Sauter la navigation

Les cybercrimes évoluent. Et vous?

3 août 2022
Les attaques par rançongiciel coûtent de plus en plus cher aux organisations canadiennes touchées, et il n’est pas rare que les rançons payées dépassent 1 M$ US.
John Lenz, avocat du groupe Cybersécurité de Blakes
Balado disponible en anglais avec retranscription en français ci-dessous.

Les risques liés à la cybersécurité restent parmi les plus importants auxquels sont exposées les entreprises à l’heure actuelle. Non seulement le nombre de cyberattaques augmente-t-il, mais il semble que celles-ci soient aussi de plus en plus sophistiquées. Dans le dernier épisode de notre balado, Nicole HendersonJohn Lenz et Ellie Marshall nous en disent davantage au sujet des nouvelles tendances relevées dans la plus récente Étude sur les tendances en matière de cybersécurité au Canada de Blakes.

Obtenez une copie de l’Étude pour en savoir davantage, ou consultez nos différentes publications sur la cybersécurité ici.

Retranscription

Jordan : Bonjour, je m’appelle Jordan Virtue.

Nathan : Et je m’appelle Nathan Kanter. Bienvenue à Volume d'affaires de Blakes.

Jordan : Nathan, tout le monde se doute que les chefs d’entreprise sont aux prises avec des préoccupations susceptibles de les garder éveillés la nuit, mais savais-tu que la cybersécurité figure en tête de liste?

Nathan : Je ne suis pas vraiment étonné, Jordan, étant donné le nombre de plus en plus élevé de cyberattaques et la gravité des dommages qu’elles peuvent causer.

Jordan : C’est là que Blakes entre en jeu. Et c’est pour ces raisons que le cabinet a lancé son Étude sur les tendances en matière de cybersécurité au Canada, qui en est maintenant à sa troisième édition. Pour discuter de certaines des plus récentes tendances en matière de cybersécurité, nous sommes accompagnés aujourd’hui de l’avocat de Blakes à Montréal, John Lenz, ainsi que des avocates de Blakes à Toronto, Ellie Marshall et Nicole Henderson.

[musique]

Nathan : John, parlez-nous de certains des faits saillants de la plus récente Étude de Blakes sur les tendances en matière de cybersécurité? Qu’est-ce que les auditeurs devraient savoir?

John : Certaines des principales tendances cernées l’an dernier se sont poursuivies pendant la nouvelle période visée par l’Étude. Encore une fois, des cyberattaques se sont produites d’un océan à l’autre du pays. Et elles ont touché des organisations de toutes tailles, sans égards aux secteurs d’activité.

Certaines choses diffèrent par rapport à l’an dernier, toutefois. Nous avons par exemple constaté que les stratagèmes utilisés par les nombreux groupes de cyberattaquants ont grandement évolué. De nouvelles variantes de rançongiciels sont apparues, et certaines étaient des ramifications de filons déjà exploités par des groupes bien connus. Nous avons également noté que les renseignements sensibles des organisations sont des cibles prisées, y compris les renseignements personnels. En fait, dans environ 70 % des attaques que nous avons étudiées cette année, les cyberattaquants ont pu accéder à de l’information sensible, ce qui représente une augmentation notable par rapport aux données de l’an dernier.

Nathan : D’ailleurs, dans l’Étude de l’an dernier, les attaques par rançongiciel avaient été décrites comme étant la forme de cybermenace la plus courante pour les organisations. Est-ce encore le cas aujourd’hui?

John : Oui, les attaques par rançongiciel demeurent le principal type de cyberincident observé, représentant plus de la moitié des attaques que nous avons étudiées. Non seulement ces attaques sont-elles très fréquentes, mais elles coûtent aussi de plus en plus cher aux organisations canadiennes touchées, et il n’est pas rare que les rançons payées dépassent 1 M $ US.

Une des tendances susceptibles d’expliquer le nombre accru d’attaques par rançongiciel est la capacité des groupes de cyberattaquants de tirer parti des failles de sécurité dans la chaîne d’approvisionnement des organisations ou dans les outils de tiers que les organisations ciblées utilisent. En fait, environ un tiers des incidents que nous avons examinés découlaient d’une vulnérabilité logicielle.

Par exemple, cela peut se produire lorsqu’une organisation n’a pas procédé à la dernière mise à jour logicielle. Un cybercriminel peut alors tirer parti d’une vulnérabilité connue dans l’ancienne version et mener son attaque en accédant au réseau de l’organisation.

Jordan : Ellie, il est question dans l’Étude des obligations de signalement des atteintes à la vie privée et de la façon dont la réforme du droit à la protection de la vie privée au Canada est en train de transformer le paysage. Comment ces changements toucheront-ils les entreprises?

Ellie : Les lois canadiennes sur la protection de la vie privée et des données, qui sont un peu disparates, font en effet actuellement l’objet de nombreuses réformes en réponse aux menaces croissantes qui pèsent sur les renseignements personnels.

En juin, le gouvernement fédéral a présenté le projet de loi C-27. S’il est adopté, le projet de loi abrogera certaines parties de la loi fédérale régissant la protection des renseignements personnels dans le secteur privé, la LPRPDE, qui réglemente notamment le traitement des renseignements personnels, et promulguera une nouvelle Loi sur la protection de la vie privée des consommateurs, ou LPVPC. Dans sa forme actuelle, la LPVPC inclurait les mêmes obligations de signalement des atteintes à la vie privée que celles actuellement prévues dans la LPRPDE. En cas d’atteinte aux mesures de sécurité, les fournisseurs de services seraient toutefois tenus d’aviser l’organisation qui contrôle les renseignements personnels qu’ils traitent dès que possible.

Cette nouvelle loi élargirait par ailleurs les pouvoirs d’application de la loi du commissaire à la protection de la vie privée et augmenterait considérablement les amendes en cas d’infractions.

Jordan : Qu’en est-il des opérations de F&A? Quels sont les effets des cyberincidents sur ce type d’opération?

Ellie : Nous avons notamment observé une hausse évidente du nombre de vérifications diligentes réalisées en matière de cybersécurité dans le cadre des opérations de F&A. Le fait que la plupart des organisations dépendent maintenant fortement de leurs actifs numériques pour exploiter et fournir des biens et des services à leurs clients peut entre autres expliquer cette hausse.

Réaliser au moins une vérification diligente juridique devrait suffire à donner une bonne idée des actifs technologiques visés par une opération. L’acquéreur devrait examiner de près les mesures de cybersécurité mises en place par la société cible afin de s’assurer que cette dernière teste ou vérifie ces mesures de temps à autre et que celle-ci est suffisamment assurée contre les cyberrisques pour couvrir les dommages éventuellement causés par une atteinte.

Le processus de vérification diligente devrait par ailleurs permettre de déterminer quelles lois sur la protection des données s’appliquent et d’évaluer si les polices d’assurance sont conformes à ces lois.

Nathan :  Nicole, d’après les tendances observées par votre équipe, il semble que les actions collectives en matière de protection de la vie privée liées à la cybersécurité franchissent rarement l’étape de l’autorisation. Les entreprises devraient-elles être préoccupées par cette tendance?

Nicole : Bien sûr, nous sommes très heureux que les tribunaux examinent en profondeur les demandes d’autorisation d’actions collectives en matière de protection de la vie privée et, selon moi, les avocats des demandeurs continuent malgré cela de voir les actions collectives comme un moyen viable de traiter des affaires liées à des atteintes à la vie privée, d’où le nombre assez élevé de nouvelles affaires en cours. Il y a par ailleurs lieu de noter que certains règlements accordés ont été plutôt considérables.

Dans l’Étude sur la cybersécurité, nous mentionnons le fait que la plupart des règlements d’actions collectives dans le domaine de la protection de la vie privée se sont révélés peu élevés par personne, et c’est tout à fait vrai. Mais si une organisation a été victime d’une atteinte et que des dizaines de milliers de personnes ont été touchées, la somme peut rapidement devenir exorbitante. Ce point n’est certainement pas à négliger. Je pense que nous devrions notamment surveiller l’affaire entourant la cyberattaque subie par Equifax en Ontario, qui fait l’objet d’appels devant les tribunaux. L’issue de cette affaire sera déterminante pour connaître la portée du délit d’« intrusion dans l’intimité » et savoir si ce dernier peut s’appliquer dans le cas d’une cyberattaque commise par un tiers.

Nathan : Il y a aussi de bonnes nouvelles, puisque plus tôt cette année un pirate informatique s’est vu infliger une peine de prison pour avoir orchestré des attaques par rançongiciel à grande échelle. Pourrions-nous voir d’autres jugements similaires?

Nicole : Seul l’avenir nous le dira, mais je suppose que oui. L’une des raisons pour lesquelles j’ai pensé qu’il était intéressant d’en parler est que les organisations qui ont fait l’objet d’une cyberattaque nous demandent souvent si elles sont tenues de signaler l’incident en vertu des lois. Leur décision semble toujours reposer entre autres sur la question de savoir si la police ou d’autres autorités pourront réellement faire quelque chose dans les circonstances.

Bien entendu, il faut être réaliste. Bon nombre de cybercriminels mènent leurs attaques depuis des pays étrangers, où les autorités ne vont pas nécessairement collaborer avec la GRC ou le FBI. Or, au bout du compte, ce qu’il est important de retenir selon moi est que les organismes d’application de la loi accordent une attention accrue à la cybercriminalité et que les tribunaux prennent au sérieux ce type de crime, en infligeant de vraies sanctions. C’est donc encourageant, et je pense que nous espérons tous que les choses continueront sur cette voie.

[musique]

Jordan : Merci, Nicole, John et Ellie. Nous savons à quel point notre Étude sur les tendances en matière de cybersécurité exige beaucoup de travail, et vos connaissances sont inestimables.

Nathan : Les auditeurs qui souhaitent obtenir de plus amples renseignements sur notre groupe Cybersecurité, et notre balado, peuvent visiter notre site Web à l’adresse blakes.com.

Jordan : D’ici à la prochaine fois, faites attention à vous... dans le monde réel et en ligne.

À propos du balado Volume d’affaires de Blakes

Notre balado Volume d’affaires (anciennement Continuité) se penche sur les répercussions que peut avoir l’évolution du cadre juridique canadien sur les entreprises, et ce, dans notre réalité « post-COVID-19 » et dans l’avenir. Des avocates et avocats de tous nos bureaux discutent des défis, des risques, des occasions, des développements juridiques et des politiques gouvernementales dont vous devriez avoir connaissance. Nous abordons par ailleurs divers sujets qui vous importent et qui sont liés à la responsabilité sociale, comme la diversité et l’inclusion.

Si vous souhaitez en entendre davantage sur un sujet en particulier, adressez-vous à notre équipe Communications à [email protected].

Pas le temps d’écouter maintenant? Pas de problème.

Suivez Volume d’affaires sur votre plateforme favorite et écoutez-nous quand bon vous semble.

Plus de ressources