Cette version finale, qui est le fruit des modifications apportées au projet initial après les commentaires recueillis entre le 23 janvier et le 31 mars 2023, devrait aider les personnes et secteurs réglementés par l’ARSF à mieux gérer les menaces liées aux TI pour leurs systèmes, leur infrastructure et leurs données informatiques.

Dans celle-ci on retrouve notamment sept pratiques pour une gestion efficace des risques liés aux TI; un processus pour avertir l’ARSF en cas d’incident ainsi que des exigences sectorielles visant les caisses, les compagnies d’assurances constituées en Ontario et les assureurs réciproques ainsi que les administrateurs de régimes de retraite.

Parmi les changements apportés par rapport à la ligne directrice initiale, on notera :

• une modification de la date d’entrée en vigueur : celle-ci a été repoussée à avril 2024 (au lieu de juin 2023);
• une mise à jour dur délai de signalement d’un incident : il est maintenant demandé de rapporter l’incident « dès que possible, généralement dans un délai de 48 à 72 heures »;
• et davantage de souplesse dans la façon d’informer l’ARSF d’un incident important, notamment au moyen d’un portail sécurisé.

À noter que malgré ces lignes directrices, les entités réglementées sont tenues de respecter les exigences existantes concernant les risques liés aux TI et la protection des renseignements personnels, notamment les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques.

L’article Mieux protéger les consommateurs contre les risques liés aux TI est apparu en premier sur Finance et Investissement.

Comme son nom l’indique, cette loi prévoit des obligations concernant la protection des renseignements personnels qui s’imposent sur les organismes publics ainsi que sur les entreprises du secteur privé faisant affaire au Québec, que leurs activités soient ou non à caractère commercial. Par ce fait, elle modernise le cadre législatif afin de l’adapter aux différents enjeux de la réalité technologique d’aujourd’hui.

La Loi 25 donne davantage de contrôle et d’information aux individus en plus de bonifier les règles entourant le consentement quant au partage des renseignements personnels. Cette loi oblige par ailleurs les entreprises à adopter et à mettre en œuvre de bonnes pratiques visant à assurer la protection des renseignements personnels.

Cadre général d’application de la Loi sur le secteur privé

Tout d’abord, il importe de bien définir certains termes employés dans la Loi sur le secteur privé afin d’avoir une meilleure compréhension du présent texte et des différents concepts abordés.

La notion de « renseignement personnel » est évidemment au cœur de la Loi sur le secteur privé. Elle est définie comme étant « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier ». La Loi 25 apporte la modification de la définition par l’ajout du passage « directement ou indirectement », lequel entrera en vigueur le 22 septembre 2023. De manière générale, il est interdit de communiquer un renseignement personnel sans le consentement de la personne concernée.

La « personne concernée », quant à elle, fait référence à toute personne sur laquelle un organisme ou une entreprise détient des renseignements personnels. Il peut s’agir, par exemple, de clients, fournisseurs, employés, consultants et entrepreneurs indépendants, etc.

S’inspirant des lois fédérales et internationales ainsi que des recommandations émises dans les rapports de la Commission d’accès à l’information, la Loi 25 a pour objectif de définir « un encadrement moderne, évolutif et équilibré », surtout en matière de transactions commerciales. Le législateur, lors de la rédaction de cette loi, s’est efforcé de trouver un équilibre entre deux enjeux importants, soit un désir de mieux protéger et de contrôler les renseignements personnels et une volonté de ne pas accabler les organismes avec les nouvelles obligations (QUÉBEC, Assemblée nationale, Journal des Débats de la Commission des institutions, 1^re sess., 42^e légis., 22 septembre 2020, « Consultations particulières et auditions publiques sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », 15h00 (M. Jolin-Barrette)).

Application de la Loi lors des transactions commerciales

Avant la réforme de la Loi sur le secteur privé

Sous la version antérieure de la Loi sur le secteur privé, tout consentement pour la collecte, l’utilisation ou la communication des renseignements personnels à un tiers devait être donné de manière manifeste, libre, éclairée et seulement à des fins précises. Bien qu’il existât quelques exceptions où il était possible de communiquer des renseignements personnels sans le consentement de la personne concernée, la dérogation quant à l’obtention du consentement ne s’appliquait qu’à des cas spécifiques. Aucune exemption portant sur les transactions commerciales n’était prévue, donc le régime général nécessitant le consentement exprès était de rigueur.

De plus, la notion de consentement implicite n’existait pas sous la Loi sur le secteur privé. En vertu des exigences énoncées par l’article 14, « il en ressort que tout consentement donné doit être explicite et ne peut être implicitement sous-entendu » (Antoine AYLWIN et Karl DELWAIDE, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec », S.F.C.B.Q., Développements récents en droit des affaires, Cowansville, Éditions Yvon Blais, 2005). Seuls les consentements exprès sont alors valides. En pratique, requérir et obtenir le consentement de chaque personne pouvait devenir un obstacle aux entreprises qui négocient entre elles. Il était ardu lors d’une transaction commerciale, pour un vendeur diligent, d’obtenir le consentement de toutes les personnes concernées avant de divulguer des renseignements personnels.

En raison du fait que la Loi sur le secteur privé entraînait de nombreux problèmes liés à la gestion de renseignements personnels dans le cadre de transactions commerciales, une modification était nécessaire pour y prévoir des exceptions.

Après la réforme de la Loi sur le secteur privé

La Loi 25 prévoit plusieurs modifications à la Loi sur le secteur privé, dont l’article 18.4 en matière de transactions commerciales. Cet article prévoit une exception à la communication de renseignements personnels et à l’obtention du consentement de la personne concernée dans le cadre d’une transaction commerciale, pourvu que les conditions y étant énoncées soient évidemment respectées. L’article 18.4, alinéa 1 est entré en vigueur en septembre 2022 et indique notamment :

« D’abord, la transaction en question doit constituer une “transaction commerciale” conformément à l’article.

• Ensuite, la communication des renseignements doit être qualifiée de “nécessaire” pour la conclusion de la transaction.
• Enfin, les parties à la transaction doivent préalablement conclure une entente imposant les quatre conditions énumérées à l’alinéa 2 de l’article 18.4 pour la partie qui reçoit les données. »

La définition d’une transaction commerciale

La « transaction commerciale » a une définition différente dans les lois sur la protection des renseignements, selon les juridictions. Sa définition dans le projet de loi était plus restrictive que celle du fédéral et des autres provinces. Elle a donc été élargie afin d’inclure « l’aliénation ou [de] la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, [d’] une modification de sa structure juridique par fusion ou autrement, [de] l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou [d’] une sûreté prise pour garantir une de ses obligations » (nos modifications).

La notion de nécessité

Selon le Dictionnaire de droit québécois et canadien d’Hubert Reid, la notion de nécessité « se dit d’une condition, d’un moyen que la loi impose pour la validité d’un acte » et fait donc référence à ce qui est « indispensable, dont on ne peut se passer ».

Dans le cadre des transactions commerciales, les renseignements personnels qui sont nécessaires varient selon la nature et les circonstances entourant la transaction en cause. On peut alors penser aux informations qui sont nécessaires pour permettre de mener à bien une vérification diligente, ou encore, pour permettre les représentations et les garanties faites par un vendeur, à titre d’exemple.

La notion de « mesures nécessaires »

Afin que l’entente conclue entre les parties soit valide selon l’article 18.4, elle doit prévoir, comme une des conditions d’application, que la partie qui recevra les renseignements personnels prenne « les mesures nécessaires pour assurer la protection du caractère confidentiel du renseignement ».

Les politiques et les pratiques visant à assurer la protection de ces renseignements doivent « être proportionnées à la nature et à l’importance des activités de l’entreprise ». Différents exemples de mesures de protection existent alors selon l’étape du cycle de vie d’un renseignement personnel.

La destruction des renseignements personnels

Selon la nouvelle version de la Loi sur le secteur privé, un renseignement personnel doit être détruit par la personne qui l’a reçu dès qu’une transaction commerciale n’est pas conclue ou si son utilisation n’est plus nécessaire aux fins de la conclusion de la transaction commerciale. Or, cette loi est silencieuse quant à la façon de procéder. Les autres lois en matière de protection de renseignements personnels ou bien les normes ISO sont alors d’excellentes sources d’inspiration.

Selon nous, il est nécessaire de s’assurer que les informations soient bien organisées et cataloguées de manière à permettre leur identification et leur destruction. Les normes de destruction peuvent varier en fonction de la sensibilité des informations et de la manière dont elles sont stockées. Des registres doivent être mis en place pour aider l’entreprise à identifier les informations en sa possession et à enregistrer leur destruction.

Selon la Commission d’accès à l’information du Québec, pour les documents en format papier contenant des données personnelles, la méthode de destruction appropriée est le déchiquetage et l’incinération. Quant au Commissaire à l’information et à la protection de la vie privée de l’Ontario, si les documents sont sur un média numérique, ils doivent faire l’objet d’un formatage, d’une réécriture et d’une suppression électronique sécurisée, aussi connu sous le nom de déchiquetage numérique. Enfin, l’élimination des documents doit inclure une preuve de destruction.

Les obligations à la suite de la conclusion de la transaction

Dans la nouvelle version de la Loi sur le secteur privé, le législateur indique les obligations à suivre lorsque la transaction commerciale est conclue. Une des obligations est d’aviser la personne concernée dans un délai raisonnable que la partie détient des renseignements personnels la concernant en raison de la transaction. Il importe alors de déterminer ce que signifie un délai raisonnable.

Encore une fois, la Loi sur le secteur privé n’indique pas quel est le délai approprié pour informer la personne concernée à la suite d’une transaction.

Nous croyons donc qu’il est possible de s’inspirer d’autres dispositions de la même loi. À l’article 32, un autre article modifié par l’entremise de la Loi 25, il est indiqué qu’une personne qui fait une demande d’accès ou de rectification doit recevoir une réponse au plus tard dans les 30 jours de la date de réception de la demande. Par analogie, nous pouvons penser que si un délai de 30 jours est raisonnable pour recevoir une réponse à une demande d’accès à l’information, ce même délai serait également raisonnable pour informer les personnes concernées à la suite d’une transaction commerciale.

Conclusion

L’entrée en vigueur de la Loi 25 en matière de protection de renseignements personnels apporte non seulement une plus grande protection pour la population québécoise, mais aussi beaucoup de nouvelles obligations pour les entreprises. Ces dernières, ayant une grande incitative à bien protéger les renseignements personnels de leurs clients et de leurs employés, devront alors rapidement se conformer et adapter leurs pratiques actuelles afin d’assurer une plus grande protection des données personnelles qu’ils auront en leur possession ou qu’ils traiteront.

En matière de transactions commerciales, toutefois, la Loi 25 amène un système d’exceptions qui fera le bonheur des professionnels du droit et des entreprises.

Par Guillaume Lapierre, avocat, Associé, Therrien Couture Joli-Cœur s.e.n.c.r.l., Guillaume.Lapierre@groupetcj.ca

et Mélissa Pelletier, avocate, Associée, Directrice – Groupe de droit des affaires, Therrien Couture Joli-Cœur s.e.n.c.r.l., Melissa.Pelletier@groupetcj.ca

Les auteurs tiennent à remercier M^me Heting Xu, stagiaire en droit au cabinet, pour sa contribution à la recherche et à la rédaction du présent article.

Ce texte a été publié initialement dans le magazine Stratège de l’APFF, vol. 28, n^o 2 (Été 2023).

L’article L’impact de la protection des renseignements personnels est apparu en premier sur Finance et Investissement.

C’est le 22 septembre prochain qu’entrera en vigueur la seconde phase de la Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois.

Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.

Chaque entreprise sera alors tenue de respecter de nouvelles obligations. Parmi celles-ci :

* adopter ou mettre à jour des politiques et des pratiques encadrant la gouvernance des renseignements personnels;

* prévoir l’encadrement applicable à la conservation, la destruction et l’anonymisation des renseignements personnels;

* se munir d’un processus de traitement des plaintes;

* publication d’informations concernant les politiques et procédures sur le site web;

* réalisation d’Évaluations de Facteurs relatifs à la Vie Privée (EFVP) pour certains traitements de renseignements personnels;

* modification des paramètres du consentement; destruction et anonymisation de renseignements personnels;

* transfert de renseignements personnels à l’extérieur du Québec et enfin, la mise en place d’un processus de destruction ou d’anonymisation, afin de mettre en œuvre la désindexation.

Un premier lot d’obligations est entré en vigueur le 22 septembre 2022.

Prospérer en cas de vol de données !

La résilience organisationnelle est définie comme : « la capacité d’une organisation à anticiper, à se préparer, à réagir et à s’adapter aux changements progressifs et aux perturbations soudaines afin de survivre et de prospérer ».

Une organisation résiliente s’appuie sur trois axes principaux dans sa manière d’opérer, à savoir : l’adaptabilité stratégique, le leadership flexible et la gouvernance robuste qui se définit comme la responsabilisation à travers les structures organisationnelles, basés sur une culture de confiance, de transparence et d’innovation, en s’assurant que les entreprises restent fidèles à leur vision et à leurs valeurs.

Gestion de crise

Comme le mentionnait Christophe Roux-Dufort dans un article : « Continuité, anticipation et résilience semblent devenir aujourd’hui le trio incontournable de la gestion de crise après une longue période où l’essentiel des préoccupations a été de mettre sur pied les fondamentaux. La nature des crises a changé et ces fondamentaux ne permettent plus d’absorber les crises telles qu’elles se présentaient dans les années 80 et 90 au moment où cette discipline a commencé à prendre son envol. Nous travaillons aujourd’hui avec des outils qui ont vieilli et qui ne sont pas toujours adaptés au traitement des crises modernes. Paradoxalement, la gestion de crise doit abandonner l’idée de gérer l’incontrôlable et l’ingérable pour s’ouvrir sur d’autres priorités à présent : accroître l’acuité des organisations et leurs capacités à résister aux chocs organisationnels imprévus. Ce sont les principales directions d’ores et déjà prises par les professionnels qui renouvelleront sans aucun doute l’intérêt et les contributions à l’intérieur de ce domaine en mal de nouveautés depuis quelques années. L’anticipation et la résilience se manifestent aux deux extrêmes du processus de gestion de crise, très en amont pour l’anticipation et en aval pour la résilience. Pour autant, ces deux priorités sont intimement liées tant l’anticipation et la prévention des crises devraient avoir pour rôle de jeter très tôt au sein des entreprises les bases organisationnelles, collectives et individuelles de la résilience au choc ».

En somme, la gestion de crise est un processus continu qui nécessite une planification et une préparation adéquates pour minimiser les risques et les impacts sur l’entreprise et ses parties prenantes.

L’article Gestion de crise et résilience organisationnelle est apparu en premier sur Finance et Investissement.

Le coût moyen pour les entreprises d’une atteinte à la cybersécurité au Canada en 2023, selon une enquête réalisée par le géant mondial IBM auprès de 26 organisations victimes, est de 6,94 millions $, soit en légère baisse par rapport aux 7,05 millions $ de l’an dernier. Le montant moyen est malgré tout le deuxième plus élevé de l’histoire de neuf ans de cette étude.

En plus des coûts techniques, juridiques et de relations publiques encourus par les entreprises dans la foulée de tels incidents, le rapport montre que les organisations victimes d’une cyberattaque passent un temps considérable à réparer les dégâts.

Selon IBM, il faut en moyenne 215 jours aux entreprises pour identifier et contenir une violation de données. Cela signifie que de nombreuses entreprises passent une bonne partie de l’année à gérer les retombées d’une cyberattaque réussie.

« En réalité, le processus de nettoyage est très long, a observé Chris Sicard, responsable des conseils de sécurité chez IBM Canada. Une fois que vous faites face à une attaque et que vous travaillez pour contenir cette brèche — même si elle n’est plus dans le cycle de l’actualité — il y a énormément d’investissements et de travail qui sont nécessaires pour s’assurer que cela ne se reproduise plus jamais. »

Le rapport d’IBM fait suite à une série d’incidents qui ont fait les manchettes des médias au Canada. Le libraire Indigo, l’épicier Sobeys, le producteur de pétrole et de gaz naturel Suncor Énergie et l’hôpital pour enfants SickKids de Toronto ont tous reconnu publiquement avoir été victimes de cybercriminalité dans la dernière année.

Les cibles préférées des cyberpirates

Selon le rapport d’IBM, les cybercriminels — en particulier ceux qui ont recours à des rançongiciels — ont davantage tendance à s’en prendre aux entreprises et aux industries qui ont peu ou pas de tolérance pour les temps d’arrêt, et qui sont plus susceptibles de payer une rançon rapidement afin de remettre leurs systèmes en marche dès que possible.

Le rapport précise que les services financiers et les sociétés énergétiques sont les principales cibles de la cybercriminalité, le secteur financier subissant en moyenne près de 12 millions $ de dommages par attaque, et le secteur de l’énergie déboursant 9,37 millions $ en moyenne.

Des incidents très médiatisés qui font l’actualité — comme l’attaque par rançongiciel de 2021 contre Colonial Pipeline aux États-Unis, qui a forcé un arrêt temporaire des activités du pipeline — ont sensibilisé le public à la menace de cybersécurité qui existe.

Et il y a probablement beaucoup plus d’entreprises victimes de cyberattaques dont nous ne savons rien, a souligné M. Sicard.

« Tout le monde ne révèle pas qu’il a eu un cyberincident ou qu’il a été compromis. Et cela fait partie du problème, a-t-il affirmé. On peut dire que nous ne faisons pas encore un bon travail de partage et de soutien mutuel. »

Répercuter les coûts aux clients

Le rapport d’IBM suggère également que plus de la moitié des entreprises piratées choisissent de répercuter les coûts d’un incident de cybersécurité sur les clients en augmentant les prix, plutôt que d’investir dans une cybersécurité supplémentaire.

Mais même les entreprises intelligentes qui investissent dans le chiffrement, l’intelligence artificielle et d’autres outils pour protéger les données sensibles des entreprises et des clients ne font pas bouger l’aiguille de manière aussi importante que M. Sicard le souhaiterait. Selon lui, le coût moyen pour les entreprises canadiennes d’une violation de données a augmenté de plus de 1,5 million $ depuis qu’IBM a commencé son enquête en 2015.

Une partie de la raison pour laquelle les retombées financières de la cybercriminalité continuent de croître, a estimé M. Sicard, est que les cybercriminels deviennent de plus en plus sophistiqués.

« Ils ont le même accès à la technologie que nous. C’est juste qu’ils l’utilisent pour le mal plutôt que pour le bien », a-t-il souligné.

Il existe également plus de points d’entrée pour les pirates que jamais auparavant, car les entreprises transfèrent de plus en plus de données sensibles vers le nuage, et la tendance au télétravail augmente le risque d’une violation par l’entremise de l’appareil mobile d’un employé individuel.

La guerre en Ukraine et les tensions géopolitiques qui en résultent ont également accru le risque que des pirates informatiques parrainés par l’État tentent de pénétrer dans des infrastructures critiques à des fins de sabotage ou d’espionnage.

« J’aimerais être optimiste, mais je pense que ça va empirer avant de s’améliorer », a affirmé M. Sicard.

Il a ajouté qu’il pensait que la plupart des grandes entreprises devraient « accepter » le fait qu’il y a une bonne probabilité qu’elles deviennent un jour victimes de la cybercriminalité. Néanmoins, investir dans des éléments tels que la formation des employés et la détection des menaces peut réduire ces risques, a-t-il indiqué.

« Il y a des choses que les entreprises peuvent et doivent faire pour réduire leur risque d’être victimes. »

L’article Cyberpiratage : le coût moyen par attaque atteint près de 7 M$ est apparu en premier sur Finance et Investissement.

Les différentes affaires de fuites de données qui se sont produites ces dernières années ne semblent pas avoir écorné l’image des banques auprès des consommateurs.

Ainsi, 80 % des Canadiens se disent à l’aise et satisfaits des services bancaires numériques de leur banque, et 64 % leur font confiance pour gérer leurs données personnelles, indique un sondage de GFT Canada.

Un Canadien sur deux (50 %) est même prêt à accorder sa confiance à sa banque au point d’accepter de lui partager ses données si cela lui permet de réaliser des économies.  Ce partage de données intéresse aussi les Canadiens si cela leur permet de recevoir davantage de services.

C’est que les consommateurs canadiens sont une minorité (35 %) à considérer que leur banque leur fournit actuellement des services utiles sur leurs dépenses.

Aussi, près d’un Canadien sur deux (43 %) se dit enclin à laisser sa banque partager ses données en échange de meilleures offres de services. Et un Canadien sur trois (32 %) accepterait de partager ses données en échange de conseils personnalisés en matière de services financiers.

Pourtant, l’intérêt des Canadiens envers les services bancaires numériques demeure limité. Seuls 14 % d’entre eux…

Lire la suite via Conseiller.ca

L’article Partage de données personnelles auprès des banques est apparu en premier sur Finance et Investissement.

Rien ne sert d’attendre au Nouvel An pour prendre de bonnes résolutions. Elles peuvent se prendre durant toute l’année. Dans un contexte de croissance continue des incidents liés à la cybersécurité que l’on observe partout sur la planète, et dont les premières victimes proviennent régulièrement du secteur financier, la communication de crise doit trouver sa place dans chacune des organisations.

Entendons-nous bien ! il n’est pas question ici d’une communication de base et préformatée. Les entreprises en gestion de crise, qui sont autant familiers avec les milieux informatiques que journalistique, sont rares au Québec. Et je sais de quoi je parle, puisque, Dieu merci, je fais partie de cette rareté. Si, de prime abord, nous sommes considérés comme une dépense, au bout d’une semaine, notre statut d’alliés de l’entreprise n’est plus sujet à débat !

Hausse de cyberattaques

Le Canada connaît une hausse de cyberattaques et le contexte pandémique (COVID-19) a accentué cette tendance.  L’Autorité canadienne pour les enregistrements Internet (ACEI) révélait dans son Rapport sur la cybersécurité de 2020 que près de trois organisations sur 10 ont constaté un pic dans le nombre d’attaques survenues pendant la pandémie.

Statistiques Canada révélait pour sa part en 2020 que 21 % des entreprises canadiennes avaient déclaré avoir été touchées par des incidents de cybersécurité. On indique dans ce même rapport que les entreprises canadiennes ont déclaré avoir dépensé un total de 7 milliards de dollars (G$) en 2019, directement dans le cadre de mesures visant à prévenir et à détecter les incidents de cybersécurité, et à s’en remettre. Ce qui représente moins de 1 % de leurs revenus totaux.

Dans une étude de Deloitte, près de 60 % des personnes interrogées dans le cadre d’une enquête menée auprès de plus de 500 responsables de la gestion de crise, évaluent que les organisations sont confrontées à plus de crises aujourd’hui qu’il y a 10 ans. Certains répondants ajoutent que selon eux, l’ampleur, ainsi que le nombre de crises augmentent. « Les crises deviennent de plus en plus intenses à mesure que le monde devient plus dynamique », a déclaré un répondant. « Tout événement peut transformer une situation simple en une situation massive ».

De fait, pour préciser le niveau de menace, 80 % des organisations dans le monde ont dû mobiliser leurs équipes de gestion de crise au moins une fois au cours des deux dernières années, les incidents de cybersécurité et de sécurité arrivant en tête de liste des crises nécessitant une intervention de la direction.

Refuser un soutien en gestion de crise

Il va sans dire que le fait d’ignorer les bénéfices de confier la gestion d’une crise à des experts peut entraîner plusieurs désavantages lors d’un incident. Il suffit de penser aux dégâts que pourraient subir la crédibilité de l’entreprise, sa réputation ainsi que celle de ses dirigeants et employés. Il faut en effet être conscient qu’un incident majeur, s’il n’est pas géré adéquatement, pourrait mettre à mal la poursuite des opérations courantes, le maintien des emplois et même, ultimement, menacer la survie de l’entreprise.

Selon la nature de l’incident, par exemple une fuite de donnée confidentielles, on pourrait assister à un rapide emballement de fausses rumeurs sur les réseaux sociaux qu’il serait par la suite difficile d’endiguer. Une situation ajoutant aux effets déjà désastreux de l’incident initial, à laquelle il faut alors consacrer du temps et de l’énergie qu’il serait plus constructif d’attribuer à l’incident original.

Apprendre Gestion affirme qu’une microgestion qui néglige le soutien que pourraient lui apporter des experts en  gestion de crise, est susceptible de subir des impacts négatifs sur les points suivants : stress dans la gestion du travail et de la vie familiale des employés; problèmes de santé comme les problèmes cardiaques ou l’hypertension artérielle; problèmes économiques et insécurité de l’emploi par crainte de rétrogradation ou même de perte d’emploi,  tension émotionnelle découlant  de la violence verbale ou émotionnelle des aînés ou des dirigeants, entraînant  un impact négatif sur l’estime de soi des employés.

Dix erreurs à éviter

Il est donc avisé de prendre conscience des erreurs suivantes en cas de crise, qu’un dirigeant est susceptible de commettre en balayant du revers de la main l’importance de l’accompagnement que peut offrir un expert en gestion de crise :

1. Ne pas être prêt – ça n’arrive qu’aux autres ;
2. Réagir avec retard / Ne pas en faire sa priorité ;
3. Paraître insensible / ne pas agir selon les meilleures pratiques ;
4. Se cacher ;
5. Nier les faits / ne pas se soucier du gros bon sens ;
6. Ne pas agir / ne pas modifier un comportement fautif ou critiquable ;
7. Tuer une mouche avec un bazooka ;
8. Museler ses employés ;
9. Faire cavalier seul ;
10. Ouf, la crise est finie – on passe à autre chose!

Enfin…

Une fois la crise passée, il sera temps de réaliser un post-mortem de l’événement. Une seconde étape peut alors s’ouvrir aux organisations ayant été victimes d’une cyberattaque : celle de réaliser une étude de cas, en collaboration avec des réseaux spécialisés en cybersécurité afin de faire de cette crise… un succès !

Bref… doit-on encore considérer les experts en gestion de crise comme une dépense ou des alliés ?

L’article Gestion de crise : « Vous êtes une dépense ! » est apparu en premier sur Finance et Investissement.

Certains clients de Placements Mackenzie ont vu des renseignements personnels, mais pas des avoirs ou des soldes de comptes, être révélés à des pirates informatiques lors d’une cyberattaque plus tôt cette année, a déclaré la société le 2 mai.

En janvier, Fortra LLC, basée au Minnesota, a découvert que des pirates informatiques avaient créé des comptes d’utilisateurs non autorisés avec des clients de son service de transfert de fichiers géré, GoAnywhere, qui est présenté comme un moyen sécurisé d’envoyer des données sensibles. L’un de ces clients était le fournisseur de logiciels torontois InvestorCOM Inc., un fournisseur de Placements Mackenzie.

Les pirates ont pu télécharger des fichiers, a déclaré Fortra dans un article de blog en avril. The Logic a rapporté l’incident lundi.

« Après avoir reçu un avis d’InvestorCOM, nous avons immédiatement pris des mesures pour commencer une enquête judiciaire complète », a écrit un porte-parole de Placements Mackenzie dans un courriel envoyé à Investment Executive. « Grâce à notre enquête, nous avons récemment découvert que des renseignements personnels d’investisseurs actuels et d’anciens investisseurs étaient concernés partie de cet incident. Les informations financières, telles que les avoirs des clients et les soldes des comptes n’ont pas été exposées.

Lire également : Avez-vous chiffré le coût d’une cyberattaque ?

L’incident n’a pas affecté les avoirs des investisseurs dans les fonds Mackenzie, a déclaré la société, et elle n’a constaté aucune preuve d’utilisation inopportune des données.

« Nous avons commencé à envoyer des avis aux investisseurs touchés avec des informations plus détaillées, incluant les mesures complètes que nous prenons et le soutien que nous fournissons pour les protéger. Cela comprend la surveillance du crédit pour une période de deux ans qui inclue des alertes de surveillance du crédit, des services de protection contre le vol d’identité, de l’aide aux victimes de fraude et une assurance contre le vol d’identité », a déclaré Mackenzie.

InvestorCOM a refusé de commenter la situation au-delà du communiqué de presse émis le 1er mai, qui indiquait que la société avait récemment pris connaissance de l’incident de cybersécurité de Fortra, qui a été contenu.

Fortra a appris l’incident pour la première fois le 30 janvier, a déclaré le fournisseur dans un courriel envoyé par l’intermédiaire de son agence de presse.

« Nous avons immédiatement pris plusieurs mesures pour remédier à cette vulnérabilité, y compris la mise en œuvre d’une interruption de service temporaire pour empêcher toute autre activité non autorisée », indique le communiqué. « À mesure que nous progresserons à la suite de cet événement, nous examinerons nos pratiques opérationnelles et notre programme de sécurité pour nous assurer d’en sortir plus forts en tant qu’organisation. »

Le Commissariat à la protection de la vie privée du Canada a déclaré mardi qu’il était au courant de l’affaire et qu’il « communiquait avec les organisations pour obtenir plus d’informations et déterminer les prochaines étapes ».

Le nouvel organisme d’autoréglementation observe également la situation. « À notre connaissance, aucun autre cabinet membre est un client direct de GoAnywhere. Cependant, nous surveillons la situation et examinons la portée potentielle de la violation qui a été commise », a déclaré Stephanie Teodoridis, spécialiste principale des affaires publiques et des communications d’entreprise au sein du nouvel OAR, dans un courriel.

L’article Placements Mackenzie : des données personnelles compromises  est apparu en premier sur Finance et Investissement.

« Il y a quelques semaines, nos systèmes de surveillance de la sécurité des données ont effectivement détecté et immédiatement bloqué des activités suspectes sur nos serveurs informatiques », nous a confirmé par courriel Karine Cloutier, vice-présidente marketing et développement corporatif au Groupe Cloutier.

Après la remise en marche sécuritaire des systèmes de l’entreprise, qui s’est faite dans un « délai extrêmement court », selon elle, une investigation a été menée révélant que des renseignements personnels de certains de ses clients avaient été « potentiellement compromis ».

Les données incluent des informations telles que le nom, l’adresse, le numéro d’assurance sociale et la date de naissance.

« Il est important de rappeler que, pour l’instant, rien n’indique que ces données auraient été utilisées à des fins malveillantes », assure Karine Cloutier.

Le Groupe Cloutier s’est conformé à son obligation d’informer la Commission d’accès à l’information (CAI) de la cyberattaque, précise le Journal de Montréal.

Même si l’entreprise n’en avait pas l’obligation, elle a aussi avisé l’Autorité des marchés financiers (AMF) qui suit de près l’évolution de la situation afin de s’assurer que « les mesures mises en place par l’entreprise sont efficaces », a expliqué Sylvain Théberge, porte-parole de l’AMF, par courriel.

Qui sont touchés ?

Les personnes qui détiennent (ou ont détenu) des fonds d’un conseiller faisant affaire avec le Groupe Cloutier dans l’assurance ont pu être touchées. Il en va de même pour les investisseurs qui ont (ou avaient) des fonds de commun de placement d’un représentant rattaché à Groupe Cloutier Investissements.

« Par mesure de précaution, tous les individus concernés par la situation ont été dûment notifiés afin de les informer de la marche à suivre et des mesures de protection qui seront déployées, notamment un abonnement à un service de surveillance et de protection du crédit, à nos frais, de même qu’une procédure pour demander un gel de sécurité de leur dossier de crédit auprès des agences Equifax et TransUnion », affirme Karine Cloutier.

Des centaines de cas

Actuellement, il ne se passe pas une journée ou presque sans que l’on apprenne qu’une entreprise a été victime d’une cyberattaque. Ce ne serait que la pointe de l’iceberg puisque bon nombre d’organisations préfèrent taire le fait qu’elles ont été attaquées.

« Selon des données recueillies par ceux qui suivent les activités du dark web, il y aurait entre 500 et 600 entreprises qui auraient été hackées au Québec ces deux dernières années », précise Patrick R. Mathieu, cofondateur du Hackfest et conseiller en sécurité informatique.

Il déplore le manque de transparence des entreprises en la matière. « Connaître la source de l’attaque, comment elle a été décelée, c’est de l’information qui serait utile pour tous. Cela permettrait aux entreprises de savoir si elles sont aussi à risque », affirme-t-il.

Même si le Groupe Cloutier se veut rassurant en disant que les données n’auraient pas été utilisées à des fins malveillantes, il n’en reste pas moins que les victimes de cette fuite sont à risque d’un vol d’identité.

« Les cyberpirates détiennent les principales informations nécessaires pour faire des demandes de crédit. Une fois que les données sont entre leurs mains, elles peuvent être utilisées », affirme Patrick R. Mathieu

« Abonner les victimes au service de surveillance d’Equifax ou de Transunion, ça ne donne pas grand-chose à part financer ces sociétés », déplore-t-il.

Contrairement aux idées reçues, une entreprise n’a pas forcément besoin de dépenser des millions de dollars pour se protéger des hackers. « Procéder à des sauvegardes régulières et faire les mises à jour de ses systèmes permet de prévenir environ 80 % des attaques », affirme Patrick R. Mathieu.

Réparer les dommages après une cyberattaque peut par contre coûter cher à une entreprise tant sur le plan réputationnel que financier. Selon un rapport d’IBM Security, le coût moyen d’une cyberattaque est évalué à 4,35 M$.

L’article Le Groupe Cloutier confronté à une violation de données est apparu en premier sur Finance et Investissement.

Durant l’année 2023, les gestionnaires devraient avoir comme priorité de réaliser un plan de communication et un plan d’intervention en cas d’attaques informatiques, car celles-ci deviennent de plus en plus intenses et sophistiquées.

Le secteur de la finance et des investissements compte parmi les plus ciblés par les attaquants dans le monde, alors que, pour plusieurs de ces « pirates », l’unique but est de mettre à mal l’économie mondiale.

Malheureusement, le Canada n’est pas à l’abri de ce type de méfaits. En effet, selon Statiques Canada, en 2021, un peu moins d’un cinquième (18 %) des entreprises canadiennes ont été touchées par des incidents de cybersécurité, comparativement à 21 % en 2019 et en 2017.

Cela variait considérablement selon la taille de l’entreprise : 16 % des petites entreprises (de 10 à 49 employés), 25 % des moyennes entreprises (de 50 à 249 employés) et 37 % des grandes entreprises (250 employés ou plus) ont déclaré avoir été victimes d’incidents de cybersécurité en 2021.

Les incidents de cybersécurité les plus fréquents chez les entreprises en 2021 étaient les tentatives de vol d’argent ou les demandes de paiement de rançon (7 %) ainsi que les tentatives de vol de renseignements personnels ou financiers (6 %). Plus du tiers (39 %) des entreprises canadiennes touchées par des incidents de cybersécurité ont indiqué qu’il n’y avait pas de motif clair.

Connaître son maillon faible

La réalisation des deux plans mentionnés ci-dessus permet notamment d’identifier son (ou ses) maillon(s) faible(s) et, surtout, de chercher à voir comment « colmater ces points d’entrées » adéquatement ou, à tout le moins, atténuer les risques et ainsi, réduire les conséquences qui pourraient découler d’une attaque. Chaque plan devra décrire les grands axes de communications et d’intervention de toutes les parties prenantes ainsi qu’une définition exacte du rôle distinctif de chacune.

Un spécialiste en gestion de crise en cas de cyberattaques devrait être mandaté pour vous guider et animer les rencontres dès lors qu’un incident surviendra. Il sera votre assurance et votre allié pour protéger votre image de marque auprès de vos clients, de vos partenaires d’affaires et de vos collaborateurs. Cette personne vous préparera à répondre adéquatement aux médias, qui peuvent se révéler des alliés s’ils sont correctement informés. De plus, il suivra les réseaux sociaux afin de voir comment la perception de l’incident évolue de manière à déterminer les actions à prendre pour recentrer le message au besoin, en accord avec la direction générale et le conseil d’administration, le cas échéant.

L’importance d’une simulation

Dans le but d’éviter toutes actions non productives, compte tenu que le plan de communication et le plan d’intervention devront être déployés en situation d’urgence, il est important d’effectuer une simulation une fois par année avec les personnes concernées, un peu comme avec les exercices d’alerte incendie. La simulation pourrait porter sur un thème spécifique, par exemple une panne de réseau, un vol de données, une infection par l’entremise d’un virus, etc.

Cet exercice permettra de mettre à jour et de peaufiner les axes de communications, et d’analyser les meilleures actions permettant un retour des activités à la normale dans les meilleures conditions.

En cas de véritable incident, la réaction de l’entreprise ne pourra être improvisée parce que vos données ont un prix. Pensez-y !

L’article Une communication se prépare en amont et non dans l’urgence est apparu en premier sur Finance et Investissement.

La Commission d’Accès à l’Information (CAI) qui régit la Loi 25 a mentionné dans le cadre d’un article paru dans La Presse, qu’elle recevait un signalement par jour de violation de données, c’est-à-dire qu’on l’informait quotidiennement de l’existence d’une cyberattaque.

Les attaques informatiques sont devenues récurrentes et ne sont pas cantonnées à un secteur d’activité en particulier, et même, comme elles sont susceptibles d’atteindre toutes les entreprises actives au Canada et à travers le monde, il est important plus que jamais de se protéger  pour minimiser les vols  de données personnelles provenant des employés, des fournisseurs et des clients. Les données financières sont parmi les principales motivations d’un pirate informatique, celui-ci pouvant même rechercher un arrêt de production et de transactions dans le but de mettre à mal un secteur d’activité ou l’économie du pays.

Devant l’importance de ces données, qui se vendent à prix d’or sur le Dark Web, le Gouvernement du Québec a mis en place la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, connue comme la Loi 25, qui positionne le Québec à l’avant-garde en la matière.

Première phase (en vigueur depuis le 22 septembre 2022)

• Obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne et de publier les coordonnées du responsable ;
• Obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels ;
• Obligation d’aviser la Commission et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande ;
• Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale ;
• Obligation de divulguer toute banque de caractéristiques ou de mesures biométriques à la Commission au moins 60 jours avant sa mise en service.

Seconde phase (en vigueur à compter de septembre 2023)

• Obligation de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées au sujet de celles-ci ;
• Nouvelles obligations de transparence comme celles :
  • de publier les règles encadrant sa gouvernance à l’égard des renseignements personnels ;
  • de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour ;
  • d’informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé ;
  • d’informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions.
• Anonymisation des renseignements personnels ;
• De nouveaux assujettis à la Loi sur le privé, comme les partis politiques provinciaux ;
• Obligation de réaliser une évaluation des facteurs relatifs à la vie privée dans certaines situations ;
• Nouvelles règles entourant le consentement ;
• Droit à la désindexation (ou droit à l’effacement ou à l’oubli) ;
• Nouvelles conditions de communication des renseignements personnels à l’extérieur du Québec ;
• Nouvelles conditions de communication des renseignements personnels facilitant le processus de deuil ;
• Nouvelles conditions entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans ;
• Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public ;
• Possibilité pour la Commission d’imposer des sanctions administratives pécuniaires.

Troisième phase (en vigueur à compter de septembre 2024)

À cette étape, le droit à la portabilité sera la toute dernière disposition à entrer en vigueur, à la fois dans les secteurs public et privé. Il est important de s’y préparer dès que possible, puisque cette obligation peut impliquer des changements plus structurants de la part des organisations.

Les sanctions

Mécanismes réparatoires dès septembre 2023

La Loi 25 reconnait le droit d’un particulier d’être indemnisé pour le préjudice résultant de l’atteinte illicite à ses droits par dommages-intérêts compensatoires.

Sanctions :

• Dépend du montant de dommages-intérêts compensatoires octroyé.
• En cas de faute lourde ou intentionnelle, le tribunal doit imposer des dommages-intérêts punitifs d’au moins 1000$.

Sanctions administratives pécuniaires

Il est à noter que la CAI peut imposer des sanctions administratives pécuniaires pour les manquements. De même, ’une entreprise ayant fait l’objet d’une sanction administrative et qui continue de contrevenir à la loi pourrait être sanctionnée en vertu du régime pénal.

Sanctions :

• Pour une personne physique : Montant maximal de 50 000$.
• Dans les autres cas : Montant maximal de 10 M$ ou 2% du chiffre d’affaires mondiales.

Poursuites pénales

La CAI peut intenter des poursuites pénales pour les infractions. En effet, toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l’infraction.

Sanctions :

• Pour une personne physique : de 5000 $ à 100 000 $.
• Dans les autres cas : de 15 000 $ à 25 M$ ou 4 % du chiffre d’affaires mondiales.

Le non-respect de la loi peut engager la responsabilité des administrateurs d’une personne morale.

Vers un registre provincial des incidents ?

Selon mon analyse, il ne serait pas étonnant de voir apparaître dès septembre 2024, un registre provincial répertoriant les incidents avec les sanctions émises en découlant. Cet outil serait sans doute un incitatif important permettant d’assurer de bonnes pratiques en matière de protections des données des entreprises.

Une bonne communication

Une bonne communication devra être un des principaux cheval de bataille au moment où surviendra un incident et devra répondre aux attentes des investisseurs et des clients. Les communications formatées à partir d’outils de marketing n’auront plus leur place. La gestion de ce type de crise devra viser à rassurer et en même temps, à démontrer le mécanisme mis en place pour enrayer l’incident.

Conclusion

Disons-le tout de suite, si vous attendez une subvention pour vous conformer à la Loi 25, c’est peine perdue. Cette mise en place incombe à toutes les entreprises et sera, en 2024, aussi légale que le droit de vote ! Rien de moins.

L’article Loi 25 : Une loi méconnue… mais qui vous concerne ! est apparu en premier sur Finance et Investissement.