Cybersécurité : c’est aussi une question de gouvernance

Alors qu’autrefois, la sécurité des infrastructures informationnelles était une question qui était traitée par l’équipe de technologies de l’information (« TI »), aujourd’hui, toute organisation sait qu’il s’agit d’un risque important sur lequel la haute direction doit exercer une supervision sérieuse.

Les questions de cybersécurité dépassent le volet technologique. Elles affectent désormais la façon dont les entreprises opèrent, prennent des décisions, anticipent le futur et enlignent leur vision stratégique. Rappelons que les menaces sont nombreuses, allant du crime organisé à des mouvements militantistes, des sources internes (« insiders ») aux pirates informatiques agissant seuls ou en groupe, souvent pour des raisons pécuniaires, mais parfois aussi sans autre motif particulier que de perturber l’organisation. Ces individus sont souvent localisés à l’extérieur de la juridiction territoriale de l’entreprise victime.

Au-delà des gestionnaires, les membres du conseil d’administration ont le devoir de veiller à prévenir les risques majeurs pouvant affecter l’organisation. Ils doivent donc eux aussi en comprendre les enjeux économiques, opérationnels, réputationnels et légaux1. Et alors que plusieurs conseils d’administration peuvent souvent compter, parmi leurs administrateurs, sur des avocats, comptables, actuaires ou encore des spécialistes en ressources humaines, peu de conseils d’administration comptent parmi leurs membres un spécialiste en cybersécurité.

Il est maintenant primordial pour les administrateurs d’acquérir une maîtrise de base des principales composantes reliées aux enjeux de cybersécurité :

i)   les actifs informationnels2 de l’organisation;

ii)  les procédures de gouvernance de l’information;

iii) l’attribution des responsabilités à l’interne pour voir à l’application des mesures de cybersécurité;

iv) les grandes lignes de l’architecture technologique (infrastructures et environnements applicatifs internes et infonuagiques, fournisseurs de services impliqués) et le type d’équipements mobiles; et

v)  l’environnement légal, qui comporte notamment des obligations de préserver la confidentialité, l’intégrité, de même que l’accessibilité/disponibilité des données3.

Les procédures de gouvernance reliées aux enjeux de cybersécurité peuvent être déclinées en quatre catégories qui doivent faire l’objet d’un examen plus attentif de la part des administrateurs :

i)   la structure technologique organisationnelle incluant les mesures de protection mises en place;

ii)  la gestion de l’information, c.-à-d. qu’est-ce qui est conservé, à quel endroit, pour combien de temps, qui y a accès, le degré de sensibilité de certaines informations, le niveau de tolérance au risque, etc.;

iii) les programmes de formation des employés et dirigeants mis en place et leur fréquence; ainsi que

iv) les politiques, programmes, ou autres règlements internes sur la gouvernance en matière de cybersécurité.

En raison des risques de plus en plus élevés reliés à la cybersécurité, il est fortement recommandé d’obtenir une opinion externe sur l’ensemble de ces éléments, et ce, afin d’assurer que l’organisation a mis en place un système de cybersécurité adéquat, incluant une veille pour identifier les menaces et vulnérabilités et mesurer l’évolution des outils et mécanismes de sécurité. La simple implantation d’un système de sécurité dont l’efficacité n’a pas été mesurée ou adaptée aux besoins de l’organisation pourrait être perçue comme un manque de diligence de la part des administrateurs qui ne se seraient pas suffisamment souciés des risques existants. Cela est rendu non seulement nécessaire en raison du degré de risques qui peut varier sensiblement d’une entreprise à l’autre, mais aussi étant donné les changements technologiques qui surviennent à une vitesse extrêmement rapide et nécessite une vigilance constante. Parmi ces risques, pensons à la perte ou le vol de données, le non-accès aux données, l’interruption potentielle des affaires, l’altération ou la destruction de données, la divulgation ou diffusion de données personnelles, de même que les risques de poursuites ou de sanctions qui en découlent – sans compter les atteintes à la réputation et les pertes de marché4.

Dans le même esprit, il est primordial que le conseil d’administration connaisse les mesures existantes de gestion des incidents et s’assure qu’il soit procédé régulièrement à leur mise à l’épreuve. On parle ici d’audits réguliers, en tenant compte de la rapidité des développements technologiques, de l’évolution du cyberenvironnement et des réglementations applicables.

Ainsi, une fois que le conseil d’administration aura bien compris et identifié les risques potentiels, les administrateurs auront l’obligation de définir leurs expectatives quant aux mesures appropriées à mettre en place pour répondre à leurs préoccupations. Des politiques claires et bien articulées répondant à leurs attentes devront être mises en place et être respectées. On pourra même, dans certains cas, prévoir des sanctions en cas de non-respect.

En conclusion, alors que les cyberrisques sont au cœur des préoccupations de tout un chacun, les conseils d’administration devront s’assurer d’avoir les compétences requises et l’information pertinente, pour assister l’organisation à y faire face. Et à défaut de pouvoir compter sur des administrateurs experts en la matière, ils devront considérer consulter des experts externes. Notez que les auteurs offrent d’ailleurs des formations adaptées à leur auditoire, que ce soit une formation destinée aux membres du conseil d’administration et aux hauts dirigeants de la société, que d’autres destinées aux employés. Ils pourront par ailleurs adapter le tout à vos besoins particuliers, le cas échéant.

  Danielle Ferron, Ad. E., est associée chez Langlois avocats et est spécialisée en litige commercial général, domaine dans lequel elle œuvre depuis plus de 25 ans. Me Ferron possède une expertise particulière pour les dossiers de fraude, vol de secrets de commerce, piraterie et cybercriminalité. En plus d’être coauteure d’un ouvrage de doctrine sur l’injonction, les ordonnances Anton Piller, Mareva et Norwich, recours extraordinaires très utiles en matière de fraude et de cybercriminalité, elle est chargée de cours à l’Université de Montréal en enquête en droit civil. De plus, son parcours professionnel et ses expériences à titre de membre de divers conseils d’administration et comités de gouvernance, font d’elle une avocate conseil en matière de gouvernance. Entre autres, elle est coprésidente du conseil d’administration de Langlois avocats et siège au comité exécutif. Elle est également membre du conseil d’administration de La Financière agricole du Québec et de son comité de gouvernance, d’éthique et de ressources humaines et informationnelles. De plus, elle est membre du conseil d’administration de la Fondation Marie-Vincent, où elle occupe également le rôle de secrétaire, et siège au comité de gouvernance. Préalablement, Danielle a été membre du conseil d’administration de l’Association des femmes en finance pendant 10 ans, incluant plusieurs années à titre de vice-présidente du comité exécutif. Me Ferron agit régulièrement à titre de conférencière sur différents sujets liés au litige commercial, aux recours extraordinaires, à la fraude et à la cybersécurité.

Tommy Tremblay est associé chez Langlois avocats. Me Tremblay exerce dans tous les volets du litige commercial, mais plus particulièrement dans les domaines de la gouvernance d’entreprise (notamment en ce qui a trait à la responsabilité des administrateurs et des dirigeants), du droit de la concurrence, valeurs mobilières et défense de cols blancs, incluant les enquêtes administratives et l’interaction avec les organismes de réglementation en ces matières. Tommy collabore également à l’élaboration de programmes de conformité grâce auxquels les entreprises peuvent vérifier si leurs employés et les membres de la direction respectent les normes statutaires et exercent un contrôle diligent des activités de leur organisation. Il aide régulièrement les clients dans le cadre d’enquêtes menées par des organismes de réglementation et participe à la mise en œuvre de protocoles d’enquête interne. Tommy est formateur depuis plusieurs années au Collège des administrateurs de sociétés dans le cadre du programme de certification universitaire en gouvernance de sociétés. Il siège également sur le comité exécutif de l’Association du Barreau canadien (ABC) – Division Québec à titre de trésorier et a été élu président du comité de direction nationale de la Section Droit des affaires de l’ABC pour l’année 2018-2019. ». Il agit également comme président et administrateur de l’OBNL Avenir Parc La Fontaine.

Jean-François De Rico est associé chez Langlois avocats, où il siège sur le comité exécutif et au conseil d’administration. Me De Rico exerce sa pratique en droit des technologies de l’information et de la propriété intellectuelle, en protection des renseignements personnels, ainsi qu’en litige commercial. Il est appelé à conseiller et à agir pour des PME, des éditeurs et intégrateurs en technologies de l’information (TI), des entreprises de télécommunications ainsi que des institutions financières et organismes publics, entre dans le cadre de projets de développement d’applications logicielles, d’intégration de solutions, d’impartition de services informatiques, de migration de systèmes, d’approvisionnement en services et équipements technologiques et de transformation numérique. Il offre également ses conseils en matière de gouvernance et de conformité réglementaire, de négociation et de rédaction de contrats, d’implantation de politiques organisationnelles et de gestion d’incidents de sécurité. Me De Rico agit régulièrement à titre de conférencier sur différents sujets liés au cadre juridique des technologies de l’information, à la protection des renseignements personnels et à la cybersécurité. Il est membre de Lexing, le premier réseau international d’avocats dédié au droit des technologies, et collabore avec ses membres.
 


1 Dans l’éventualité où les administrateurs feraient défaut de remplir leur obligation de veiller à ce que les mesures appropriées soient mises en place pour prévenir les cyberrisques, ils pourraient en être tenus personnellement responsables en vertu notamment des règles de la responsabilité civile générale, mais aussi en vertu des articles 122 de la Loi canadienne sur les sociétés par actions, L.R.C. (1985), ch. C-44, 119 de la Loi sur les sociétés par actions, RLRQ, c. S-31.1, 321 et suiv. du Code civil du Québec, RLRQ, c. CCQ-1991 sur les devoirs fiduciaires des administrateurs ou encore, plus particulièrement, de l’article 93 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.
2 On parle notamment ici de propriété intellectuelle, de secrets commerciaux, de données opérationnelles et de divers renseignements personnels.
3 Le cadre juridique relatif à la gestion des données comporte plusieurs dispositions législatives, tant aux niveaux provincial que fédéral, dont : les articles 10, 17, 20 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1; les articles 31 et 52 de la Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, ch. 23 [aussi appelée la « Loi canadienne anti-pourriel »]; les articles 6, 19, 25,26 et 34 de la Loi concernant le cadre juridique des technologies de l’information, RLRQ c C-1.1; les articles 53, 63.1, 67.2 et 70.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1; les articles 3, 4.1.3, et 4.7.1 de la Loi sur la protection des renseignements personnels et sur les documents électroniques, LPRPDE (PIPEDA), LC 2000, ch. 5. Aux normes canadiennes peuvent également s’ajouter les lois et règlements de d’autres pays avec lesquels l’entreprise pourrait être en relations d’affaires.
4 À titre d’exemples, il suffit de se rappeler les préjudices subis à la suite de la perte ou du vol des données personnelles de clients par des organisations telles que Target, Ashley Madison et Equifax, ou encore le piratage du système électronique du parti démocrate américain durant la campagne présidentielle de 2016.

Flèche vers le haut Montez