Cet article s’inscrit dans la série 12 principes stratégiques en gestion des risques liés au respect de la vie privée, à la cybersécurité et à l’IA. Chaque billet se veut une feuille de route pratique pour les entreprises canadiennes afin d’aider leurs équipes de direction et leurs conseils d’administration à agir de manière proactive pour renforcer leur résilience, atténuer les risques et se préparer pour l’avenir.
Les cyberincidents ne sont plus des probabilités théoriques, ils sont inévitables. Pour les entreprises canadiennes, la préparation est la meilleure cyberdéfense. Les enjeux sont de plus en plus élevés et la réponse des organisations doit être immédiate, coordonnée et efficace. En fonction de la rapidité et de la précision avec lesquelles une entreprise réagit à un incident, elle pourrait mettre à mal sa réputation, subir des pertes financières et faire l’objet d’une surveillance réglementaire accrue, ou, au contraire, s’en sortir intacte.
Pourquoi est-ce important?
La complexité et l’envergure des cyberattaques ne font qu’augmenter. Les malfaiteurs ciblent des organisations de tous les secteurs. Les rançongiciels, les exfiltrations de données et la compromission des courriels professionnels ne sont que quelques-unes des tactiques qu’ils emploient, et la réactivité n’est pas suffisante pour en venir à bout.
D’un point de vue juridique et réglementaire, les obligations quant au signalement des cyberincidents se sont resserrées un peu partout, au fédéral comme au provincial, par exemple au Québec avec la loi 25. Les organisations qui ne le font pas à temps ou qui n’arrivent pas à démontrer qu’elles sont prêtes à agir en cas d’attaque s’exposent à des enquêtes, à des amendes et à des litiges.
Ce que les équipes de direction et les conseils d’administration doivent prioriser
- Plan d’intervention en cas d’incident de sécurité testé et approuvé par le conseil
Ce plan ne peut pas être que théorique. Il doit être passé en revue souvent, testé à l’aide d’exercices et approuvé par le conseil d’administration. Il faut en cibler les lacunes avant qu’une réelle crise ne survienne. - Équipe de direction formée adéquatement
Les équipes de direction doivent comprendre leur rôle dans chaque scénario d’atteinte à la sécurité. Il est essentiel que même la haute direction sache comment réagir en cas de crise afin que les décisions se prennent de manière cohérente et efficace. - Système de notification réglementaire clairement défini
Les organisations doivent comprendre qui aviser, quand, et comment. Pensons par exemple à leur personnel, à leurs clients, à leurs investisseurs, aux organismes de réglementation de la vie privée, à des organisations sectorielles et, potentiellement, aux autorités. Il est essentiel que les équipes responsables des aspects juridiques, du respect de la vie privée, des technologies de l’information et de la gestion des risques coordonnent leurs efforts. - Mobilisation du conseil d’administration
Votre conseil d’administration doit s’assurer que votre entreprise est prête à répondre à un cyberincident, entre autres en incitant la direction à prendre ses responsabilités à cet égard et en analysant les exercices d’intervention et les principales vulnérabilités.
Dernières réflexions
La résilience en cybersécurité commence avant même qu’un incident survienne. Les conseils d’administration et les équipes de direction doivent collaborer pour élaborer et mettre à l’essai leur plan afin d’être en mesure de réagir rapidement lorsque viendra le moment.
