Cyberprévention : votre entreprise est-elle prête?

Les cyberattaques sont de plus en plus fréquentes et complexes : il ne s’agit souvent plus de se demander « si », mais « quand » une atteinte surviendra. Cependant, les organisations peuvent prendre des mesures pour atténuer le risque et limiter les conséquences d’une atteinte si celle-ci devait se produire. Vous trouverez ci-dessous cinq mesures que les entreprises et les chefs d’entreprises devraient prendre pour se protéger contre des cyberattaques et se préparer à faire face à de telles menaces.

1. MISE EN ŒUVRE D’UN PROGRAMME DE SÉCURITÉ DE L’INFORMATION

Il est primordial d’investir dans la préparation. Les organisations devraient s’assurer qu’elles ont mis en place un programme écrit de sécurité de l’information, qui a été élaboré par des experts dans ce domaine. Il est également essentiel pour les organisations d’établir leurs pratiques de gestion des renseignements afin d’instaurer des mesures de sécurité adéquates. Pour ce faire, les organisations doivent notamment mener une évaluation des risques, une évaluation des répercussions sur leurs activités et un audit de sécurité rigoureux.

Les intervenants clés devraient prendre part à l’élaboration et à la mise en œuvre du programme. Une fois le programme mis en place, il ne faut pas le reléguer aux oubliettes, mais plutôt vérifier qu’il est appliqué adéquatement et révisé régulièrement à la lumière de l’évolution des pratiques de gestion des renseignements et des menaces à la sécurité de l’information.

2. GESTION DES FOURNISSEURS

De plus en plus, les activités de traitement des données sont confiées à des tiers fournisseurs de services. Par conséquent, les organisations doivent désormais évaluer les pratiques en matière de sécurité et de gestion des renseignements de leurs tiers fournisseurs.

Effectuez à l’avance une vérification diligente efficace à l’égard de vos fournisseurs de services éventuels et procédez à la même vérification à l’égard de tout fournisseur à long terme dont les processus n’auraient pas été examinés récemment ou ne l’ont jamais été. Des obligations en matière de sécurité de l’information et de protection des données doivent être prévues dans les contrats conclus avec des fournisseurs de services qui procèdent au traitement des renseignements personnels ou confidentiels, ou qui ont accès aux systèmes d’une organisation.

Les organisations devraient déterminer judicieusement les mesures adéquates de contrôle de la sécurité qui seront appliquées à l’égard de leurs fournisseurs, notamment l’exigence pour un fournisseur donné de se conformer à certaines politiques de l’organisation en matière de sécurité, aux propres politiques du fournisseur à cet effet, et/ou aux normes applicables du secteur en matière de sécurité, y compris les normes ISO pertinentes.

3. FORMATION ET SENSIBILISATION DES EMPLOYÉS

Chaque année, les atteintes à la protection des données coûtent des millions de dollars aux organisations. Les employés demeurent un moyen de défense essentiel contre les atteintes à la protection des données et les cyberincidents.

Les entreprises devraient régulièrement donner des formations à leurs employés afin qu’ils soient et demeurent conscients de leur obligation de protéger les données et les systèmes de l’entreprise, y compris les renseignements personnels. Les employés doivent également être en mesure de détecter des activités suspectes (comme les courriels d’hameçonnage), ainsi que connaître les types d’incidents liés à la sécurité des données qui doivent être signalés et à qui ils doivent l’être.

4. PLAN D’INTERVENTION EN CAS D’INCIDENT

L’une des plus importantes mesures qu’une organisation devrait prendre pour se préparer et s’assurer d’être prête à réagir rapidement et efficacement en vue d’une cyberattaque est de se doter d’un plan d’intervention en cas d’incident.

Un plan d’intervention en cas d’incident fournit à l’équipe d’intervention la marche à suivre en cas de crise.

Lorsque vous élaborez un plan d’intervention en cas d’incident, assurez-vous :

  • d’inclure tous les intervenants pertinents;
  • de mettre en place des protocoles de signalement clairs pour faire en sorte que toutes les personnes pertinentes soient informées d’une crise;
  • de tenir compte des obligations et des risques en matière de déclaration dans chaque territoire potentiel au sein duquel votre entreprise est assujettie à des obligations d’information à cet égard;
  • de disposer d’une stratégie de communication visant à atténuer le plus possible les risques de litige et d’atteinte à la réputation;
  • de gérer efficacement les communications internes des administrateurs et des dirigeants destinées aux employés;
  • de prendre des mesures aux fins du maintien du secret professionnel.

Il est essentiel de réagir rapidement lorsque survient un cyberincident. Pour ce faire, les entreprises ont besoin de recourir à des tiers comme des équipes d’experts et des conseillers juridiques externes. Nous vous recommandons de sélectionner ces tiers à l’avance pour vous assurer que vous pouvez facilement faire appel à leurs services dans l’éventualité d’une crise.

Évitez de mettre votre plan d’intervention sur une tablette une fois qu’il a été établi : faites-en l’essai, notamment au moyen de simulations lorsque c’est possible, et révisez-le en fonction des « leçons tirées ».

5. ASSURANCE

Les entreprises peuvent réduire les pertes associées à une cyberattaque au moyen d’une assurance contre les cyberrisques et de dispositions contractuelles liées à des clauses d’indemnisation et à des obligations en matière de cybersécurité.

L’assurance contre les cyberrisques est non seulement importante pour l’organisation elle-même, mais aussi pour ses tiers fournisseurs. Déterminez si, dans la mesure du possible, vous devriez exiger que les tiers fournisseurs souscrivent également ce type de police d’assurance.

Bon nombre de polices d’assurance limitent ou excluent la protection contre les cyberrisques. Il est donc prudent de ne pas faire de suppositions, de consulter un courtier d’assurance et de veiller à être couvert en cas d’atteinte à la protection des données.

SENSIBILISATION À LA CYBERSÉCURITÉ

Cet article, qui s’inscrit dans le cadre du Mois de la sensibilisation à la cybersécurité, est le premier d’une série portant sur la façon dont les entreprises peuvent demeurer vigilantes, résilientes et sécuritaires dans ce domaine. Le prochain article de cette série traitera de la réponse à une cyberattaque.

Pour en savoir davantage à ce sujet, communiquez avec l’un des membres du groupe Cybersécurité de Blakes.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.