Teona : Bonjour, je m’appelle Teona Climie; bienvenue à cet épisode du balado Volume d’affaires de Blakes.
Aujourd’hui, nous explorerons le paysage de la cybersécurité en constante évolution. Nous avons beaucoup à discuter, notamment sur les petites et moyennes entreprises de plus en plus ciblées, les développements réglementaires, les progrès réalisés dans les litiges en matière de cybersécurité et l’utilisation de l’intelligence artificielle à des fins de cybercriminalité.
Sunny Handa, Liliane Langevin, Christopher DiMatteo et Cathy Beagan Flood, avocats de notre groupe de Cybersécurité chez Blakes, se joignent à nous pour donner leur avis sur ces sujets.
Commençons…
[musique]
Teona : Sunny, nous en sommes à la cinquième édition de l’Étude de Blakes sur les tendances en matière de cybersécurité au Canada. Pouvez-vous nous parler de certains des changements les plus importants que vous avez observés en 2020?
Sunny : Bien sûr. Pour commencer, permettez-moi de souligner quelques points importants. Tout d’abord, les petites et moyennes entreprises sont de plus en plus nombreuses à être touchées. Quant aux grandes entreprises, elles ont pris conscience du risque de cyberattaques et ont donné à leurs organisations les moyens de les prévenir. Les petites et moyennes entreprises, de leur côté, doivent également prévoir un budget pour affronter ces risques et cela peut s’avérer un peu plus difficile pour elles. Il ne faut pas oublier que les cyberattaquants vont en quelque sorte à la pêche, c’est-à-dire qu’ils jettent à l’eau le filet, puis en remontent le contenu à la surface. Conclusion : il est maintenant plus difficile de cibler les grandes organisations, et plus facile de viser celles qui sont petites et moyennes. C’est pourquoi les attaques sont plus fréquentes à ce niveau.
Nous avons aussi remarqué que les législateurs, les organismes de réglementation et les associations du secteur ont tous, une fois de plus, pris conscience de la réalité des cyberattaques. Ils imposent donc des lignes directrices ou, dans certains cas, des exigences et des obligations aux entreprises qui sont régies par les lois ou les règlements, ou qui sont membres d’une association du secteur.
Enfin, nous constatons que de plus en plus d’entreprises subissent des cyberattaques pendant un processus de vente à une autre entreprise ou à une autre organisation, et qu’elles doivent révéler qu’elles ont été touchées par une cyberattaque, ce qui pose parfois quelques problèmes au cours de l’opération elle-même. Voilà donc quelques-uns des changements que nous avons remarqués au cours de la dernière années.
Teona : Les paiements de rançon ont-ils changé?
Sunny : Les rançons continuent d’ailleurs d’être payées. On me pose souvent la question de savoir à quelle fréquence quelqu’un paie. La réponse, statistiquement du moins, est que les chiffres n’ont pas beaucoup changé. Ils se situent toujours autour de 50 %; ils ont un peu baissé, mais le nombre de personnes qui paient une rançon est toujours plus ou moins 50 %. Le changement s’est probablement produit sur le plan quantitatif. Étant donné que les petites et moyennes entreprises sont plus souvent visées, le montant de la rançon est moins élevé, en comparaison avec les rançons importantes que l’on voyait fréquemment il y a quelques années : 10 M$, 15 M$ ou 35 M$ américains.
Les rançons demandées sont désormais beaucoup moins élevées, car les entreprises n’ont tout simplement pas les moyens de payer des sommes plus importantes, et les cyberattaquants ont tendance à demander une rançon aux entreprises en fonction d’un pourcentage de leurs revenus. Il arrive souvent qu’un cyberattaquant ne dispose pas d’information exacte, mais il utilise tout ce qu’il peut. Il consulte ZoomInfo ou un autre site Web pour recueillir de l’information et prétendre avoir des données exactes. Il prend un pourcentage des chiffres recueillis, ce qui constitue le montant de la rançon.
Je pense que ces chiffres ont baissé, mais le nombre de personnes qui paient encore semble toujours se situer autour de 50 %.
Teona : Liliane, j’ai cru comprendre qu’il y avait eu de nouveaux développements relatifs à la déclaration obligatoire des atteintes. Pouvez-vous nous donner un aperçu de la situation, y compris d’autres mises à jour réglementaires, s’il y a lieu?
Liliane : Au cours des dernières années, les exigences en matière de déclaration des atteintes à la protection de la vie privée qui régissent les secteurs public et privé sont devenues plus courantes. Cet élargissement s’accompagne de nouvelles obligations et normes sectorielles liées à la protection des données et à la préparation aux cyberincidents. On le constate notamment dans le secteur des services financiers. Les organismes de réglementation financière, comme le Bureau du surintendant des institutions financières, exigent des rapports dans les 24 heures et des mises à jour régulières. Les courtiers doivent eux aussi présenter un rapport initial à l’Organisme canadien de réglementation des investissements dans un délai de trois jours et un rapport final dans les trente jours.
Les entreprises doivent aussi savoir que la nouvelle Loi sur les activités associées aux paiements de détail exigera que les fournisseurs de services de paiement (« FSP ») enregistrés signalent sans délai à la Banque du Canada les incidents ayant des répercussions importantes. Des lignes directrices récentes ont précisé que « sans délai » s’entend d’au plus tard dans les 24 heures. Cette loi imposera également aux FSP l’obligation de mettre en place un cadre de gestion des risques et d’intervention en cas d’incident comportant les exigences détaillées du plan d’intervention en cas d’incident d’un FSP énoncé dans la réglementation. Ces exigences entreront en vigueur en septembre 2025.
Ce rôle accru de surveillance des organismes de réglementation du secteur financier, comme la Banque du Canada, et l’élargissement des exigences en matière de déclaration démontrent l’importance de la cybersécurité pour la stabilité du système financier.
Teona : Quelles mesures les entreprises mettent-elles en place pour se protéger contre les cybermenaces?
Liliane : À l’heure actuelle, la plupart des entreprises ont déjà mis en place des mesures de protection techniques pour renforcer leur protection contre les cybermenaces. Cependant, il leur faut un plus large éventail de politiques et de procédures pour accroître leur niveau de cybersécurité.
Voici trois mesures clés que nous avons observées au cours de la dernière année.
Tout d’abord, les entreprises élaborent des plans d’intervention en cas d’incident pour s’assurer qu’elles disposent d’une procédure en cas de cyberincidents. Il est important que ces plans ne se limitent pas aux éléments techniques de l’intervention en cas d’incident, mais qu’ils tiennent également compte d’une plus grande variété de risques. Par exemple, une stratégie de communication complète pour l’intervention en cas d’incident est essentielle pour atténuer les risques juridiques et réputationnels. On recommande également de mettre en place des mesures dès le début d’un processus d’intervention en cas d’incident pour protéger le privilège juridique et de former le personnel sur les procédures de conservation appropriées. Le manque de compréhension de la cybersécurité ou les conflits d’intérêts au sein du conseil d’administration peuvent constituer des obstacles au cours d’un processus d’intervention en cas d’incident lorsque chaque minute compte.
Ensuite, il est important que les entreprises mettent en pratique leur processus d’intervention en cas d’incident. Pour ce faire, elles procèdent généralement à des exercices sur table guidés pour évaluer de façon réaliste leur état de préparation aux incidents, cerner les points à améliorer et éliminer le manque de communication.
Enfin, on recommande d’inclure dans toutes les ententes conclues avec des fournisseurs tiers des obligations explicites en matière de notification des atteintes à la sécurité et des exigences de protection des données relativement au chiffrement et à la conservation des documents.
Le vaste éventail de ces mesures démontre qu’une approche de cybersécurité à l’échelle de l’entreprise est nécessaire pour répondre à la nature sophistiquée des cyberattaques.
Teona : Chris, la parole est à vous. Y a-t-il de nouvelles tendances dans les litiges en matière de cybersécurité?
Chris : Comme par les années passées, les demandeurs ont encore du mal à faire autoriser des actions collectives en matière de protection de la vie privée, et on s’attend à ce que cette tendance se poursuive dans la mesure où les tribunaux continuent de clarifier et de restreindre la portée du délit d’intrusion dans l’intimité, soit un délit d’atteinte à la voie privée sur lequel les demandeurs se fondent.
Par conséquent, les tribunaux ontariens ont déclaré qu’une entreprise victime d’une atteinte à la protection des données ne peut être tenue responsable d’un délit d’intrusion dans l’intimité. La victime d’une telle atteinte n’est pas un intrus, et le délit n’est donc pas adapté à ce scénario. En revanche, une entreprise victime d’une atteinte à la protection des données peut être tenue responsable pour d’autres motifs. En réponse à ces développements sur la portée du délit d’intrusion dans l’intimité, on constate donc que les demandeurs se fondent davantage sur des allégations de négligence et de violation du devoir fiduciaire de l’entrepreneur.
Les tribunaux de la Colombie-Britannique adoptent une approche différente. Ils n’ont pas encore reconnu le délit d’intrusion dans l’intimité, mais la Colombie-Britannique dispose d’un délit pour les atteintes à la vie privée. Les tribunaux de la Colombie-Britannique ont donc laissé la porte ouverte à des réclamations contre des entreprises qui sont victimes d’une atteinte à la protection des données, y compris en vertu de leur responsabilité délictuelle, même si l’entreprise n’a commis aucun acte répréhensible intentionnel.
Dans une autre décision rendue en Colombie-Britannique cette année, la Cour d’appel de la Colombie-Britannique a laissé en suspens la question de savoir si, en plus du délit d’atteinte à la vie privée, le délit de l’intrusion dans l’intimité existe en Colombie-Britannique. Le droit de la protection de la vie privée en Colombie-Britannique continue donc d’évoluer.
Outre les cas d’atteinte à la protection des données, nous continuons d’observer d’autres types de réclamations fondées sur la protection de la vie privée, y compris des actions collectives en Ontario et partout au pays. Par exemple, les allégations concernant la collecte ou l’utilisation non autorisée de données ne sont pas touchées par ces développements en matière de droit des atteintes à la protection des données. Or, ces types de réclamations continuent d’être présentées dans tout le pays.
Teona : Qu’en est-il du secret professionnel? Y a-t-il eu des changements à la suite de la décision dans l’affaire LifeLabs contre le Commissaire à l’information et à la protection de la vie privée de l’Ontario? [LifeLabs LP v. Information and Privacy Commissioner of Ontario (IPC) (en anglais)]
Chris : En effet, le maintien du secret professionnel dans le cadre d’une intervention en cas de cyberincident est toujours une préoccupation très importante pour les clients. En fin de compte, je ne pense pas que l’affaire LifeLabs ait changé quoi que ce soit, mais c’est un bon rappel de ce que le secret professionnel de l’avocat ou le privilège relatif au litige couvrent et ne couvrent pas.
Dans l’affaire LifeLabs, l’entreprise a invoqué le privilège à l’égard de différentes catégories d’information concernant son intervention en cas d’incident, et le tribunal a finalement rejeté la revendication de privilège. L’entreprise a donc revendiqué le privilège sur des éléments comme les lignes de code utilisées par les cyberattaquants pour pénétrer dans le système ou les courriels échangés avec le cyberattaquant lors de la négociation de rançon, les politiques informatiques et les renseignements obtenus lors d’un entretien avec un employé au sujet des mesures de sécurité des données. Or, le problème de la revendication de privilège, c’est que l’entreprise tentait de revendiquer le privilège sur des faits qui étaient obtenus à partir de sources non privilégiées et qui ont ensuite été mentionnés dans des rapports privilégiés. Dans cette situation, le tribunal a déclaré que les faits eux-mêmes n’étaient pas privilégiés. Le rapport supplémentaire qui aborde ces faits ou la communication du conseiller juridique qui traite de ces faits pourrait être privilégié, ou l’est, mais les faits eux-mêmes ne le sont pas.
En fin de compte, je ne pense pas que l’affaire LifeLabs apporte quelque chose de nouveau, mais il nous rappelle les limites du privilège et nous rappelle que les faits ne deviennent pas privilégiés parce qu’ils sont inclus dans une communication ou un rapport privilégié.
Teona : Et finalement, le sujet dont tout le monde parle : l’intelligence artificielle. L’IA a sans aucun doute une incidence défavorable sur la cybersécurité. Cathy, pouvez-vous nous en dire plus sur les répercussions que l’IA peut avoir sur les organisations?
Cathy : Merci, Teona. Malheureusement, les mêmes outils d’IA qui augmentent la productivité de nos clients augmentent également la productivité des cybercriminels. L’IA permet aux cybercriminels de convaincre et de persuader plus facilement les personnes de leur donner accès à des systèmes et d’escroquer les gens.
Auparavant, un grand nombre de courriels d’hameçonnage étaient faciles à repérer parce que les formulations ou le ton utilisé n’étaient pas ceux auxquels on aurait pu s’attendre d’une entreprise ou de la personne que les cybercriminels usurpaient. De plus en plus, ce n’est plus le cas. Les cybercriminels utilisent plutôt des systèmes d’IA comme ChatGPT pour rédiger un texte qui semble authentique, qui est plus difficile à détecter et qui est beaucoup plus susceptible de tromper le destinataire en lui faisant croire qu’il fait affaire avec l’entreprise ou la personne légitime qui lui demande de cliquer sur un lien ou d’ouvrir une pièce jointe qui donne ensuite aux cyberattaquants l’accès à leurs systèmes.
De plus, nous observons également l’utilisation de l’hypertrucage à des fins de cybercriminalité. Le cas récent de la multinationale hongkongaise, qui s’est fait duper et a remis 25 M$ US à un cybercriminel, est un exemple effrayant à ne pas suivre. Un employé du service des finances croyait avoir discuté avec le chef des finances de l’entreprise lors de plusieurs vidéoconférences et avoir reçu l’ordre d’effectuer le paiement en question. En fait, les appels vidéo étaient truqués et se déroulaient avec le criminel et non avec le chef des finances, mais ils étaient si convaincants que l’employé a cru qu’il parlait à son chef des finances et a effectué le paiement.
Teona : Quelle est l’incidence favorable de l’IA et de la cybersécurité?
Cathy : Heureusement, les bonnes personnes ont également accès à de nouveaux outils d’IA et, en particulier, l’IA aide les entreprises de cybersécurité à surveiller le nombre très élevé d’alertes reçues par les entreprises lorsque des intrus tentent d’accéder à leurs systèmes.
Quiconque occupe un poste lié à la sécurité de l’information sait que le nombre d’alertes peut parfois être difficile à gérer. L’un des grands avantages de l’IA, c’est qu’elle permet de surveiller ces alertes et ces systèmes pour déceler les comportements inhabituels qui auraient ne pas être détectés par le service de sécurité de l’information et en l’absence de cet outil externe.
[musique]
Teona : Sunny, Liliane, Chris et Cathy, merci de votre connaissance du monde des défis en matière de cybersécurité et des pratiques exemplaires pour les entreprises.
J’invite les auditeurs qui souhaitent en savoir davantage sur ce sujet et notre balado à visiter notre site Web, blakes.com.
D’ici la prochaine fois, prenez soin de vous.
