Conseils en gestion du cyberrisque pour les administrateurs de sociétés canadiennes – Mise à jour de 2023

La gestion des cyberrisques est un enjeu fondamental pour toutes les entreprises, et ce, peu importe leur taille. Les administrateurs de sociétés canadiennes sont légalement tenus de veiller à ce que leur société gère efficacement les cyberrisques et soit prête à réagir efficacement aux incidents de cybersécurité. Les conseils récemment mis à jour en la matière peuvent aider les administrateurs de sociétés à s’acquitter de leurs obligations en matière de gestion des risques liés à la cybersécurité.

Obligations des administrateurs en matière de gestion des cyberrisques

Les cyberrisques s’entendent des risques de pertes, notamment financières, et de responsabilités auxquels est exposée une entreprise par suite d’un incident et qui sont susceptibles d’affecter négativement ses systèmes informatiques ou la confidentialité, l’intégrité ou la disponibilité de ses données. Les cyberrisques concernent la plupart des entreprises, peu importe leur taille, leur secteur d’activité ou leur profil public, parce que la plupart d’entre elles se servent ou dépendent de la technologie de l’information et des données pour mener à bien leurs activités. Selon l’Évaluation des cybermenaces nationales 2023-2024 du Centre canadien pour la cybersécurité, la cybercriminalité continue d’être l’activité de cybermenace la plus susceptible de toucher les Canadiens et les organisations canadiennes; les attaques par rançongiciels représentent une menace omniprésente pour les organisations de tout le Canada.

En droit canadien, les administrateurs de sociétés ont l’obligation de gérer ou de superviser la gestion des activités et des affaires de leur société. Pour s’acquitter de leurs obligations, les administrateurs sont tenus : (1) d’agir honnêtement et de bonne foi dans l’intérêt de la société (ce qu’on appelle communément le « devoir de loyauté »); (2) d’agir avec le soin, la diligence et la compétence dont ferait preuve une personne raisonnablement prudente dans des circonstances similaires (ce qu’on appelle communément le « devoir de diligence »). Leur devoir de diligence oblige les administrateurs à agir de façon proactive pour superviser la gestion de l’entreprise, à prendre des décisions éclairées et bien avisées et à faire preuve d’un jugement indépendant.

Outre leurs devoirs de loyauté et de diligence, les administrateurs des émetteurs assujettis canadiens (c.-à-d. les sociétés cotées en bourse) sont tenus par les lois sur les valeurs mobilières de divulguer en permanence des renseignements importants sur l’exploitation et les activités de leur société, y compris des renseignements concernant les cyberrisques et les incidents de cybersécurité, de manière à assurer aux investisseurs un accès égal aux renseignements susceptibles d’avoir une incidence sur leurs décisions d’investissement.

Pour ces raisons, les organismes de réglementation, les organismes d’autoréglementation, les associations sectorielles, de même que d’autres organismes ont insisté sur le fait que les administrateurs de sociétés doivent participer activement aux activités de gestion des risques liés à la cybersécurité de leur société et s’assurer que la direction de l’entreprise ait bien mis en œuvre des politiques et des pratiques appropriées pour gérer les cyberrisques et réagir face aux incidents de cybersécurité.

Pour en savoir plus, consultez le bulletin de BLG intitulé Cyber risk management guidance for Canadian corporate directors (en anglais seulement).

Conseils récents pour les administrateurs

Les organismes gouvernementaux, les organismes de réglementation et d’autres instances officielles ont publié des directives pour aider les administrateurs de sociétés à s’acquitter de leurs obligations en matière de gestion des risques liés à la cybersécurité. Voici trois exemples de directives récemment publiées ou actualisées.

L’Australian Institute of Company Directors (l’institut australien des administrateurs de sociétés)

En octobre 2022, l’Australian Institute of Company Directors et l’Australian Cyber Security Cooperative Research Centre (le centre australien de recherche coopérative sur la cybersécurité) ont publié des directives intitulées Cyber Security Governance Principles (principes de gouvernance en matière de cybersécurité) pour aider les administrateurs, les professionnels chargés de la gouvernance et leurs organisations à surveiller et à gérer les cyberrisques de façon proactive. Le guide s’adresse aux entreprises de toutes tailles, y compris les petites et moyennes entreprises et les organismes sans but lucratif. Le guide s’articule autour de cinq principes fondamentaux :

1. Définir clairement les rôles et les responsabilités en matière de surveillance des cyberrisques, notamment en produisant régulièrement des rapports rigoureux, en collaborant avec la direction et en consultant des experts externes.
2. Élaborer, mettre en œuvre et adapter au fil du temps une stratégie de cybersécurité afin de mieux protéger les principaux actifs numériques, processus et individus, de favoriser la conformité aux lois et de faire preuve de cyberrésilience.
3. Intégrer la cybersécurité aux pratiques de gestion des risques existantes – y compris la production périodique de rapports et l’évaluation des mesures de contrôle des cyberrisques – qui tiennent compte de la stratégie de tolérance aux cyberrisques de l’organisation approuvée par le conseil.
4. Promouvoir une culture de cyberrésilience dans l’ensemble de l’entreprise, en s’assurant notamment que la haute direction donne l’exemple, en offrant régulièrement des activités de formation ou de perfectionnement sur la cybersécurité et en prévoyant des incitatifs pour l’adoption de pratiques de cybersécurité strictes.
5. Prévoir l’éventualité d’un incident de cybersécurité grave, notamment en élaborant et en adaptant un plan d’intervention en cas d’incident approuvé par la direction et en effectuant les essais, la formation et les exercices appropriés.

Le guide renferme des commentaires et des recommandations détaillés pour chacun de ces principes fondamentaux et propose une série de questions que les administrateurs peuvent poser à la direction.

NCSC Cyber Security Toolkit for Boards (trousse de cybersécurité à l’intention des conseils d’administration du NCSC)

En mars 2023, le National Cyber Security Centre (centre national de cybersécurité) du Royaume-Uni a annoncé la publication d’une nouvelle mouture de sa trousse de cybersécurité afin d’aider les conseils d’administration à faciliter l’intégration de la cyberrésilience et de la gestion des risques à l’échelle de leur entreprise. La trousse explique certains aspects importants de la cybersécurité, recommande les mesures à prendre par les administrateurs et leur entreprise et présente une foire aux questions pour aider les administrateurs à prendre des décisions éclairées en matière de gestion des risques liés à la cybersécurité. La trousse aborde neuf aspects de la gestion des risques liés à la cybersécurité : (1) intégrer la cybersécurité dans l’entreprise; (2) développer une culture positive en matière de cybersécurité; (3) renforcer les compétences en matière de cybersécurité; (4) identifier les actifs essentiels de l’entreprise; (5) comprendre en quoi consistent les menaces à la cybersécurité; (6) gérer les risques liés à la cybersécurité; (7) mettre en œuvre des mesures de cybersécurité efficaces; (8) collaborer avec la chaîne d’approvisionnement et les partenaires; (9) planifier les interventions en cas de cyberincident. La trousse comprend des vidéos explicatives, des listes d’activités essentielles pour les conseils d’administration et des questions permettant d’évaluer les résultats.

La trousse d’outils souligne que les administrateurs ont un rôle essentiel à jouer pour renforcer la cyberrésilience de leur entreprise. Elle explique que la gestion des risques liés à la cybersécurité est un processus continu et itératif, et qu’il convient de tenir compte des cyberrisques en les intégrant aux processus de gestion des risques et de prise de décision à l’échelle de l’entreprise.

NACD/ISA — Directors’ Handbook on Cyber-Risk Oversight

En mars 2023, la National Association of Corporate Directors (l’association nationale des administrateurs de sociétés) des États-Unis et l’Internet Security Alliance (l’alliance pour la sécurité sur Internet) ont publié la quatrième édition de leur Director’s Handbook on Cyber-Risk Oversight (le guide sur la surveillance des cyberrisques à l’intention des administrateurs) pour fournir aux administrateurs de sociétés des consignes à jour qui tiennent compte des changements survenus en matière de cybermenaces. Le guide met l’accent sur six principes clés pour améliorer la surveillance des cyberrisques par les entreprises de toutes tailles, y compris les sociétés privées et les organismes sans but lucratif :

1. Les administrateurs doivent percevoir et traiter la cybersécurité comme un risque stratégique pour l’entreprise et non seulement comme un risque informatique.
2. Ils doivent comprendre les répercussions juridiques des cyberrisques en fonction de la situation particulière de leur entreprise.
3. Ils doivent avoir accès à toute l’expertise nécessaire en cybersécurité et prévoir à l’ordre du jour des réunions du conseil une période suffisante et récurrente portant sur la gestion des cyberrisques.
4. Les administrateurs doivent faire comprendre aux membres de la direction qu’ils doivent établir un cadre de gestion des cyberrisques assorti d’une dotation et d’un budget adéquats.
5. Lorsqu’ils discutent des cyberrisques, les administrateurs et la direction doivent notamment parler de l’identification et de la quantification des enjeux financiers liés aux cyberrisques et préciser la part de risques qui doivent être acceptés, atténués ou transférés, et proposer des plans précis pour chaque approche retenue.
6. Les conseils d’administration doivent encourager la résilience systémique en collaborant avec leurs homologues du secteur privé et du secteur public et encourager leurs équipes de gestion à en faire autant.

Le guide fournit des conseils détaillés, présente des facteurs essentiels à prendre en considération pour chaque principe et encourage les administrateurs à les adapter [traduction] « en fonction des caractéristiques uniques de leur entreprise, notamment la taille, l’étape du cycle de vie, la stratégie, les plans d’affaires, le secteur d’activité, la répartition géographique et la culture d’entreprise ». Le guide comprend également une trousse d’outils complète pour aider les administrateurs à appliquer les principes à leur entreprise, y compris des questions qu’ils peuvent se poser mutuellement ou poser à la haute direction (notamment des questions relatives aux interventions en cas d’incidents, aux fusions et acquisitions et aux informations sur la cybersécurité divulguées aux investisseurs et aux autres parties prenantes).

Le guide souligne que [traduction] « la cybersécurité est un élément essentiel de la surveillance exercée par les conseils d’administration et elle doit être intégrée aux discussions préliminaires sur des questions comme les fusions, les acquisitions, le développement de nouveaux produits et les partenariats stratégiques ». Il explique que [traduction] « […] les conseils d’administration doivent appliquer les mêmes principes en matière de demandes de renseignements et d’interventions constructives auprès de la direction que ceux qui caractérisent les échanges entre les conseils d’administration et les dirigeants d’entreprises en ce qui concerne la stratégie et le rendement de l’entreprise. La surveillance de la cybersécurité devrait faire partie intégrante de la planification de leurs réunions ».

Commentaires

Les cyberrisques sont omniprésents et augmentent en fréquence, en intensité et en conséquences néfastes en raison de divers facteurs, notamment l’utilisation sans cesse croissante des technologies de l’information et des données, la dépendance accrue à leur égard, la sophistication et la complexité croissantes des cyberattaques, de même que l’évolution des exigences et des responsabilités prévues par la loi. Par conséquent, les administrateurs de sociétés canadiennes doivent être vigilants afin de bien comprendre leurs obligations en matière de gestion des cyberrisques et de s’y conformer. Voici quelques recommandations :

• Les administrateurs devraient participer activement aux principales décisions qui concernent la tolérance au cyberrisque de leur entreprise et superviser directement la gestion des cyberrisques importants qui menacent leur entreprise.
• Ils devraient mettre au point et adapter une structure de gouvernance des cyberrisques appropriée en s’inspirant de pratiques exemplaires et de directives réglementaires pour s’assurer que les dirigeants aient correctement mis en œuvre des politiques et des pratiques appropriées pour gérer les cyberrisques liés à tous les aspects des activités de l’entreprise – y compris les fusions et les acquisitions – et réagir efficacement aux incidents de cybersécurité.
• Les décisions des administrateurs en matière de gestion des cyberrisques devraient être prises en pleine connaissance de cause et être fondées sur des renseignements opportuns, complets et fiables provenant de la direction et d’évaluations indépendantes, en tenant compte des avis éclairés de spécialistes du secteur, de professionnels du droit et d’experts techniques indépendants et qualifiés.
• Les administrateurs des émetteurs assujettis devraient s’assurer que la direction a mis en œuvre un programme approprié pour l’identification, l’évaluation et le signalement des cyberrisques afin que les administrateurs puissent s’acquitter de l’obligation de divulgation permanente que leur imposent les lois sur les valeurs mobilières.
• Les administrateurs des émetteurs assujettis devraient s’assurer que leur entreprise a adopté des politiques sur les opérations d’initiés appropriées pour prévenir de telles opérations et le tuyautage d’information concernant les cyberrisques et les incidents de cybersécurité.
• Les administrateurs devraient consigner toutes leurs activités de gestion des cyberrisques et leurs processus de prise de décision; ils pourront ainsi démontrer qu’ils se sont acquittés de leur devoir de diligence et, le cas échéant, se prévaloir de la règle de l’appréciation commerciale en cas de contestation de leurs décisions.

Les administrateurs devraient s’assurer que leur entreprise dispose d’une assurance adéquate contre les pertes et les responsabilités découlant d’incidents de cybersécurité et contre les réclamations à l’endroit des administrateurs découlant de l’exercice de leurs fonctions de gestion des cyberrisques.