Un paysage en mutation
L’importance croissante des données — et les atteintes à la sécurité qui ont largement alimenté les manchettes récemment — incite nombre de pays, dont le Canada, à revoir leur arsenal de protection pour lui donner plus de mordant. Il s’agit là d’une idée bienvenue, certes, mais il n’y a pas de solution simple en la matière.
À mesure que la technologie évolue, les lois, les règlements et les normes qui en encadrent l’application progressent également. De fait, il existe une batterie de normes auxquelles une organisation peut se fier pour respecter la loi; au Canada, il se publie régulièrement de nouvelles lois, mesures, lignes directrices et recommandations propres à chaque secteur. Mais les données qui circulent par-delà les frontières et qui sont stockées dans le nuage informatique sont sans doute soumises de surcroît aux lois de nations étrangères.
L’évolution du risque et de l’environnement juridique n’aura pas la même incidence sur toutes les entités. Ainsi, les normes qui régissent une organisation caritative ou une université seront vraisemblablement différentes de celles auxquelles les banques sont assujetties. Voilà pourquoi il est essentiel d’envisager chaque scénario de risque d’une manière adaptée au secteur visé.
Genèse d’un piratage
Le piratage des données est désormais l’un des plus grands risques auxquels s’expose l’organisation désireuse de tirer le meilleur parti des mégadonnées. Elle peut y perdre sa réputation, voir ses actions dégringoler en bourse et devoir affronter une cascade de coûteuses répercussions sur le plan réglementaire et juridique, notamment être visée par une action collective, dont le nombre est en croissance au Canada.
Bonne nouvelle : la plupart des cyberattaques sont relativement simples. On s’inquiétait récemment que des pirates recourent à l’intelligence artificielle pour vaincre les mesures de cybersécurité. Or, il n’est nul besoin de l’intelligence artificielle pour pénétrer un système mal défendu. Il suffit d’un employé qui succombe à un hameçonnage et clique sur un lien envoyé par courriel pour lancer un dangereux piratage.
De plus en plus, les pirates cryptent les données volées et les tiennent en otage, puis les publient ou les détruisent si la rançon exigée n’est pas payée.
Dans le cerveau d’un pirate
Il est déjà plus facile de repousser les attaques si l’on comprend les failles que cherche le pirate. BLG collabore étroitement avec des spécialistes techniques et scientifiques qui ont leurs entrées dans cette partie du Web non réglementée et imperméable aux moteurs de recherche qu’on appelle Web invisible (ou dark Web). Souvent, c’est là que les criminels achètent les informations bancaires, numéros de carte de crédit et autres renseignements personnels volés.
Conséquences désastreuses
Les effets d’une atteinte à la protection des données peuvent être très divers et durables. Ainsi, Yahoo Inc. a subi un certain nombre d’atteintes massives en 2014, dont l’une était imputable à une agence d’espionnage russe. Les vols visaient les données personnelles — noms, adresses, numéros de téléphone et mots de passe chiffrés — associées à 500 millions de comptes.
Altaba, la société alors aux commandes des services de courriel et du moteur de recherche de Yahoo, s’est vu infliger une amende de 35 M$ US par la U.S. Securities and Exchange Commission. À la suite du règlement d’une action collective, Altaba et Verizon, laquelle s’apprêtait à acheter Yahoo, ont convenu de verser 50 M$ US à un maximum de 200 millions d’utilisateurs, soit au plus 375 $ par personne. Ces chiffres montrent l’ampleur des conséquences que peut avoir une telle atteinte.
Renforcer la protection des données
La cybersécurité commande une optique globale, c’est-à-dire des mesures préventives et correctives.
Avant un incident
- Déterminez quels sont vos biens et vos actifs informationnels les plus précieux.
- Choisissez la meilleure technologie de sécurité qui soit et appliquez toutes les mises à niveau et tous les correctifs, pour que votre système soit raisonnablement protégé et que votre organisation soit en mesure de se défendre.
- Déterminez votre responsabilité potentielle et suivez l’évolution des normes de diligence concernant les mégadonnées, afin d’atténuer le risque juridique que vous courez en cas d’atteinte ou d’usage abusif.
- Dotez votre organisation de plans de cybersécurité et d’intervention en cas d’incident et constituez une équipe d’intervention complète, forte de l’expertise nécessaire (à l’interne et à l’externe).
Après un incident
- Activez le plan d’intervention et convoquez l’équipe d’intervention sans délai.
- Faites appel à un avocat spécialisé en cybersécurité, qui sera votre coach, gérera l’équipe d’intervention et veillera à ce que le secret professionnel soit protégé au maximum.
- Veillez à préserver les preuves des actes répréhensibles pendant les opérations de restauration.
- Soyez cohérents dans vos communications publiques et dans les rapports présentés aux organismes de réglementation et d’application de la loi.
Toute atteinte à la protection de données doit être considérée comme un risque pour l’entreprise entière. Voilà pourquoi les parties prenantes de toute l’organisation sont souvent appelées à participer à la gestion de crise. Il faut toutefois coordonner leur intervention du début à la fin. Pourquoi? Voici un élément de réponse :
Si les serveurs de l’entreprise sont infectés par un virus, le service des technologies de l’information proposera vraisemblablement de les déconnecter, de les nettoyer et de les reconstituer. Ce faisant, il pourrait détruire par inadvertance des indices sans lesquels il sera impossible d’établir le mode opératoire et l’identité des responsables. Ces éléments probants pourraient aussi s’avérer essentiels en cas de poursuite ou d’examen réglementaire.
Quelle que soit l’entreprise, la coordination de cette intervention multipartite peut être difficile. Il est donc prudent de faire appel à des spécialistes avertis. BLG possède une vaste expérience pour ce qui touche l’encadrement d’organisations victimes de cyberattaques très médiatisées au Canada. Nous avons dirigé des équipes multidisciplinaires d’enquête et de restauration et veillé à ce que les preuves soient correctement traitées et préservées, ainsi qu’à protéger le secret professionnel.