Les risques technologiques évoluent sans cesse, il y a une croissance des cas de «rançongiciels» et de piratage, et les techniques d’hameçonnage sont de plus en plus sophistiquées tandis que les conséquences découlant du fait qu’un employé clique sur un lien pirate peuvent être «désastreuses», déplore Éloïse Gratton, associée et codirectrice nationale, protection de la vie privée et des données chez Borden Ladner Gervais (BLG).
Dans le cas des conseillers en services financiers, l’un des principaux enjeux tient au fait qu’ils détiennent des renseignements confidentiels concernant leurs clients, y compris des informations financières et des numéros de compte. «Des fois, il y a aussi beaucoup de données personnelles, puisqu’ils se doivent de connaître leurs clients. Ce sont des renseignements critiques et, dans les mains d’un fraudeur, ils peuvent être utilisés dans un but de vol d’identité ou pour commettre une fraude financière», prévient-elle.
Les mesures à prendre en cas de bris
Dans le document «Les 10 principaux risques juridiques en affaires pour 2018», publié en janvier 2018, BLG évoque notamment les nouvelles obligations juridiques discutées au Canada pour mieux réagir à une cyberattaque, par exemple celle de notifier ses clients et les autorités en cas de bris de la sécurité. Si le Québec n’est pas touché par cette loi fédérale, la Commission d’accès à l’information s’attend à être avisée en cas de piratage de données.
«Lorsqu’il y a un bris de sécurité, il y a tout de même infraction, parce que l’on n’a pas protégé les renseignements de manière adéquate, rappelle Éloïse Gratton. Il y a quand même, dans le Code civil, une obligation de limiter les dommages causés par notre faute. Donc, si le fait de notifier le client permet de réduire les risques de vol d’identité, c’est une obligation légale de le faire.»
Avertir ses clients permettrait de limiter les dégâts et peut les inciter à s’inscrire à un service de suivi (credit monitoring) pour voir si des demandes en matière de crédit sont effectuées en leur nom, ce qui pourrait révéler un vol d’identité.
Éloïse Gratton rappelle également qu’un bris de sécurité dans une entreprise pourrait mener à d’autres bris dans d’autres entreprises. Ce fut le cas en 2013, avec le bris ayant touché LinkedIn. «Beaucoup de clients me contactaient pour me dire qu’il y avait des vols dans leurs comptes, alors que personne n’avait accédé au système, se rappelle-t-elle. C’étaient certainement des clients qui utilisaient la même adresse courriel et le même mot de passe pour accéder à la fois à LinkedIn et à leurs comptes.»
Gérer les incidents
La meilleure façon de se protéger légalement d’une cyberattaque consiste à s’y préparer, affirme Éloïse Gratton. En prévision des changements à venir en matière d’encadrement fédéral, des entreprises mettent d’ailleurs en place des plans visant à gérer les incidents en matière de sécurité.
Ces entreprises désignent, par exemple, une équipe chargée d’informer les clients et les médias. Elles déterminent qui sera responsable de mener une enquête, et qui seront les experts externes appelés à intervenir. Les entreprises s’assurent ainsi de pouvoir gérer la situation de façon adéquate dans un court laps de temps.
Éviter les bris
Malheureusement, il n’existe pas de marche à suivre magique permettant de se protéger des cyberattaques, explique Éloïse Gratton. Les lois elles-mêmes sont rédigées en termes très larges pour leur permettre d’évoluer avec le temps. Toutefois, des mesures peuvent être mises en place pour limiter les risques de bris de sécurité.
Les entreprises devraient offrir une formation aux employés, estime-t-elle. Cela permettrait d’éveiller leur méfiance et de diminuer le nombre d’erreurs susceptibles de mener à des brèches dans la sécurité de l’entreprise. Éloïse Gratton évalue qu’environ 80 % des brèches de sécurité découlent d’actions effectuées par des employés, que ce soit par erreur ou par ignorance, et déplore le fait que, encore aujourd’hui, «trop de fautes sont commises par des employés qui cliquent sur des liens virus ou fournissent des accès qu’ils n’auraient pas dû donner».
«Les employés qui reçoivent une formation seront capables de voir que quelque chose ne tourne pas rond et de repérer les risques ou les bris de sécurité. Cela permettra de démarrer tout de suite une enquête et évitera les pertes de temps», ajoute Éloïse Gratton.
Les entreprises devraient également limiter le nombre de personnes ayant accès aux données critiques. Peut-être que tous les membres de l’équipe n’ont pas besoin d’avoir accès aux renseignements financiers et personnels de l’ensemble des clients de l’entreprise. Elle est d’avis qu’il faudrait également surveiller l’impartition dans les contrats. À cet effet, les entreprises devraient mettre en place des clauses contractuelles pour s’assurer que leurs fournisseurs de services utilisent des mesures de sécurité adéquates lorsqu’elles ont accès aux renseignements personnels d’un client.