Perspectives

Déclaration obligatoire des atteintes à la sécurité des données

Êtes-vous prêt?

Les organisations qui gèrent des renseignements clients – comme les détaillants, les banques, les compagnies aériennes, les sociétés de marketing et les entreprises privées – pourraient bientôt être exposées à un risque plus élevé de recours collectifs liés à la protection de la vie privée et à une hausse des coûts de gestion des atteintes à la sécurité des données. C’est que le régime de déclaration obligatoire des atteintes à la sécurité des données entrera en vigueur à l’automne 2017.

Tout d’abord mentionnée dans la Loi sur la protection des renseignements personnels numériques de 2015, quand le gouvernement canadien a modifié la loi fédérale existante sur la protection des renseignements personnels dans le secteur privé (LPRPDE), la déclaration obligatoire exigera que les organisations avisent les personnes touchées, de même que le Commissariat à la protection de la vie privée du Canada, de toute atteinte à la sécurité des données qui crée « un risque réel de préjudice grave à l’endroit d’un individu ». Elles devront le faire « le plus tôt possible » sans quoi elles s’exposeront à des amendes pouvant aller jusqu’à 100 000 $, ou — pire — à une atteinte à la réputation, si un client touché porte plainte ou si la nouvelle de l’incident est diffusée par un journaliste traitant de sécurité comme Brian Krebs.

Un « préjudice grave » peut inclure l’humiliation, l’atteinte à la réputation ou aux relations et le vol d’identité. Même si les entreprises seront libres de déterminer à quelle vitesse elles signaleront une atteinte, elles seront obligées de le faire. Elles devront aussi fournir sur demande au commissaire à la protection de la vie privée un document consignant tous les incidents de sécurité.

Si les organisations ne se conforment pas aux exigences, le commissaire à la protection de la vie privée aura le pouvoir de publier les atteintes à la sécurité des données, brandissant ainsi le spectre des recours collectifs. Compte tenu des répercussions éventuelles de la non-conformité, les organisations de toute taille examinent maintenant les mesures qu’elles doivent prendre pour mettre en œuvre et tester des programmes appropriés de surveillance des incidents, d’intervention en cas d’incident et de communication avec les personnes touchées.

Être prêt est la seule stratégie

Bien que chaque organisation ait des besoins différents, la première étape vers la conformité est de prendre un ensemble d’actifs et d’évaluer quels renseignements pourraient être la cible d’une attaque. La deuxième étape consiste à évaluer les capacités de cybersécurité existantes pour voir où elles se situent par rapport aux nouvelles exigences.

Même si ces exigences ne modifieront probablement pas les besoins de base d’une entreprise en cybersécurité, elles hausseront toutefois les risques pour les entreprises dont les systèmes en place ne sont pas suffisants. Cela devrait donc encourager ces entreprises à prendre dès maintenant les mesures nécessaires.

Les petites et moyennes entreprises ayant des ressources limitées devraient chercher conseil auprès d’un expert afin d’évaluer leurs actifs et d’élaborer un cadre de sécurité et un plan d’intervention en cas d’atteinte à la sécurité appropriés. Pour les organisations de plus grande envergure, une assurance responsabilité en cybersécurité pourrait être un bon choix si l’on tient compte de l’ensemble des coûts que peut entraîner une intervention en cas d’atteinte à la sécurité des données. À mesure que davantage de données actuarielles sur les cyberfailles deviennent accessibles, ce type d’assurance devient de plus en plus possible. Déjà près d’un tiers des entreprises américaines possèdent une forme d’assurance couvrant les risques liés à la cybersécurité. Les assureurs canadiens offrent aussi plusieurs polices, telles qu’une couverture en cas d’extorsion de réseau et un fonds en cas de violation des données pour couvrir les dépenses comme la consultation d’un cabinet de juricomptabilité informatique à la suite d’une attaque.

Cela étant dit, l’assurance seule n’est pas suffisante. Les entreprises de toute taille devraient aussi prendre des mesures préventives avant l’entrée en vigueur de la déclaration obligatoire, dont les suivantes :

  • Acquérir une bonne compréhension de leur profil en ligne et des groupes dont elles pourraient être la cible par l’intermédiaire des médias sociaux ou d’autres canaux numériques;
  • Faire appel à un tiers pour la gestion des incidents et l’intervention en cas d’incident;
  • Retenir les services d’un cabinet indépendant pour la gestion de crise et l’intervention en cas d’incident;
  • Tenir des exercices pratiques afin de s’assurer que l’organisation possède les compétences nécessaires pour intervenir efficacement en cas d’incident;
  • Mettre en œuvre et tenir à jour des mécanismes de surveillance et de signalement pour consigner toutes les attaques aux fins de conformité avec les nouveaux règlements stricts en tenue de livres.

Une stratégie d’intervention coordonnée

Puisque le milieu des cybermenaces évolue, les stratégies d’intervention en cas d’atteinte à la sécurité des données des organisations doivent évoluer elles aussi. Afin d’atténuer efficacement les cyberrisques complexes, les organisations doivent adopter une approche proactive qui est orchestrée et exécutée avec fluidité – une approche qui transforme un processus multifacette en une seule réponse cohérente.

Pour élaborer ce type de stratégie de « réponse unique », les organisations doivent coordonner les interventions de leurs différentes équipes, y compris celles des services juridiques, de la protection de la vie privée, de l’assurance, de la cybersécurité et de la juricomptabilité. En travaillant de façon cohérente, ces équipes devraient pouvoir traiter l’éventail complet des cyberrisques auxquels leur organisation est exposée, y compris la gestion des cyberincidents, la préservation de la preuve et l’intervention en cas d’incident.

Grâce à une approche proactive et coordonnée, les organisations peuvent gérer l’exigence de déclaration obligatoire avec aisance sans encaisser de coup.

Pour en savoir plus sur la préparation à la déclaration obligatoire des atteintes à la sécurité des données, veuillez communiquer avec Robert Masse ou Sylvia Kingsmill.

Avez-vous trouvé ceci utile?