Les entreprises canadiennes sont-elles prêtes à faire face à une cyberattaque? 

publication 

April 2017

Cybersécurité

Kailey Sutton, étudiante en droit

Le 3 avril, la Chambre de commerce du Canada (la
« CCC ») a publié un livre blanc intitulé « Cybersécurité au Canada »[1] (le « rapport ») dans lequel elle examine le contexte canadien de la cybersécurité, la préparation des entreprises canadiennes, l’état actuel de la cyberassurance et formule également des recommandations à l’intention du gouvernement canadien en matière de cybersécurité.

Définition de « cybersécurité » et systèmes de classification. Le livre blanc explique que « la cybersécurité est la protection des systèmes informatiques contre le vol ou l’endommagement du matériel, des logiciels ou des informations qui s’y trouvent, ainsi que contre la perturbation ou la mauvaise orientation des services qu’ils fournissent »[2]. Le rapport précise que la hiérarchie des cibles informatiques est fondée sur la valeur des données (définie par sa sensibilité et son volume) et que les cibles relèvent des quatre grandes catégories suivantes :
1) sécurité nationale, 2) infrastructures essentielles,
3) propriété intellectuelle et 4) données personnelles. Dans le même ordre d’idées, le rapport indique que les cybermenaces peuvent être regroupées en trois catégories : 1) confidentialité (p. ex. renseignements privés), 2) disponibilité (p. ex. accès au service et suppression de données) et 3) intégrité (p. ex. infections par des virus et des logiciels malveillants). Le rapport classe les auteurs des cyberattaques en deux catégories (les acteurs gouvernementaux et les acteurs non gouvernementaux) ou dans des catégories plus précises comme les acteurs soutenus par l’État, le crime organisé et les « hacktivistes ». Malgré ces variantes, la majorité des cyberattaques suivent une voie de moindre résistance et partagent les caractéristiques suivantes : 1) peu coûteuses, 2) efficaces et 3) peu risquées.

Le cyberpaysage. Selon le rapport, la cybercriminalité
« devient une préoccupation grandissante pour la direction des entreprises », les contraignant à répondre aux trois questions fondamentales en matière de gestion des risques : 1) quels sont les enjeux, 2) qui veut mettre la main sur l’information et 3) que peut-elle faire pour protéger les intérêts de l’entreprise. Cette inquiétude découle en partie du nombre croissant d’entreprises « qui signalent une perte ou une exposition de données sensibles » (8 % au cours des trois dernières années)[3]. Au Canada, en particulier, le nombre d’entreprises ne signalant aucune perte liée à la cybercriminalité a diminué, passant de 45 % à 40 % en 2016[4]. De plus, il est indiqué dans le rapport que le nombre d’entreprises ayant signalé une perte de un million de dollars canadiens et plus a augmenté de 7 % comparativement à seulement 1 % il y a deux ans[5]. Comme l’indique le rapport, il n’y a que très peu de concertation à l’échelle internationale et les politiques mettent indûment l’accent sur la conformité plutôt que sur le rendement en matière de sécurité rajusté en fonction des risques.

Cyberassurance. Le rapport indique que l’augmentation des cyberattaques a donné lieu à une « croissance spectaculaire de l’industrie de la cyberassurance »[6] et que la valeur des « primes d’assurance pour les polices de cyber-responsablité devrait tripler entre 2014 et 2020, pour atteindre 7,5 milliards de dollars américains »[7]. Fait à noter, la majeure partie des réclamations présentées au titre de ces polices proviennent du secteur de la santé et comptent pour 40 % des réclamations liées à la cybercriminalité déposées aux États-Unis en 2014[8]. L’assurance devrait demeurer une considération nécessaire dans la gestion des cyber-risques, car « [i]l faut accepter l’inévitabilité de la défaite »[9].

Résultats de la table ronde. En octobre 2016, la CCC a réuni des leaders d’opinion provenant de toutes les régions du pays. Selon le consensus qui a pu être dégagé, les entreprises, notamment les petites et moyennes entreprises (les « PME »), ont besoin d’être mieux informées et conseillées au sujet de la cybersécurité. En outre, même si les humains sont les mieux placés pour lutter contre les cyberattaques, ils sont aussi le maillon le plus faible sur le plan de la résilience. Il ressort des débats que bon nombre des lignes directrices sérieuses, comme la norme de certification ISO-27001 et la directive ISO-27032 sur la cybersécurité, sont bien trop onéreuses pour de nombreuses entreprises. La CCC s’est donc associée à l’International Cyber Security Protection Alliance
ICSPA ») pour offrir une norme de certification rentable et réalisable[10].

Les débats ont aussi porté sur le régime législatif émergent de protection de la vie privée visant les entreprises qui recueillent et stockent des renseignements personnels, et les contraintes auxquelles font face les entreprises pour s’adapter. Même si les sociétés sont toutes des cibles potentielles de cyberattaques, les discussions ont mis en lumière que bon nombre d’entreprises ne sont pas en mesure de se rendre compte que des violations ont eu lieu, ni d’y réagir de la manière appropriée. Le consensus est que la responsabilisation et l’appropriation des solutions sont cruciales. Enfin, les discussions en table ronde ont mis l’accent sur le rôle du gouvernement, qui pourrait notamment soutenir les entreprises dans leur lutte contre la cybercriminalité, par exemple, en suivant les fraudes et en faisant de l’application de la loi une priorité, en nommant un ministère ou une agence unique pour superviser le dossier de la cybersécurité et en adoptant une stratégie solide en matière de cybersécurité.

Le facteur des PME. Les petites entreprises sont une composante importante de l’économie canadienne. Selon le rapport, 71 % des violations de données se produisent auprès des petites entreprises[11], et bien que les PME soient conscientes qu’elles doivent en faire plus pour se protéger, elles ne savent pas comment. Le rapport indique que les criminels sont attirés par les PME pour trois raisons : 1) les PME sont moins équipées pour gérer les attaques; 2) leurs renseignements les plus précieux sont souvent les moins bien surveillés; et 3) les partenariats avec les PME fournissent un moyen détourné d’accéder aux véritables cibles d’un pirate[12]. Selon un sondage réalisé par la CCC en février 2017, même si les PME canadiennes utilisent davantage qu’aux États-Unis des logiciels contre les logiciels malveillants et des pare-feu, elles sont en retard sur les grandes entreprises par rapport à la plupart des autres mesures.

Résultats des ateliers ‒ Sondage. La CCC a réalisé un sondage auprès d’environ 260 entreprises au pays pour savoir quels outils de cybersécurité elles utilisaient. La majorité des entreprises (tant petites que grandes) ont recours à des pare-feu et à la sauvegarde régulière de leurs données. Cependant, l’écart semble se creuser entre les PME et les grandes et moyennes entreprises en ce qui a trait à l’adoption d’outils de cybersécurité supplémentaires comme le RPV, l’authentification multifacteurs, les logiciels de cryptage, les outils de visibilité de réseau, etc.

Résultats des ateliers – Bilans de santé. La CCC a aussi demandé à un total de 75 entreprises au Canada de répondre à cinq questions sur la « santé informatique » concernant la technologie, les relations publiques, la cybersensibilisation, la conformité aux lois et la cyberassurance.

Bilan de santé technologique. Le bilan de santé technologique a permis de faire ressortir que même si une majorité d’entreprises ont identifié leurs actifs critiques
(69 %)[13], elles ne savent pas comment trier ces données en vue de la protection de leurs actifs critiques (55 %)[14] ou ne disposent de la technologie suffisante pour protéger ces actifs critiques (57 %)[15].

Bilan de santé des relations publiques. Le bilan de santé des relations publiques révèle que la majorité des entreprises n’ont pas mis en place de plan de relations publiques sur la cybersécurité (82 %)[16] et qu’elles n’ont pas réfléchi à la composante des relations publiques d’un incident de cybersécurité.

Bilan de santé sur la sensibilisation. Le bilan de santé sur la sensibilisation a permis de constater que presque la moitié des entreprises ont une certaine compréhension de leurs risques et obligations en matière de cybersécurité. Par exemple, 50 %[17] des entreprises sondées ont des politiques sur l’utilisation de la cybersécurité, 62 %[18] respectent leurs protocoles pour les données partagées avec les partenaires et 60 %[19] ont des programmes organisationnels de formation en sécurité informatique.

Bilan de santé sur l’aspect législatif. Le bilan de santé sur l’aspect législatif a suscité des inquiétudes, car environ la moitié des entreprises interrogées ont indiqué qu’elles ne connaissaient pas et ne comprenaient pas les obligations leur incombant aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »). En particulier, seulement 56 %[20] des répondants ont déclaré qu’ils connaissaient et respectaient l’annexe 1 de la LPRPDE. Plus inquiétant encore, seulement 18 %[21] des répondants savaient si les données personnelles étaient stockées au Canada ou ailleurs.

Bilan de santé sur l’assurance. Selon le bilan de santé sur l’assurance, seulement 26 %[22] des entreprises ont souscrit une assurance cyber-responsabilité, 29 %[23] disposent d’une protection pour la récupération de données, 35 %[24] ont une protection contre les pertes subies par un fournisseur de service infonuagique et 26 %[25] sont protégées contre les poursuites liées à des violations de données. On peut donc en conclure que la cybersécurité en tant qu’outil de gestion des risques est mal connue et sous-utilisée.

Analyse. Le rapport indique les facteurs dont les entreprises tiennent compte dans leurs politiques sur la cybersécurité, notamment lorsqu’il s’agit d’évaluer la valeur et la sensibilité de leurs données. La méthode la plus facile pour les entreprises est la sauvegarde régulière de leurs données et leur stockage en dehors de leur réseau d’entreprise. Pour améliorer leur cybersécurité, les entreprises devraient aussi envisager le partage de l’information. Le rapport donne deux exemples de moyens déjà en place : le « CCTX », un organisme indépendant sans but lucratif qui partage de l’information sur les cybermenaces et les vulnérabilités et « FIRST », qui est une plateforme d’échange d’informations sur les cyberincidents, les pratiques exemplaires, les outils et les méthodes propres à renforcer la cybersécurité. Le rapport aborde aussi les perspectives technologiques et les grands changements qui s’annoncent, comme la tokenisation, la chaîne de blocs, l’Internet des objets ou l’informatique quantique.

Recommandations à l’intention du gouvernement. Le rapport comporte les recommandations suivantes :
1) mise en œuvre d’une approche 3P ou coordonnée pour l’amélioration de la cybersécurité; 2) mise en œuvre de politiques sur la cybersécurité qui sont axées sur les résultats; 3) élaboration d’une approche nationale de leadership partagé, sûre, en matière de protection de la vie privée et de sécurité; 4) mise en œuvre d’un cadre national de cybersécurité soutenant l’innovation et la détection des risques en matière de sécurité; 5) élaboration d’une approche de gestion des cyber-risques, tous secteurs économiques confondus, en partenariat avec les pays du G20; 6) investissement dans le renforcement des connaissances en matière de cybersécurité, notamment les connaissances numériques et la sensibilisation technologique; 7) soutien ou approbation d’un programme de certification dirigé par l’industrie applicable aux différents secteurs (comme le système implanté actuellement au Royaume-Uni); 8) instauration de mesures d’encouragement visant l’intégration de caractéristiques de cybersécurité; 9) prise en compte par les stratégies de l’informatique quantique.

par Jeffrey Nagashima et Kailey Sutton, étudiante en droit

[1] La Chambre de commerce du Canada, « Cybersécurité au Canada » (3 avril 2017), accessible en ligne à l’adresse suivante : http://www.chamber.ca/fr/ [Cybersécurité au Canada].

[2] Cybersécurité au Canada, supra note 1, page 8.

[3] Étude de Scalar Security de 2017, « The Cyber Security Readiness of Canadian Organizations » (2017), qui peut être consultée en ligne à l’adresse suivante : https://media.scalar.ca.

[4] Cybersécurité au Canada, supra note 1, page 16.

[5] Cybersécurité au Canada, supra note 1, page 16.

[6] Cybersécurité au Canada, supra note 1, page 17.

[7] Forbes, « Cyber Insurance Market Growing From $2.5 Billion In 2015 To $7.5 Billion By 2020 » (24 décembre 2015), accessible en ligne à l’adresse suivante : http://www.forbes.com.

[8] Marsh & McLennan Agency, « Cyber & Data Security Risk Survey » (novembre 2014), accessible en ligne à l’adresse suivante : http://information.rjfagencies.com.

[9] Cybersécurité au Canada, supra note 1, page 20.

[10] À noter également que CyberNB s’est associée à l’ICSPA pour créer des plates-formes connexes.

[11] Cybersécurité au Canada, supra note 1, page 25.

[12] Ibid.

[13] Cybersécurité au Canada, supra note 1, page 30.

[14] Ibid.

[15] Ibid.

[16] Ibid, page 32.

[17] Ibid, page 33.

[18] Ibid.

[19] Ibid.

[20] Cybersécurité au Canada, supra note 1, page 34.

[21] Ibid.

[22] Ibid, page 35

[23] Ibid.

[24] Ibid.

[25] Ibid.

Avertissement

Le texte qui précède n’est qu’un aperçu et ne constitue pas un avis juridique. Le lecteur ne devrait pas prendre de décision sur le seul fondement de ce texte, mais devrait plutôt obtenir des conseils juridiques spécialisés.

© McMillan S.E.N.C.R.L., s.r.l./LLP 2017