Cet article explore l’importance de la communication dans le secteur financier, en mettant particulièrement l’accent sur la nécessité de protéger les données sensibles et de gérer les coûts associés à cette action.

Un Impératif absolu

Dans le monde financier, la confiance est le socle sur lequel repose toute relation entre les acteurs. La communication transparente et sécurisée est essentielle pour maintenir cette confiance, surtout dans un environnement où les transactions financières se déroulent à une vitesse vertigineuse. La protection des données confidentielles devient ainsi une priorité incontournable.

Les institutions financières gèrent une quantité massive d’informations sensibles, allant des données personnelles des clients aux données transactionnelles complexes. Les attaques cybernétiques sont devenues monnaie courante, mettant en péril la sécurité de ces données. Afin de garantir l’intégrité du système financier, les entreprises doivent investir dans des protocoles de sécurité de pointe et former leur personnel à reconnaître et contrer les menaces potentielles.

La confidentialité des données est également cruciale pour se conformer aux réglementations strictes qui régissent le secteur financier. Les institutions doivent non seulement protéger les informations des clients pour prévenir les risques de fraude, mais aussi garantir leur conformité aux lois telles que le Règlement Général sur la Protection des Données (RGPD) en Europe ou la Loi 25 au Québec.

Les coûts de la communication financière

Alors que la communication est essentielle, elle n’est pas sans coût. Les entreprises financières doivent gérer judicieusement leurs investissements dans les technologies de communication pour éviter une hausse exponentielle des coûts. Les canaux de communication, tels que les plateformes de messagerie sécurisées et les réseaux privés, nécessitent des investissements significatifs.

La gestion des coûts de communication dans le secteur financier implique également la recherche constante d’efficacité opérationnelle. Cela inclut l’optimisation des processus de communication interne, l’utilisation judicieuse des technologies de communication unifiée et la mise en place de politiques de gestion des coûts claires. La surveillance des coûts doit être intégrée dans la culture organisationnelle, avec un accent particulier sur l’alignement des dépenses avec les objectifs stratégiques.

Fusionner les technologies de l’information et la communication

Dans un monde de plus en plus interconnecté, la gestion de crise est devenue un aspect vital de la planification stratégique dans le secteur financier. Cette gestion doit transcender les silos traditionnels et englober à la fois les technologies de l’information (TI) et la communication dans son ensemble.

Les attaques cybernétiques, les pannes de système et les crises économiques peuvent avoir des répercussions immédiates sur la stabilité financière. Une stratégie de gestion de crise efficace nécessite une collaboration étroite entre les équipes de communication et de TI. La communication doit être rapide, précise et coordonnée pour minimiser l’impact d’une crise sur la réputation et la performance financière d’une institution.

La technologie joue un rôle central dans la gestion de crise. Les outils de surveillance en temps réel, les systèmes d’alerte précoce et les plans de continuité des activités basés sur des technologies de pointe permettent aux institutions financières de réagir rapidement aux situations critiques. De plus, une communication transparente avec les parties prenantes internes et externes est essentielle pour maintenir la confiance et atténuer les risques.

En conclusion, la communication dans le milieu financier requiert un équilibre délicat entre la nécessité de partager des informations cruciales et la protection des données sensibles. La gestion des coûts et la préparation à la gestion de crise sont des éléments clés pour assurer le bon fonctionnement du secteur financier dans un environnement en constante évolution. Les institutions qui parviennent à harmoniser ces aspects seront mieux positionnées pour prospérer dans un paysage financier de plus en plus complexe et exigeant.

L’article La communication dans le milieu financier est apparu en premier sur Finance et Investissement.

Pour répondre à vos questions, j’ai décidé de vous offrir six étapes comme base de départ à votre plan de gestion de crise.

Étape 1 : Identification des risques

Le point de départ de tout plan de gestion de crise est l’identification des risques auxquels une organisation est exposée. Cela nécessite une analyse approfondie des menaces internes et externes qui pourraient perturber les opérations normales. Il est essentiel d’impliquer les parties prenantes clés de l’organisation dans ce processus, y compris les employés, les partenaires, les clients et les fournisseurs.

Étape 2 : Évaluation de la gravité et de la probabilité

Une fois les risques identifiés, il est important d’évaluer leur gravité potentielle et leur probabilité de survenir. Cela permet de hiérarchiser les risques et de se concentrer sur ceux qui auraient le plus grand impact sur l’organisation. Les scénarios de crise doivent être réalistes et basés sur des données objectives plutôt que sur des suppositions.

Étape 3 : Développement de plans d’action spécifiques

Chaque risque identifié devrait avoir un plan d’action spécifique associé. Ces plans doivent être conçus pour répondre de manière appropriée à chaque situation de crise, en tenant compte de ses caractéristiques uniques. Il est essentiel de déterminer qui sera responsable de chaque aspect de la gestion de crise, quelles ressources seront nécessaires, et quelles étapes doivent être suivies pour atténuer les effets de la crise.

Étape 4 : Formation et sensibilisation

Un plan de gestion de crise ne peut être efficace que si toutes les parties prenantes comprennent leur rôle et leurs responsabilités en cas de crise. Il est donc essentiel de former régulièrement les employés et les parties prenantes sur les protocoles et les procédures de gestion de crise. La sensibilisation à la gestion de crise doit être une priorité constante.

Étape 5 : Exercices de simulation

Pour s’assurer que le plan de gestion de crise est opérationnel et que tous les acteurs savent comment réagir en cas de crise, des exercices de simulation doivent être régulièrement organisés. Ces simulations peuvent inclure des scénarios réalistes, tels qu’une fausse cyberattaque, une fausse catastrophe naturelle, ou une crise financière simulée. Les leçons tirées de ces exercices peuvent ensuite être utilisées pour améliorer le plan.

Étape 6 : Mise en œuvre et révision continue

Lorsqu’une crise se produit, il est essentiel de mettre en œuvre le plan de gestion de crise de manière rapide et efficace. Cependant, la gestion de crise ne s’arrête pas une fois que la crise est résolue. Il est important de mener une analyse post-crise pour évaluer la réponse de l’organisation et identifier les domaines d’amélioration. Le plan de gestion de crise doit être révisé régulièrement pour tenir compte des nouvelles menaces et des changements dans l’environnement de l’organisation.

En conclusion, la gestion de crise axée sur le réel repose sur une approche proactive, réaliste et bien planifiée. Elle exige l’implication de toutes les parties prenantes et une préparation constante pour faire face aux défis imprévus. Un plan de gestion de crise bien élaboré et régulièrement mis à jour peut aider une organisation à minimiser les perturbations, à protéger sa réputation et à assurer sa survie dans des moments difficiles.

L’article Élaborer un plan de gestion de crise axé sur le concret ! est apparu en premier sur Finance et Investissement.

C’est le 22 septembre prochain qu’entrera en vigueur la seconde phase de la Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois.

Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.

Chaque entreprise sera alors tenue de respecter de nouvelles obligations. Parmi celles-ci :

* adopter ou mettre à jour des politiques et des pratiques encadrant la gouvernance des renseignements personnels;

* prévoir l’encadrement applicable à la conservation, la destruction et l’anonymisation des renseignements personnels;

* se munir d’un processus de traitement des plaintes;

* publication d’informations concernant les politiques et procédures sur le site web;

* réalisation d’Évaluations de Facteurs relatifs à la Vie Privée (EFVP) pour certains traitements de renseignements personnels;

* modification des paramètres du consentement; destruction et anonymisation de renseignements personnels;

* transfert de renseignements personnels à l’extérieur du Québec et enfin, la mise en place d’un processus de destruction ou d’anonymisation, afin de mettre en œuvre la désindexation.

Un premier lot d’obligations est entré en vigueur le 22 septembre 2022.

Prospérer en cas de vol de données !

La résilience organisationnelle est définie comme : « la capacité d’une organisation à anticiper, à se préparer, à réagir et à s’adapter aux changements progressifs et aux perturbations soudaines afin de survivre et de prospérer ».

Une organisation résiliente s’appuie sur trois axes principaux dans sa manière d’opérer, à savoir : l’adaptabilité stratégique, le leadership flexible et la gouvernance robuste qui se définit comme la responsabilisation à travers les structures organisationnelles, basés sur une culture de confiance, de transparence et d’innovation, en s’assurant que les entreprises restent fidèles à leur vision et à leurs valeurs.

Gestion de crise

Comme le mentionnait Christophe Roux-Dufort dans un article : « Continuité, anticipation et résilience semblent devenir aujourd’hui le trio incontournable de la gestion de crise après une longue période où l’essentiel des préoccupations a été de mettre sur pied les fondamentaux. La nature des crises a changé et ces fondamentaux ne permettent plus d’absorber les crises telles qu’elles se présentaient dans les années 80 et 90 au moment où cette discipline a commencé à prendre son envol. Nous travaillons aujourd’hui avec des outils qui ont vieilli et qui ne sont pas toujours adaptés au traitement des crises modernes. Paradoxalement, la gestion de crise doit abandonner l’idée de gérer l’incontrôlable et l’ingérable pour s’ouvrir sur d’autres priorités à présent : accroître l’acuité des organisations et leurs capacités à résister aux chocs organisationnels imprévus. Ce sont les principales directions d’ores et déjà prises par les professionnels qui renouvelleront sans aucun doute l’intérêt et les contributions à l’intérieur de ce domaine en mal de nouveautés depuis quelques années. L’anticipation et la résilience se manifestent aux deux extrêmes du processus de gestion de crise, très en amont pour l’anticipation et en aval pour la résilience. Pour autant, ces deux priorités sont intimement liées tant l’anticipation et la prévention des crises devraient avoir pour rôle de jeter très tôt au sein des entreprises les bases organisationnelles, collectives et individuelles de la résilience au choc ».

En somme, la gestion de crise est un processus continu qui nécessite une planification et une préparation adéquates pour minimiser les risques et les impacts sur l’entreprise et ses parties prenantes.

L’article Gestion de crise et résilience organisationnelle est apparu en premier sur Finance et Investissement.

Diverses études, y compris celles menées par le FBI en 2022, ont mis en évidence une augmentation préoccupante du nombre de cyberattaques pendant les jours fériés, les fins de semaine ainsi que pendant les vacances.

Le CISA (Cybersecurity and Infrastructure Security Agency) rappelle donc aux entreprises, surtout celles qui ont des possèdent des sensibles, de demeurer vigilantes pendant les vacances, car « les adversaires ne prennent pas de repos eux-mêmes ».

La raison est évidente : les pirates informatiques profitent des périodes où les entreprises sont moins bien préparées pour se protéger, que ce soit en raison d’un manque de personnel ou d’une baisse de vigilance des utilisateurs.

La fraude au président, c’est quoi ?

Connaissez-vous la fraude au président ? Je vous explique…

La fraude au président est un type de tentative d’hameçonnage où le fraudeur se fait passer pour le président ou pour un autre supérieur hiérarchique en usurpant son identité. L’objectif est de miser sur ce lien hiérarchique – et souvent en mettant de l’avant un sentiment d’urgence pour accomplir une tâche donnée – afin d’inciter la victime à agir rapidement.

Le fraudeur met tout en œuvre pour gagner la confiance de la victime en lui demandant de réaliser une action donnée, par exemple un virement d’argent en ligne. De manière générale, le fraudeur ne frappe pas au hasard et sélectionne soigneusement sa cible, visant un employé qui possède les autorisations nécessaires pour être en mesure d’accomplir sa demande.

En résumé, la fraude au président repose sur la duplicité du fraudeur qui se fait passer pour une personne influente et utilise cette position supposée pour manipuler la victime et l’inciter à agir contre ses propres intérêts.

Comment le fraudeur choisit-il sa cible ?

• Il consulte le site Internet de l’entreprise et les comptes de médias sociaux afin de collecter de l’information
• Il peut tenter d’entrer en contact avec la personne ciblée via un réseau social spécifique, ou par courriel
• Il engage une conversation avec cette personne pour étayer sa mise en scène virtuelle et obtenir des informations de manière à rendre ses courriels frauduleux plus crédibles

Comme quoi, même en vacances, les cyberattaques et les fraudeurs ne prennent pas de repos !

L’article Connaissez-vous la fraude au président ? est apparu en premier sur Finance et Investissement.

Rien ne sert d’attendre au Nouvel An pour prendre de bonnes résolutions. Elles peuvent se prendre durant toute l’année. Dans un contexte de croissance continue des incidents liés à la cybersécurité que l’on observe partout sur la planète, et dont les premières victimes proviennent régulièrement du secteur financier, la communication de crise doit trouver sa place dans chacune des organisations.

Entendons-nous bien ! il n’est pas question ici d’une communication de base et préformatée. Les entreprises en gestion de crise, qui sont autant familiers avec les milieux informatiques que journalistique, sont rares au Québec. Et je sais de quoi je parle, puisque, Dieu merci, je fais partie de cette rareté. Si, de prime abord, nous sommes considérés comme une dépense, au bout d’une semaine, notre statut d’alliés de l’entreprise n’est plus sujet à débat !

Hausse de cyberattaques

Le Canada connaît une hausse de cyberattaques et le contexte pandémique (COVID-19) a accentué cette tendance.  L’Autorité canadienne pour les enregistrements Internet (ACEI) révélait dans son Rapport sur la cybersécurité de 2020 que près de trois organisations sur 10 ont constaté un pic dans le nombre d’attaques survenues pendant la pandémie.

Statistiques Canada révélait pour sa part en 2020 que 21 % des entreprises canadiennes avaient déclaré avoir été touchées par des incidents de cybersécurité. On indique dans ce même rapport que les entreprises canadiennes ont déclaré avoir dépensé un total de 7 milliards de dollars (G$) en 2019, directement dans le cadre de mesures visant à prévenir et à détecter les incidents de cybersécurité, et à s’en remettre. Ce qui représente moins de 1 % de leurs revenus totaux.

Dans une étude de Deloitte, près de 60 % des personnes interrogées dans le cadre d’une enquête menée auprès de plus de 500 responsables de la gestion de crise, évaluent que les organisations sont confrontées à plus de crises aujourd’hui qu’il y a 10 ans. Certains répondants ajoutent que selon eux, l’ampleur, ainsi que le nombre de crises augmentent. « Les crises deviennent de plus en plus intenses à mesure que le monde devient plus dynamique », a déclaré un répondant. « Tout événement peut transformer une situation simple en une situation massive ».

De fait, pour préciser le niveau de menace, 80 % des organisations dans le monde ont dû mobiliser leurs équipes de gestion de crise au moins une fois au cours des deux dernières années, les incidents de cybersécurité et de sécurité arrivant en tête de liste des crises nécessitant une intervention de la direction.

Refuser un soutien en gestion de crise

Il va sans dire que le fait d’ignorer les bénéfices de confier la gestion d’une crise à des experts peut entraîner plusieurs désavantages lors d’un incident. Il suffit de penser aux dégâts que pourraient subir la crédibilité de l’entreprise, sa réputation ainsi que celle de ses dirigeants et employés. Il faut en effet être conscient qu’un incident majeur, s’il n’est pas géré adéquatement, pourrait mettre à mal la poursuite des opérations courantes, le maintien des emplois et même, ultimement, menacer la survie de l’entreprise.

Selon la nature de l’incident, par exemple une fuite de donnée confidentielles, on pourrait assister à un rapide emballement de fausses rumeurs sur les réseaux sociaux qu’il serait par la suite difficile d’endiguer. Une situation ajoutant aux effets déjà désastreux de l’incident initial, à laquelle il faut alors consacrer du temps et de l’énergie qu’il serait plus constructif d’attribuer à l’incident original.

Apprendre Gestion affirme qu’une microgestion qui néglige le soutien que pourraient lui apporter des experts en  gestion de crise, est susceptible de subir des impacts négatifs sur les points suivants : stress dans la gestion du travail et de la vie familiale des employés; problèmes de santé comme les problèmes cardiaques ou l’hypertension artérielle; problèmes économiques et insécurité de l’emploi par crainte de rétrogradation ou même de perte d’emploi,  tension émotionnelle découlant  de la violence verbale ou émotionnelle des aînés ou des dirigeants, entraînant  un impact négatif sur l’estime de soi des employés.

Dix erreurs à éviter

Il est donc avisé de prendre conscience des erreurs suivantes en cas de crise, qu’un dirigeant est susceptible de commettre en balayant du revers de la main l’importance de l’accompagnement que peut offrir un expert en gestion de crise :

1. Ne pas être prêt – ça n’arrive qu’aux autres ;
2. Réagir avec retard / Ne pas en faire sa priorité ;
3. Paraître insensible / ne pas agir selon les meilleures pratiques ;
4. Se cacher ;
5. Nier les faits / ne pas se soucier du gros bon sens ;
6. Ne pas agir / ne pas modifier un comportement fautif ou critiquable ;
7. Tuer une mouche avec un bazooka ;
8. Museler ses employés ;
9. Faire cavalier seul ;
10. Ouf, la crise est finie – on passe à autre chose!

Enfin…

Une fois la crise passée, il sera temps de réaliser un post-mortem de l’événement. Une seconde étape peut alors s’ouvrir aux organisations ayant été victimes d’une cyberattaque : celle de réaliser une étude de cas, en collaboration avec des réseaux spécialisés en cybersécurité afin de faire de cette crise… un succès !

Bref… doit-on encore considérer les experts en gestion de crise comme une dépense ou des alliés ?

L’article Gestion de crise : « Vous êtes une dépense ! » est apparu en premier sur Finance et Investissement.

Selon un rapport d’IBM Security, le coût moyen d’une cyberattaque est évalué à 4,35 M$. La firme informatique a interrogé plus de 550 entreprises entre mars 2021 et mars 2022 pour déterminer cette évaluation. De même, les rançons réclamées par les cyberattaquants sont dorénavant traitées en cryptomonnaies pour la quasi-majorité.

Que devons-nous chiffrer ?

C’est la question à laquelle je dois répondre le plus fréquemment lors de mes interventions en gestion de crise. Afin de réaliser un portrait réaliste de la situation, l’évaluation doit se diviser en deux parties :

Première partie : coûts visibles

• Enquête technique
• Relations publiques et conseils en image
• Communication au sujet de l’incident auprès des clients
• Frais de justice et de rançon
• Mise en conformité réglementaire
• Sécurisation des données corrompues
• Renforcement des moyens de sécurisation

Seconde partie : coûts cachés

• Perte de crédibilité
• Perte de la valeur de la marque commerciale
• Perte de propriété intellectuelle
• Augmentation du coût de la dette
• Perte de confiance de la part des collaborateurs
• Perte de confiance de la part des clients
• Perte de chiffre d’affaires à la suite de l’interruption de l’activité
• Augmentation des primes d’assurance
• Dévalorisation des partenariats
• Difficultés accrues à embaucher

Vecteurs d’attaque initiaux

Toujours selon le rapport d’IBM, l’hameçonnage demeure encore un fléau bien réel au sein des entreprises. À cela s’ajoutent : messagerie compromise, vulnérabilité d’un logiciel tiers, identifiants volés ou compromis, mauvaise configuration de l’infonuagique, perte de données accidentelle ou perte de dispositif.

Cycle de vie

Les entreprises qui vont le mieux s’en sortir et cela, le plus rapidement, seront celles qui auront planifié adéquatement la manière de réagir en cas de violations de données, car cela va leur permettre de gagner du temps et de l’argent. En 2022, il fallait en moyenne 277 jours (environ 9 mois) pour identifier et neutraliser une attaque. La mise en place d’un comité et d’intervenants en gestion de crise qui auront préparé l’entreprise aux risques propres aux cyberattaques permet de réduire à 200 jours ou moins le temps nécessaire pour identifier et neutraliser une violation de données, et ainsi, de réaliser de précieuses économies.

Il faut mentionner que le nombre d’attaques par rançongiciel a augmenté dans les dernières années et que l’aspect destructif de ces attaques est  devenu de plus en plus coûteux. Les violations de données par rançongiciel ont ainsi augmenté de 41 % depuis l’année dernière et il a fallu 49 jours de plus que la moyenne pour les identifier puis les neutraliser. De plus, les attaques destructrices ont coûté 430 000 $ de plus en comparaison des années précédentes.

Réponse aux incidents

Avoir un plan de réponse aux incidents est une bonne chose. Le tester est encore mieux. Le plan de réponse aux incidents (RI) est une première étape importante pour les entreprises. En testant régulièrement ce plan, vous serez en mesure d’identifier les faiblesses de votre cybersécurité de manière proactive et vous permettra de renforcer votre défense. Il s’agit d’un bénéfice certain à plusieurs égards, incluant les économies liées à la gestion d’une cyberattaque. On évalue que les entreprises ayant mis en place une équipe RI effectuent une économie moyenne de 2,6 M$.

Je vous rappelle qu’une bonne préparation en matière de gestion de crise est votre meilleur allié lorsque survient un incident susceptible d’entraîner une perte de réputation.

L’article Avez-vous chiffré le coût d’une cyberattaque ? est apparu en premier sur Finance et Investissement.

Durant l’année 2023, les gestionnaires devraient avoir comme priorité de réaliser un plan de communication et un plan d’intervention en cas d’attaques informatiques, car celles-ci deviennent de plus en plus intenses et sophistiquées.

Le secteur de la finance et des investissements compte parmi les plus ciblés par les attaquants dans le monde, alors que, pour plusieurs de ces « pirates », l’unique but est de mettre à mal l’économie mondiale.

Malheureusement, le Canada n’est pas à l’abri de ce type de méfaits. En effet, selon Statiques Canada, en 2021, un peu moins d’un cinquième (18 %) des entreprises canadiennes ont été touchées par des incidents de cybersécurité, comparativement à 21 % en 2019 et en 2017.

Cela variait considérablement selon la taille de l’entreprise : 16 % des petites entreprises (de 10 à 49 employés), 25 % des moyennes entreprises (de 50 à 249 employés) et 37 % des grandes entreprises (250 employés ou plus) ont déclaré avoir été victimes d’incidents de cybersécurité en 2021.

Les incidents de cybersécurité les plus fréquents chez les entreprises en 2021 étaient les tentatives de vol d’argent ou les demandes de paiement de rançon (7 %) ainsi que les tentatives de vol de renseignements personnels ou financiers (6 %). Plus du tiers (39 %) des entreprises canadiennes touchées par des incidents de cybersécurité ont indiqué qu’il n’y avait pas de motif clair.

Connaître son maillon faible

La réalisation des deux plans mentionnés ci-dessus permet notamment d’identifier son (ou ses) maillon(s) faible(s) et, surtout, de chercher à voir comment « colmater ces points d’entrées » adéquatement ou, à tout le moins, atténuer les risques et ainsi, réduire les conséquences qui pourraient découler d’une attaque. Chaque plan devra décrire les grands axes de communications et d’intervention de toutes les parties prenantes ainsi qu’une définition exacte du rôle distinctif de chacune.

Un spécialiste en gestion de crise en cas de cyberattaques devrait être mandaté pour vous guider et animer les rencontres dès lors qu’un incident surviendra. Il sera votre assurance et votre allié pour protéger votre image de marque auprès de vos clients, de vos partenaires d’affaires et de vos collaborateurs. Cette personne vous préparera à répondre adéquatement aux médias, qui peuvent se révéler des alliés s’ils sont correctement informés. De plus, il suivra les réseaux sociaux afin de voir comment la perception de l’incident évolue de manière à déterminer les actions à prendre pour recentrer le message au besoin, en accord avec la direction générale et le conseil d’administration, le cas échéant.

L’importance d’une simulation

Dans le but d’éviter toutes actions non productives, compte tenu que le plan de communication et le plan d’intervention devront être déployés en situation d’urgence, il est important d’effectuer une simulation une fois par année avec les personnes concernées, un peu comme avec les exercices d’alerte incendie. La simulation pourrait porter sur un thème spécifique, par exemple une panne de réseau, un vol de données, une infection par l’entremise d’un virus, etc.

Cet exercice permettra de mettre à jour et de peaufiner les axes de communications, et d’analyser les meilleures actions permettant un retour des activités à la normale dans les meilleures conditions.

En cas de véritable incident, la réaction de l’entreprise ne pourra être improvisée parce que vos données ont un prix. Pensez-y !

L’article Une communication se prépare en amont et non dans l’urgence est apparu en premier sur Finance et Investissement.

Afin de démystifier le concept de gestion de crise, il faut comprendre qu’il s’agit d’un processus crucial pour toute entreprise ou organisation. Il s’agit de la capacité à identifier, évaluer et gérer efficacement les situations d’urgence ou les crises potentielles afin d’en minimiser les dommages si elles survenaient et permettre ainsi la continuité des activités, en tout ou en partie.

Dès les premières minutes d’une attaque informatique ou d’une perte de réputation, par exemple à la suite de la publication d’un message sur les réseaux sociaux ou d’un article dans un média, il faut mettre en place une équipe de gestion de crise. Elle sera chargée de coordonner les efforts requis pour gérer la situation et ultimement, de prendre des décisions rapidement puisque le temps compte. Cette équipe devrait inclure des représentants clés de différents départements de l’entreprise, ainsi que des experts externes si nécessaire.

Une entreprise sur cinq

Selon Statistiques Canada, une entreprise sur cinq a été victime d’une cyberattaque en 2021. Dans la même année, les firmes canadiennes avouent avoir dépensé plus de 10 G$ pour se protéger de la cybercriminalité.

Lors de ces attaques, les données financières sont les plus recherchées par les pirates informatiques. Afin d’être prêt à tout risque, il est essentiel de disposer d’un plan de gestion de crise bien élaboré. Il doit définir les procédures à suivre en cas de crise, les responsabilités de chaque membre de l’équipe et prévoir un canevas des communications à destination des employés, des clients et des partenaires.

La gestion de crise n’est pas un exercice de communication traditionnelle ni du marketing. Le responsable en relations publiques doit ainsi comprendre autant les termes « informatiques » que l’univers des médias afin de transformer les termes techniques en outils de communications proactifs si l’incident se répercute auprès du grand public. Son rôle sera de coordonner le message auprès des équipes impliquées et de surveiller l’évolution de la crise en temps réel afin de réagir stratégiquement pour donner l’heure juste sur la situation et ainsi, protéger l’image de l’entreprise impactée.

D’ailleurs, il est important dès le départ de considérer une variété de risques, tels que les crises financières, les perturbations technologiques, les accidents, les pandémies et les attaques terroristes, pour s’assurer que le plan de gestion de crise soit adapté à ces diverses avenues et serve de plan de match au moment requis. Il faut également maintenir une communication ouverte et transparente avec les employés, les clients et les partenaires pendant et après une crise, afin de livrer le bon message, rassurer et maintenir la confiance de tous envers l’entreprise.

En somme, la gestion de crise est un processus continu qui nécessite une planification et une préparation adéquates pour minimiser les risques et les impacts sur l’entreprise et ses parties prenantes.

L’article Gestion de crise  est apparu en premier sur Finance et Investissement.

La Commission d’Accès à l’Information (CAI) qui régit la Loi 25 a mentionné dans le cadre d’un article paru dans La Presse, qu’elle recevait un signalement par jour de violation de données, c’est-à-dire qu’on l’informait quotidiennement de l’existence d’une cyberattaque.

Les attaques informatiques sont devenues récurrentes et ne sont pas cantonnées à un secteur d’activité en particulier, et même, comme elles sont susceptibles d’atteindre toutes les entreprises actives au Canada et à travers le monde, il est important plus que jamais de se protéger  pour minimiser les vols  de données personnelles provenant des employés, des fournisseurs et des clients. Les données financières sont parmi les principales motivations d’un pirate informatique, celui-ci pouvant même rechercher un arrêt de production et de transactions dans le but de mettre à mal un secteur d’activité ou l’économie du pays.

Devant l’importance de ces données, qui se vendent à prix d’or sur le Dark Web, le Gouvernement du Québec a mis en place la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, connue comme la Loi 25, qui positionne le Québec à l’avant-garde en la matière.

Première phase (en vigueur depuis le 22 septembre 2022)

• Obligation d’exercer la fonction de responsable de la protection des renseignements personnels ou de la déléguer par écrit à une autre personne et de publier les coordonnées du responsable ;
• Obligation de former un comité sur l’accès à l’information et la protection des renseignements personnels ;
• Obligation d’aviser la Commission et la personne concernée de tout incident de confidentialité impliquant un renseignement personnel présentant un risque sérieux de préjudice et de tenir un registre devant être fourni à la Commission sur demande ;
• Nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale ;
• Obligation de divulguer toute banque de caractéristiques ou de mesures biométriques à la Commission au moins 60 jours avant sa mise en service.

Seconde phase (en vigueur à compter de septembre 2023)

• Obligation de mettre en œuvre des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier des informations détaillées au sujet de celles-ci ;
• Nouvelles obligations de transparence comme celles :
  • de publier les règles encadrant sa gouvernance à l’égard des renseignements personnels ;
  • de publier une politique de confidentialité rédigée en des termes simples et clairs si vous recueillez par un moyen technologique des renseignements personnels et aviser les personnes concernées de ses mises à jour ;
  • d’informer la personne concernée lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé ;
  • d’informer la personne lors du recours à une technologie d’identification, de localisation ou de profilage et des moyens offerts pour activer ces fonctions.
• Anonymisation des renseignements personnels ;
• De nouveaux assujettis à la Loi sur le privé, comme les partis politiques provinciaux ;
• Obligation de réaliser une évaluation des facteurs relatifs à la vie privée dans certaines situations ;
• Nouvelles règles entourant le consentement ;
• Droit à la désindexation (ou droit à l’effacement ou à l’oubli) ;
• Nouvelles conditions de communication des renseignements personnels à l’extérieur du Québec ;
• Nouvelles conditions de communication des renseignements personnels facilitant le processus de deuil ;
• Nouvelles conditions entourant la collecte de renseignements personnels concernant un mineur de moins de 14 ans ;
• Obligation de prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public ;
• Possibilité pour la Commission d’imposer des sanctions administratives pécuniaires.

Troisième phase (en vigueur à compter de septembre 2024)

À cette étape, le droit à la portabilité sera la toute dernière disposition à entrer en vigueur, à la fois dans les secteurs public et privé. Il est important de s’y préparer dès que possible, puisque cette obligation peut impliquer des changements plus structurants de la part des organisations.

Les sanctions

Mécanismes réparatoires dès septembre 2023

La Loi 25 reconnait le droit d’un particulier d’être indemnisé pour le préjudice résultant de l’atteinte illicite à ses droits par dommages-intérêts compensatoires.

Sanctions :

• Dépend du montant de dommages-intérêts compensatoires octroyé.
• En cas de faute lourde ou intentionnelle, le tribunal doit imposer des dommages-intérêts punitifs d’au moins 1000$.

Sanctions administratives pécuniaires

Il est à noter que la CAI peut imposer des sanctions administratives pécuniaires pour les manquements. De même, ’une entreprise ayant fait l’objet d’une sanction administrative et qui continue de contrevenir à la loi pourrait être sanctionnée en vertu du régime pénal.

Sanctions :

• Pour une personne physique : Montant maximal de 50 000$.
• Dans les autres cas : Montant maximal de 10 M$ ou 2% du chiffre d’affaires mondiales.

Poursuites pénales

La CAI peut intenter des poursuites pénales pour les infractions. En effet, toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l’infraction.

Sanctions :

• Pour une personne physique : de 5000 $ à 100 000 $.
• Dans les autres cas : de 15 000 $ à 25 M$ ou 4 % du chiffre d’affaires mondiales.

Le non-respect de la loi peut engager la responsabilité des administrateurs d’une personne morale.

Vers un registre provincial des incidents ?

Selon mon analyse, il ne serait pas étonnant de voir apparaître dès septembre 2024, un registre provincial répertoriant les incidents avec les sanctions émises en découlant. Cet outil serait sans doute un incitatif important permettant d’assurer de bonnes pratiques en matière de protections des données des entreprises.

Une bonne communication

Une bonne communication devra être un des principaux cheval de bataille au moment où surviendra un incident et devra répondre aux attentes des investisseurs et des clients. Les communications formatées à partir d’outils de marketing n’auront plus leur place. La gestion de ce type de crise devra viser à rassurer et en même temps, à démontrer le mécanisme mis en place pour enrayer l’incident.

Conclusion

Disons-le tout de suite, si vous attendez une subvention pour vous conformer à la Loi 25, c’est peine perdue. Cette mise en place incombe à toutes les entreprises et sera, en 2024, aussi légale que le droit de vote ! Rien de moins.

L’article Loi 25 : Une loi méconnue… mais qui vous concerne ! est apparu en premier sur Finance et Investissement.