De nouvelles exigences en matière de déclaration en cas d’atteintes à la protection des données

01_2019

 

Publié le 23 janvier 2019

Depuis son entrée en vigueur au cours de l’année 2000, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régit la façon dont les entreprises du Canada recueillent, utilisent et divulguent des renseignements personnels. Cette politique rend obligatoire le signalement des atteintes aux mesures de sécurité au commissaire à la protection de la vie privée. Depuis le 1er novembre 2018, la LPRPDE comporte une nouvelle exigence légale en matière de déclaration obligatoire des atteintes à la protection des données aux termes de laquelle les entreprises doivent également aviser directement leurs clients et des tiers, comme les autorités chargées de l’application de la loi, de toute atteinte à la protection des données.

Cette modification incite manifestement les entreprises à s’assurer qu’elles protègent et sécurisent leurs données ainsi que celles qu’elles ont recueillies auprès de leurs clients. En outre, il est essentiel d’être conscient que les cybercriminels visent de plus en plus les petites et moyennes entreprises, qui sont souvent considérées comme des cibles faciles pour le vol de renseignements personnels. Désormais, les grandes banques et les importants détaillants ne sont plus les seuls à devoir s’inquiéter. Les directeurs financiers portent une lourde responsabilité à ce niveau.

 

Qu’est-ce qu’une atteinte à la protection des données?

Une atteinte à la protection des données est l’accès non autorisé, le vol ou la modification de renseignements. Et même si vos renseignements restent au sein de vos locaux - il est possible que votre entreprise ne se rende même pas compte que des renseignements ont été volés - le fait que vos systèmes aient été infiltrés constitue une atteinte qui doit être déclarée.

Mais d’où viennent donc ces attaques? Cela dépend, et identifier la source initiale est compliqué. Mais honnêtement, les entreprises ne veulent habituellement pas consacrer temps et argent pour identifier le pirate qui se cache derrière son écran. Elles mettent plutôt la priorité sur l’identification de la faille pour la réparer et sur la récupération des données après l’incident. On s’attend souvent à ce que les forces policières effectuent une enquête pour trouver la ou les personnes impliquées, mais compte tenu du grand nombre de demandes, ouvrir une enquête pourrait prendre beaucoup de temps, ce qui limite les chances de réussite.    

Le nouveau règlement s’applique aussi bien aux atteinte provenant d’une source externe que d’une source interne. Ces dernières augmentent à un rythme alarmant. En effet, d’après une recherche récente, 25 % des atteintes à la protection des données impliquent une personne en interne, qu’il s’agisse d’un employé du service informatique qui peut accéder aux dossiers des RH ou aux données sur la paie, ou d’un agent d’entretien qui peut accéder aux bureaux pendant la nuit.

Qu’est-ce qui pousserait une personne de l’organisation à faire une telle chose? Tout simplement parce que le crime paie. Avec le recours croissant au web invisible, les criminels peuvent très facilement vendre des renseignements subtilisés pour les monétiser, et cela dans le confort de leur foyer. Certains employés vont même jusqu’à offrir de manière proactive leurs services d’initié sur le web invisible, où des groupes criminels les rémunèrent en échange de données sur leur entreprise. Ces employés fournissent des renseignements subtilisés et des mots de passe pour des systèmes clés et ils installent même des virus. Oui, les gens vendent réellement leurs capacités d’initiés et ce sont exactement ces personnes que les pirates recherchent. C’est scandaleusement simple.

D’autres initiés sont motivés par l’instinct de protection. L’extorsion est bel et bien une réalité et les criminels menacent souvent les gens de révéler leurs secrets, leurs activités et leurs relations pour les forcer à agir en tant qu’initié.

 

Quels sont les coûts d’une atteinte?

Le conseil d’administration assume la responsabilité de gérer les cyberrisques de l’entreprise. À défaut d’un conseil, cette responsabilité incombe aux hauts dirigeants. Et, bien sûr, tous les employés de l’organisation et les tiers ont un rôle à jouer dans la cybersécurité. Chacun doit demeurer à l’affût des menaces à la sécurité comme l’hameçonnage et le rançongiciel. Les employés doivent savoir comment contribuer à empêcher les infractions et, en cas d’incident, quel rôle jouer dans l’intervention et la reprise des activités.

Les directeurs financiers jouent un rôle particulièrement important dans la prévention des incidents liés à la cybersécurité et dans la récupération à la suite des incidents. Il est essentiel qu’ils comprennent ce qui est attendu, comme aider à quantifier les dommages ou répercussions possibles des incidents sur l’organisation. Par exemple, si l’entreprise est victime d’un rançongiciel et que les systèmes sont hors service pendant dix jours, le directeur financier doit être capable d’aider l’entreprise à évaluer cette panne en dollars et à identifier le coût réel du cyberincident.

Cela inclut les coûts immédiats liés à l’intervention en cas de cyberincident et au soutien des enquêteurs chevronnés pour limiter le problème, mais il existe également beaucoup d’autres coûts cachés ou éventuels, par exemple une hausse des primes d’assurance; une hausse des taux d’intérêt sur la dette si la notation de crédit de la société est abaissée; les frais liés à une société de relations publiques pour gérer la crise et les frais juridiques. Et ce ne sont là que quelques exemples. Le tableau ci-dessous présente une liste plus détaillée :

 

Facteurs d’incidence des atteintes à la protection des données

 

Quelles sont les meilleures pratiques pour atténuer les risques?

Tout d’abord, vous devez identifier les données les plus précieuses de votre organisation. Ce sont celles qui se rapportent aux informations essentielles à votre organisation pour demeurer opérationnelle et se démarquer de ses concurrents. En plus des données précieuses, les organisations devraient aussi surveiller les informations qu’elles gèrent et qui, même si elles ne sont pas essentielles à leurs activités, auraient une incidence significative en cas d’atteinte à la protection des données. Par exemple, les RH peuvent conserver des curriculum vitae pendant des années, même ceux de candidats qu’ils n’ont jamais embauchés ou reçus pour un entretien. La divulgation de ces renseignements personnels pourrait donner lieu à une atteinte importante qui aurait pour l’organisation les mêmes répercussions sur les finances, les activités et la réputation que  la perte de ses données les plus précieuses.

Les directeurs financiers jouent un rôle essentiel dans la gestion des risques, en travaillant en étroite collaboration avec les parties prenantes de l’entreprise pour quantifier les pertes liées à un événement particulier et pour déterminer les effets systémiques à long terme de cet incident.

L’organisation doit repérer tous les accords réglementaires, juridiques et commerciaux pertinents et prendre connaissance de leurs exigences en matière de protection des données et de notification en cas de perte de données.

Elle doit ensuite élaborer un programme de sécurité, basé sur un cadre reconnu, comme ISO ou NIST, afin de satisfaire à ces exigences, y compris en ce qui concerne la gestion d’une atteinte. Avez-vous mis en place un plan d’intervention en cas d’incident? Dans l’affirmative, ce plan est-il suffisamment détaillé? Les plans d’intervention sont trop souvent très généraux et ne sont pas axés sur des éléments précis. Le plan d’intervention doit proposer diverses procédures à appliquer selon diverses situations (p. ex. l’intervention en cas d’atteintes à la protection des données serait différente de l’intervention en cas d’attaque par rançongiciel). Une fois que vous avez un plan complet, efficace et recevable après l’incident, n’oubliez pas de le tester régulièrement.

Il est également essentiel de procéder à des simulations réalistes avec des tiers importants. La gestion de la sécurité relève souvent d’un fournisseur externe, qui fournit des services de sauvegarde ou d’informatique en nuage, ce qui signifie que la gestion des incidents liés à la sécurité peut être plus compliquée, car les politiques ne sont peut-être pas harmonisées. Le fournisseur tiers n’a peut-être pas de bonnes politiques. Il se pourrait même qu’il ne soit pas obligé de vous avertir s’il est victime d’une attaque, et que vous ne puissiez pas accéder à ses informations pour effectuer une enquête juricomptable en cas d’atteinte à la sécurité.

Lorsqu’un problème survient, c’est bien trop souvent un tiers qui est en faute, mais c’est l’organisation qui l’a engagé qui en paie le prix. C’est elle qui fait l’objet d’une couverture médiatique, et c’est sa réputation qui est en jeu. En outre, la loi ne fait pas de distinction. Assurez-vous donc que tout ce que vous entreprenez au sein de votre organisation est aussi mis en place par les tiers avec lesquels vous faites affaire.

 

Que faut-il en conclure?

Les directeurs financiers sont à même d’évaluer à long terme les coûts des incidents liés à la cybersécurité et peuvent travailler avec les leaders d’affaires pour trouver le bon équilibre entre les risques et les avantages. Investissez-vous 2 M$ dans les contrôles de sécurité? Dans la négative, combien pourrait coûter le fait de ne pas avoir de tels contrôles? Une organisation peut juger qu’il est préférable de réduire au minimum les risques en payant quelques centaines de milliers de dollars pour une assurance en matière de cybersécurité, ce qui devrait atténuer les coûts liés à un incident. Elle voudra peut-être, sinon, souscrire une assurance plus large pour couvrir encore plus d’éléments.

Donc, une fois que les risques sont identifiés, ils peuvent être évités, acceptés, atténués ou transférés. Mais une organisation doit être capable de déterminer le coût réel de pertes éventuelles. C’est au directeur financier, qui joue un rôle essentiel pour fournir les informations utiles à l’organisation pour prendre ces décisions, de passer à l’action.

 

Personne-ressource

 

Kevvie Fowler

Kevvie Fowler
Kevvie est associé et leader national, Résilience de Deloitte. Il est l’auteur des ouvrages intitulés Data Breach Preparation and Response et SQL Server Forensic Analysis, et il participe à la rédaction de plusieurs publications sur la gestion des risques et la cybersécurité.

Correction list for hyphenation

These words serve as exceptions. Once entered, they are only hyphenated at the specified hyphenation points. Each word should be on a separate line.