elle a été négligente à cet égard ou qu'elle n'adhère pas aux meilleures pratiques en matière de cybersécurité. Les conséquences peuvent se traduire par une perte significative d'achalandage car cela affectera la confiance des clients, des employés, des partenaires commerciaux, des fournisseurs d'assurance et, nécessairement, la valeur de l'organisation elle-même.
4. Risque de non-conformité : bien qu'il n'existe pas encore de normes légales à l’égard de la cybersécurité, certaines lois exigent que les organisations protègent les renseignements personnels avec des mesures de sécurité adéquates. Cela implique qu'une organisation doit adopter les meilleures pratiques de l'industrie pour être jugée conforme. Si ces meilleures pratiques ne sont pas en place pour protéger les renseignements personnels, un cyber incident impliquant la compromission de données peut exposer une organisation à des amendes coûteuses telles que celles prévues dans la Loi 25 du Québec. Par conséquent, le respect des lois applicables (le cas échéant) est une question que les organisations devraient couvrir dans leur stratégie de gestion des risques.

Ceci dit, il existe diverses stratégies, techniques et mesures que les organisations devraient envisager dans l'élaboration de leur stratégie de gestion des risques, telles que :

• Sensibilisation (par la formation du personnel)
• Préparation (identifier les actifs critiques et les risques probables (audit général de sécurité), comment détecter et réagir aux menaces)
• Prévention (mécanismes de contrôle d'accès, sécurité physique et logique, gouvernance)
• Transfert de risques (cyber assurance et clauses contractuelles vis-à-vis des tiers)
• Détection (mécanismes d'intrusion et de journalisation)
• Réaction (plan d'intervention en cas d'incident, équipe d'intervention en cas d'incident, simulations)

Note d'encouragement : Bien que le processus d'élaboration et d'intégration d'une stratégie de gestion des risques liée à la cybersécurité puisse sembler fastidieux, chronophage et coûteux, tout effort à cet égard aidera votre organisation à développer sa résilience et sa capacité à planifier, contrer et/ou se relever d'un cyber incident.