Page 27 - CCCA 259155 Magazine_Winter 2016
P. 27
{ ARTICLE DE FOND }
probable qu’une bonne partie du travail pour développer un meilleur 5 ANALYSEZ LES FAILLES
plan de contingence, des politiques et des procédures pour combat- e
tre cette menace soit confée aux départements juridiques. M Burke juge que d’entreprendre une analyse de la cybersécurité
Il est donc temps pour les conseillers internes de rafraîchir leurs et une évaluation des failles est une bonne première étape. Cela im-
connaissances. Voici neuf éléments essentiels à garder en tête alors plique l’embauche d’une frme externe pour revoir les opérations in-
que vous vous engagez dans cette nouvelle aventure. ternes. Une bonne frme de cybersécurité peut vous aider à identifer
rapidement les faiblesses et recommander des moyens de boucher
1 PERSONNE N’EST À L’ABRI les trous, dit-elle.
Gillian Stacey, une avocate chez Davies Ward Phillips & Vineberg dont 6 ATTENTION À LA CHAÎNE D’APPROVISIONNEMENT
le travail touche aux enjeux technologiques, explique que ses clients L’un des maillons les plus faibles d’une organisation est sa chaîne
lui disent constamment qu’ils ne collectent pas les renseignements
relatifs aux cartes de crédit ou autres renseignements personnels de d’approvisionnement. Les pirates informatiques qui ont pénétré dans
le réseau de Target y sont arrivés par l’entremise d’un fournisseur
leurs consommateurs afn de ne pas se soucier de cybersécurité.
Mais « si vous avez des employés, fait-elle remarquer, vous avez des de systèmes de ventilation et de chauffage. Steve Rampado prévient
que même les frmes externes de services juridiques peuvent être
renseignements personnels ». Les cyberrôdeurs convoitent des in-
formations comme des listes de clients, de la propriété intellectuelle vulnérables. Il est donc important que les compagnies obtiennent les
garanties nécessaires des tiers fournisseurs.
et des détails sur de nouveaux produits. Laureen Seeger, avocate
générale chez American Express, a noté dans une récente baladodif- 7 PRÉPAREZ DES PLANS DE CONTINGENCE EN CAS D’INCIDENT
fusion que « tout le monde a des éléments qui ont une certaine valeur
et que vous ne voulez pas que vos concurrents possèdent ». Les failles de sécurité sont inévitables et lorsqu’elles surviennent,
vous avez besoin d’un plan d’action pour vous guider, recommandent
2 COMBATTRE LE CRIME EST UN SPORT D’ÉQUIPE des experts. Qui voudrez-vous avoir dans la pièce? Qui devrez-vous
contacter de l’extérieur? Vous devez aussi tester le plan : faites des
La cybersécurité n’est pas seulement la responsabilité du domaine
des TI ou un élément qui peut simplement être balayé vers le exercices pour vérifer ce qui ne fonctionne pas.
département juridique. C’est un problème pour l’entreprise tout en- 8 LE CONSEIL D’ADMINISTRATION DOIT ÊTRE INFORMÉ
tière. L’avocate Karen Burke, chargée des questions relatives à la vie
privée au sein de BMO Groupe fnancier, indique que « pour nous, la Le risque à la réputation est énorme en cas de cyberattaque. Il est
gestion de la cybersécurité est un sport d’équipe. Vous devez avoir important d’impliquer le conseil d’administration rapidement et de
la bonne perspective et expertise ». Cela signife de bâtir à l’interne fournir des mises à jour régulières quant aux contrôles mis en œuvre
une équipe d’experts composée d’employés issus des secteurs ju- pour gérer l’incident.
ridiques, des RH, de la vie privée et des communications, ainsi que
des conseillers externes à contacter en cas d’incident. 9 ÉDUQUEZ, FORMEZ, ÉDUQUEZ, FORMEZ
3 PRENEZ GARDE AU MAILLON LE PLUS FAIBLE Les experts disent que l’un des moyens les plus simples d’éviter les
problèmes de cybersécurité est un programme de formation obliga-
Steve Rampado, associé au sein de la branche des services pour toire pour les employés. Les gens au sein de l’entreprise – y com-
les risques de l’entreprise chez Deloitte, note que les cybervoleurs pris le conseil d’administration – doivent comprendre la raison pour
ciblent « le plus bas dénominateur commun ». Cela inclut les em- laquelle ils doivent changer leurs mots de passe régulièrement et
ployés qui négligent de contrôler leur mot de passe et qui deviennent suivre des protocoles de sécurité, entre autres. « Vous pouvez avoir
la proie d’expéditions d’hameçonnage. « C’est une joute de patience le meilleur système du monde, mais [son effcacité] dépend entière-
et à très long terme à laquelle s’adonnent ces organisations souter- ment des employés qui l’utilisent », note David Mackenzie. ❚
raines », dit-il, et cela commence avec « le maillon le plus faible ».
4 PRENEZ L’INITIATIVE
L’expert en sécurité Dan Tobok croit que « les TI ne devraient jamais
être responsables de la sécurité », pas plus que le chef des opérations
fnancières. Alors que les directeurs fnanciers sont à l’aise avec les
questions d’argent, « ils ne connaissent rien à la sécurité », dit-il. D’autre
part, le département des TI a bâti le système et peut avoir du mal à voir
ses faiblesses. Les meilleurs secteurs à qui confer ces responsabilités,
selon lui, sont les départements juridiques ou de la conformité.
CANADIAN CORPORATE COUNSEL ASSOCIATION | CCCA-ACCJE.ORG 27
