Les cyberincidents sont de plus en plus fréquents et complexes. Ils occasionnent souvent, entre autres choses, des pertes de renseignements personnels ou confidentiels (ou une atteinte à la protection de ceux-ci), une interruption importante des activités de l’entreprise, des coûts de réparation considérables, une atteinte à la réputation de l’entreprise et une exposition à des poursuites judiciaires.
Pour faire face à un cyberincident et le contenir de manière efficace, les entreprises doivent agir rapidement et de façon méthodique, et ce, particulièrement au cours des 72 premières heures suivant la découverte d’un tel incident. Plus une entreprise réagit promptement, plus elle réussira à limiter les risques et les conséquences défavorables. Voici 5 mesures que les entreprises devraient mettre en œuvre immédiatement après la découverte d’un cyberincident.
1. CONTACTER L’ÉQUIPE D’INTERVENTION EN CAS D’INCIDENT
L’équipe d’intervention devrait s’activer immédiatement après la découverte d’une atteinte à la protection des données. Cette équipe est composée des personnes les mieux outillées au sein de l’entreprise pour agir en réponse aux cyberattaques et communiquer avec les tiers fournisseurs et le conseiller juridique externe. Dans le but de gagner du temps lors d’un cyberincident, les membres de cette équipe devraient être clairement identifiés dans le plan d’intervention. De même, le rôle de chaque membre devrait être clairement défini afin d’éviter la confusion ou le travail en double.
La participation de l’équipe d’intervention tôt dans le processus fera en sorte que tous les renseignements relatifs à l’incident seront enregistrés et consignés de façon à pouvoir résister à un éventuel examen par des clients, des parties prenantes et des agences gouvernementales (fédérales et provinciales), plus particulièrement dans le contexte des exigences en matière de déclaration, de notification et de tenue de registre aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») et d’autres lois provinciales, voire internationales, similaires.
2. FAIRE APPEL À UN CONSEILLER JURIDIQUE
Pour veiller à ce que les intérêts juridiques de l’entreprise soient bien protégés, il faut recourir à un conseiller juridique externe spécialisé en cybersécurité dès que possible à la suite de la découverte d’un cyberincident. En collaboration avec l’équipe d’intervention, le conseiller juridique externe a un rôle important à jouer dans la mise en œuvre du plan d’intervention et peut contribuer à atténuer les risques de responsabilité civile et de poursuites judiciaires.
En outre, compte tenu du fait que les conseillers juridiques internes font souvent l’objet d’un examen approfondi dans le cadre d’enquêtes à la suite de cyberincidents, surtout s’ils conseillent également l’entreprise sur des questions liées à ses activités, les conseillers juridiques externes peuvent procurer une protection additionnelle aux entreprises qui se révèle bien souvent essentielle dans l’éventualité d’un cyberincident. Par exemple, le conseiller juridique externe peut se prévaloir du privilège du secret professionnel de l’avocat, le cas échéant, pour la plupart des communications avec ses clients.
3. CONTENIR L’ATTEINTE ET ENQUÊTER
À la suite d’une atteinte, l’équipe d’intervention devrait prendre des mesures à la fois pour contenir et éliminer la menace. De telles mesures pourraient comprendre la déconnexion des systèmes et des appareils touchés du réseau ou d’autres appareils afin d’isoler l’atteinte et d’empêcher sa propagation. Dans bien des cas, il pourrait également être primordial de s’assurer de conserver certaines données tout au long du processus, car elles pourraient être nécessaires à des fins d’analyse ou dans le cadre d’une poursuite judiciaire ou d’une enquête par une agence gouvernementale. L’équipe d’intervention doit évaluer les conséquences globales d’un cyberincident sur l’entreprise et non seulement sur ses besoins immédiats.
Une fois l’incident contenu et l’environnement redevenu sécuritaire, la priorité doit être de cerner l’information qui a été compromise (c’est-à-dire les renseignements personnels ou confidentiels détenus par l’entreprise) plutôt que d’identifier la cause à l’origine de l’atteinte. L’équipe d’intervention devrait ensuite mesurer la portée de l’incident (nombre de systèmes touchés, volume des données volées ou compromises, etc.).
À ce stade, le rôle principal de l’équipe d’intervention consiste à collecter et à consigner l’information sur les faits et les mesures prises au moyen de divers outils tels que des évaluations administratives et des entrevues, et ce, tout en coordonnant l’enquête des experts. Ce faisant, l’équipe d’intervention s’assure de catégoriser adéquatement l’incident et de faire en sorte que les mesures appropriées sont prises pour agir efficacement en réponse à l’incident.
4. AVISER LES PERSONNES TOUCHÉES
Une fois que le cyberincident est résolu, et que tous les systèmes touchés fonctionnent normalement, la priorité doit être de déterminer si des exigences prévues par la loi en matière de déclaration ou de notification s’appliquent. Par exemple, aux termes de la LPRPDE, les entreprises doivent aviser les personnes touchées et déclarer au Commissariat à la protection de la vie privée du Canada toute atteinte aux mesures de sécurité si celle-ci vise des renseignements personnels (c’est-à-dire tout renseignement concernant une personne identifiable) et présente un risque de préjudice grave à l’encontre d’une personne. En outre, si l’entreprise est assujettie à toute autre législation ayant une portée extraterritoriale (par exemple, le Règlement général sur la protection des données de l’UE), d’autres exigences en matière de notification pourraient devoir être prises en considération. L’équipe d’intervention en cas d’incident devrait collaborer étroitement avec le conseiller juridique externe pour déterminer, s’il y a lieu, les exigences en matière de notification applicables.
5. SE PRÉPARER POUR LA PROCHAINE FOIS
À la suite de la reprise complète des activités de l’entreprise, cette dernière devrait réfléchir sur la façon dont elle pourrait mieux faire face à une atteinte à la cybersécurité à l’avenir. Par exemple, le fait d’avoir mis en place un plan d’intervention en cas d’incident est possiblement la plus importante mesure qu’une entreprise peut prendre pour se préparer et se protéger contre une atteinte à la cybersécurité. Néanmoins, bon nombre d’entreprises ne se sont pas encore dotées d’un tel plan. Au-delà de son utilité en cas d’atteinte réelle, un plan d’intervention bien réfléchi peut également servir à fournir des preuves aux agences gouvernementales pour démontrer que l’entreprise a pris toutes les mesures raisonnables pour atténuer le risque d’une cyberattaque.
CONCLUSION
La préparation et la rapidité d’exécution sont la clé d’une intervention efficace lors d’un cyberincident. Ainsi, les entreprises doivent continuer de mettre au point et d’améliorer leur niveau de cyberrésilience pour s’adapter aux cybermenaces en constante évolution. Les mesures énoncées dans cet article devraient aider les entreprises à faire face efficacement à une éventuelle atteinte à la cybersécurité. La participation en temps opportun de l’équipe d’intervention et du conseiller juridique externe, de même que la mise en place d’un plan d’intervention solide, permettront d’atténuer les risques auxquels sont exposées les entreprises au lendemain d’une atteinte à la cybersécurité.
SENSIBILISATION À LA CYBERSÉCURITÉ
Cet article, qui s’inscrit dans le cadre du Mois de la sensibilisation à la cybersécurité, est le deuxième d’une série portant sur la façon dont les entreprises peuvent demeurer vigilantes, résilientes et sécuritaires dans ce domaine. Le prochain article de cette série traitera de la vérification diligente en matière de cybersécurité dans le cadre d’opérations de F&A.
Pour en savoir davantage, communiquez avec membre de notre groupe Cybersécurité.