Menu

LIVRE BLANC : Aperçu de la cybersécurité pour les conseils d’administration canadiens en 2021

Cet article a fait l’objet d’un livre blanc publié en 2021, cliquez ici pour découvrir nos derniers livres blancs.

La cybersécurité est mandataire pour les conseils d’administration puisque de nouvelles réglementations et des menaces en forte croissance poussent les organisations à discuter prioritairement du cyber risque.

Depuis janvier 2020, le coût estimé du cybercrime au Canada, y compris les individus et les entreprises, était de 3 milliards de dollars. Par la suite, la situation de la cybersécurité des entreprises a changé considérablement en raison de la pandémie. Avant mars 2020, une grande partie de l’infrastructure pour la sécurité numérique existante a été conçue pour fonctionner au bureau physique de la compagnie, à l’exception de certains employés clés qui ont été donnés l’accès sécuritaire à distance avec VPN ou par d’autres moyens technologiques.

Tout ça a changé en mars 2020, lorsque beaucoup d’entreprises devaient adopter le télétravail. À partir de novembre 2020, 64,9 % des travailleurs canadiens travaillaient à distance, selon Statistique Canada, et cette tendance devrait se poursuivre, avec les entreprises canadiennes montrant une volonté accrue de permettre leurs employés de travailler à domicile pour « l’après pandémie ».

Le changement vers le télétravail est arrivé alors que les dirigeants commençaient à être à l’aise avec les solutions infonuagiques, malgré quelques personnes qui pensaient encore que le terme « infonuagique » était incertain et risqué. « Les responsables des technologies de l’information doivent assurer que leurs équipes de sécurité ne retiennent pas les initiatives infonuagiques à cause des craintes non fondées concernant la sécurité », dit Jay Heiser, vice-président analyste à Gartner. « Des inquiétudes exagérées peuvent entraîner des occasions perdues et des dépenses inopportunes. »

Il y a un mythe que la technologie infonuagique est intrinsèquement dangereuse, car les données ne sont pas sauvegardées sur un dispositif physique que la compagnie peut contrôler. Ces inquiétudes non fondées sont basées sur les histoires dans les médias à propos du piratage informatique à grande échelle qui se produit souvent par de fausses campagnes courriel. Ces types d’attaques n’ont rien à faire avec l’endroit où les données sont conservées, plutôt comment elles sont consultées. Dans plusieurs cas, des piratages informatiques hauts profils, dont l’attaque en 2019 de LifeLabs, se seraient produits quel que soit l’emplacement du serveur.

AUGMENTATION DES RISQUES DANS LE PAYSAGE CANADIEN DE LA CYBERSÉCURITÉ

En plus de faire une transition vers le mode « infonuagique », les entreprises devaient affronter une augmentation des risques dans le secteur de la cybersécurité au début de la pandémie. Les pirates informatiques ont justement vu une occasion avec tous les employés qui travaillaient maintenant à distance, surtout dans des secteurs sensibles dont financier, santé, et gouvernemental.

Le Centre canadien pour la cybersécurité est une nouvelle agence créée par le gouvernement canadien pour combattre de telles menaces, et éduquer le public et les entreprises. Leur rapport, « Évaluation des cybermenaces nationales 2020 », a une liste de résultats clés auxquels les conseils devraient porter attention :

  • Le cybercrime continue d’être la menace la plus probable qui nuira aux entreprises canadiennes
  • Les logiciels rançonneurs continueront à cibler les larges entreprises et fournisseurs d’infrastructure ; le montant moyen de rançon pendant le premier quart de 2020 était de 150 000 $
  • Le nombre d’auteurs de cybermenaces augmente, et ils deviennent de plus en plus sophistiqués
  • Des acteurs sous l’égide des états continueront l’espionnage industriel
  • Les fournisseurs d’infogérance sont les victimes visées préférées des auteurs de cybermenaces

DES CHANGEMENTS RÉGLEMENTAIRES S’EN VIENNENT AU CANADA EN 2021 POUR LES LOIS DE CONFIDENTIALITÉ DES DONNÉES

Les lois de confidentialité des données sont inévitablement liées à la cybersécurité. Une stratégie de cybersécurité et une bonne exécution font partie des mesures proactives nécessaires pour garantir qu’une entreprise n’est pas punie par de lourdes amendes s’il y a une atteinte à la protection des données. Comme telle, la cybersécurité n’est pas juste pour protéger les données sensibles, mais aussi pour gérer les risques réglementaires potentiels.

Plusieurs règlements en matière de la protection des données régissent les affaires au Canada, mais celui auquel prêter attention en 2021 est la Loi sur la mise en œuvre de la Charte du numérique. Tandis qu’elle est dans la phase d’avant-projet d’une loi depuis le mois de décembre 2020, elle est prévue d’entrer en vigueur en 2021.

La nouvelle Loi fera en sorte que les lois de confidentialité des données canadiennes soient conformes avec ceux d’autres pays et ressorts territoriaux, notamment le Règlement général sur la protection des données (RGPD), en matière des amendes faramineuses que les entreprises peuvent subir si les données personnelles des clients ne sont pas protégées suffisamment et les clients ne sont pas avertis d’une atteinte à la protection des données. En fait, la nouvelle Loi impose des contraventions plus sévères que ceux du RGPD, avec des amendes maximales de cinq pour cent (5%) du revenu global d’une entreprise, ou 25 millions de dollars, selon le montant le plus élevé. Borden Ladner Gervais LLP décrit comment cette nouvelle loi affectera les entreprises canadiennes, étape par étape.

De plus, les compagnies devront utiliser du langage simple et clair au lieu du jargon juridique volubile dans leurs accords pour pouvoir utiliser des données personnelles.

Le paysage de la cybersécurité et de réglementation présente un défi continu qui doit être pris en considération lorsqu’un conseil d’administration participe à créer la stratégie de cybersécurité pour l’entreprise en 2021.

LE RÔLE DU CONSEIL POUR LA PLANIFICATION ET LA RÉALISATION DE LA STRATÉGIE DE CYBERSÉCURITÉ

Le sondage « 2020 EY Global Information Security Survey » a constaté que 34 % des entreprises canadiennes interrogées n’ont pas entièrement articulé leurs cyberrisque, comparé à 16 % pour les entreprises mondiales interrogées. 43 % des conseils chez les entreprises canadiennes interrogées ne peuvent pas quantifier les cyberrisques en termes financiers.

Yogen Appalraju, Leader national en cybersécurité chez EY Canada, précise sur la façon dont les équipes de cybersécurité devraient communiquer avec le conseil : « Les équipes de cybersécurité doivent apprendre à parler la langue du conseil pour mieux communiquer la gravité et l’impact sur l’entreprise pour divers risques. Plus d’éducation et d’engagement parmi ce groupe devrait se propager dans l’entreprise et accroître la sensibilisation, tout en aidant à garantir l’appui pour le financement et les ressources nécessaires pour répondre aux menaces croissantes. »

Tandis qu’il est important de quantifier les risques en termes financiers, le conseil d’administration devrait avoir une vision globale des cyberrisques et du plan stratégique de leur entreprise.

QUEL EST LE RÔLE PRÉCIS DU CONSEIL POUR LA PRISE DE DÉCISIONS CONCERNANT LA CYBERSÉCURITÉ ?

Le grand devoir du conseil d’administration est envers les parties prenantes et les investisseurs.

Si ce n’est pas déjà fait, il devra aussi mettre à l’agenda une discussion sur la gestion des risques. Le conseil d’administration devra s’assurer que la compagnie a une stratégie de cybersécurité solide en place et alloué un budget au cyber risque.

Il y a diverses façons dont un conseil d’administration peut aider à atteindre cet objectif, et le premier est de former un comité de cybersécurité.

Cela peut inclure la haute direction, le responsable de la sécurité de l’information, le département juridique, des représentants TI et les meilleurs experts en cybersécurité de l’entreprise. Des présentations régulières du comité au conseil d’administration garantiront le transfert d’information de l’exposition au cyberrisque à l’entreprise.

Veillez à ce que les mesures soient présentées par le comité, peut-être dans les rapports du conseil d’administration.  Ces rapports devraient attribuer des valeurs monétaires aux cyber risques afin que le conseil d’administration reçoit de façon claire et précise, les données financières liées au cyber risque.

Cette stratégie devra être incluse dans le profil de gestion du risque de l’entreprise.

Le comité devrait aussi jouer un rôle majeur dans la création d’une stratégie de cybersécurité annuelle, qui est révisée chaque trimestre pour l’efficacité et l’analyse des indicateurs clés de performance.

LA SUITE DILITRUST GOVERNANCE : UNE SOLUTION FIABLE

DiliTrust est la solution qui respecte le plus haut standard de sécurité et met en place les bonnes pratiques de gouvernance. Elle accompagne la majorité des entreprises au niveau mondial. Le service à la clientèle est bilingue (Français et anglais) avec un bureau local, situé à Montréal.

Contactez DiliTrust aujourd’hui pour une présentation de la suite DiliTrust Governance, nous croyons qu’elle peut faire une belle différence pour votre organisation.

FACILE À UTILISER

Optimisez la gestion de vos réunions avec une solution simple et facile d’utilisation.

Offert en mode SaaS, l’équipe de DiliTrust vous accompagne pour l’installation de la suite DiliTrust Gouvernance. Par exemple, avec le module « numérisation des instances », la mise en place est rapide simple et une formation pour vos membres du Conseil d’administration est offerte en tout temps.

Avec sa fonctionnalité claire, son aperçu intuitif, et son interface simple, le module numérisation des instances permet une organisation optimale et sans tracas de vos réunions.   

SUPER SÉCURITAIRE

Accédez à vos données sensibles et conversez vos informations dans un environnement sécuritaire.

Mettez en place d’une plateforme qui est conforme aux standards de sécurité de l’information. DiliTrust applique les normes de sécurité dans les plus hauts standards sur le marché.

Vos données sont hébergées sur des serveurs locaux et suivent les normes ISO 27001. Gérez l’accès aux données confidentielles avec la tranquillité d’esprit.

COMMUNICATION SIMPLE

Créez des canaux de communication fluides avec le module numérisation des instances.

Gagnez du temps et passez au mode virtuel pour l’accès aux documents clés pour l’organisation de vos réunions du conseil d’administration et de vos comités.

Sauvegardez, partagez, et autorisez des modifications peu importe votre localisation. Recueillez des votes en ligne, suivez les annotations, et faites des annonces officielles après des décisions en restant dans une seule plateforme afin d’uniformiser votre travail.

ASSISTANCE 24 HEURES SUR 24, FORMATION ILLIMITÉE

Obtenez la tranquillité d’esprit

Afin de vous garantir le meilleur service, notre équipe du Service Client/Customer Success est disponible 24/7 pour vous offrir des solutions pertinentes au quotidien. De plus, notre grande équipe peut vous accompagner et vous enseigner à propos de l’utilisation de l’outil.

À PROPOS DE DILITRUST

Fournisseur de solutions technologiques depuis plus de 25 ans, DiliTrust offre une gamme complète de solutions et de services dédiés à la gouvernance d’entreprise et au partage sécurisé de données sensibles et confidentielles.

Reconnu pour son savoir-faire et son expertise dans son domaine, DiliTrust s’engage chaque jour auprès de ses 1600 clients dans 50 pays pour accompagner leurs dirigeants dans l’atteinte de leurs objectifs en matière de conformité aux réglementations, d’efficacité opérationnelle, de transparence et de communication juridique et financière.