Lundi 30 Mai 2022

Publication générale

Les cyberattaques dans le monde des affaires

Nous entendons régulièrement parler de cyberattaque, de fraude d'informations et de piratage. Ces intrusions peuvent prendre plusieurs formes. À titre d’exemple, dans le cadre d’une cyberattaque, il est possible de perdre l’accès à son réseau informatique, de perdre certaines données ou encore de perdre la confidentialité de ces données. Dans tous les cas, il s’agit d’une situation très angoissante que tous souhaitent éviter à tout prix puisque les répercussions peuvent être graves.

Cela est d’autant plus vrai pour les entreprises qui non seulement doivent préserver leurs données commerciales et leurs secrets commerciaux, mais aussi les informations relatives à leurs employés et à leurs clients.

Comment prévenir une cyberattaque?

En tant qu’entreprise, vous avez l’obligation de prendre les moyens raisonnables afin de maintenir un réseau informatique sécuritaire pour protéger, notamment, les informations de vos clients et celles de vos employés. Il s’agit d’une obligation générale de moyens qui incombe à toutes les entreprises.

En plus de cette obligation générale qui régit les entreprises, certains professionnels se voient imposer une obligation de confidentialité supplémentaire par leur ordre déontologique. Pensons, entre autres, aux avocats!

Également, en plus de l’obligation générale précédemment mentionnée et de celle pouvant découler d’obligations déontologiques, il est possible de prévoir contractuellement d’un niveau de sécurité informatique particulier ou de moyens de protections précis.

Ainsi, selon l’envergure de l’obligation de sécurité qui vous incombe, comment vous assurer de la respecter? Il existe plusieurs moyens de prévenir les cyberattaques bien qu’aucun ne soit infaillible. De ce fait, il est préférable de consulter un professionnel informatique pour vous guider dans le choix des mesures à mettre en place, en plus de confirmer auprès d’avocats et auprès de vos assureurs que ces mesures respectent les différentes obligations propres à votre entreprise et à votre situation en regard des différentes lois en la matière.

Voici néanmoins quelques bonnes habitudes que vous pouvez, dès à présent, mettre en place au sein de votre entreprise :

  • Changer fréquemment les différents mots de passe utilisés à l’interne;
  • Maintenir une gestion stricte et sévère de l’utilisation des mots de passe par vos employés (ex : interdiction de donner son mot de passe à ses collègues sous peine de sanction);
  • Mandater une firme externe pour surveiller votre parc informatique;
  • Utiliser des antivirus;
  • Effectuer une sauvegarde complète de votre réseau de manière régulière (ex : aux heures).

Sachez qu’une entreprise qui n’agirait pas de manière diligente relativement à sa sécurité informatique pourrait encourir sa responsabilité civile.

À titre d’exemple, une entreprise qui ne corrigerait pas un défaut de sécurité après en avoir appris l’existence, ou une entreprise qui n’aurait aucun système de sécurité informatique, ou encore qui aurait un système de sécurité inadéquat vu l’ampleur de l’entreprise, pourrait se voir tenue responsable de dommages causés à ses clients ou à ses employés.

C’est pourquoi il est important de s’entourer de personnes compétentes en matière informatique et de constamment se tenir informé sur les meilleures technologies et ressources disponibles pour assurer la sécurité informatique de votre entreprise.

Comment gérer une cyberattaque?

Vous êtes propriétaire d’une entreprise et vous recevez, par un beau samedi soir, une demande de rançon d’une entité alléguant s’être introduite dans votre système informatique. Cette entité menace d’utiliser vos données confidentielles ou encore vous bloque l’accès à votre système informatique. Que faire?!

Tout d’abord, l’important dans une pareille situation est d’agir de manière raisonnable et diligente selon les circonstances.

Il est important de rapidement contacter vos experts informatiques internes, ou encore de recourir à une firme externe spécialisée, afin de mettre fin à l’attaque, si possible, et afin de tenter de minimiser les répercussions. Également, il est important d’obtenir un compte rendu détaillé de l’étendue de la situation afin d’être en mesure de prendre les actions appropriées auprès de vos clients et de vos employés.

Également, il serait judicieux de rapidement contacter vos assurances afin de vérifier avec eux si, dans une telle situation, les frais légaux que vous pourriez engager et/ou les pertes que vous pourriez subir sont couverts.

Relativement à la signalisation d’une fraude informatique, il faut savoir qu’en vertu des lois présentement applicables au Québec, il n’existe aucune obligation stricte d’informer vos clients ou vos employés d’une cyberattaque. Cependant, si les en informer permet de réduire les dommages que la cyberattaque pourrait occasionner, il serait alors judicieux de le faire. Par exemple, avertir vos clients pourrait leur permettre de prendre sans délai des mesures supplémentaires afin de protéger leurs données personnelles, réduisant ainsi le risque que celles-ci soient utilisées à mauvais escient.

Il est important de savoir que le projet de loi no 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) adopté en septembre 2021 vient modifier, entre autres, la Loi sur la protection des renseignements personnels dans le secteur privé. Ce projet de loi prévoit notamment que de nouvelles obligations incomberont sous peu aux entreprises, dont l’obligation de tenir un registre des incidents de confidentialité, de même que l’obligation d’avoir, au sein de l’entreprise, une personne désignée responsable de la protection des renseignements personnels.

La meilleure façon de protéger votre entreprise contre des cyberattaques restera toujours la prévention, d’où l’importance de consulter des spécialistes en la matière.

Me Chanel Alepin

Avec la collaboration de Me Amélie Bourget

Alepin Gauthier Avocats Inc.

Cette chronique contient de l'information juridique d'ordre général et ne devrait pas remplacer un conseil juridique auprès d'un avocat ou d’un notaire qui tiendra compte des particularités de votre situation.