À une époque où les menaces numériques sont plus sophistiquées que jamais, la cybersécurité est devenue une préoccupation pressante pour les entreprises familiales. Ces entreprises, qui sont des cibles attrayantes pour les cyberattaques, doivent trouver un équilibre entre les objectifs essentiels de protection et le maintien de l’efficacité opérationnelle.
J’ai récemment reçu ma collègue Suzie Suliman de Bennett Jones comme invitée au balado Beyond Succession. Suzie, qui est avocate en droit des sociétés et de la propriété intellectuelle, aide les clients du cabinet à protéger leurs actifs technologiques. Elle rédige et négocie régulièrement des ententes commerciales liées à la cybersécurité. Voici quelques points forts de notre discussion.
Une entreprise familiale comporte beaucoup d’éléments et de pièces mobiles. Dans quel contexte de cybersécurité ces entreprises évoluent-elles, et quelles sont les principales menaces qui les guettent?
Les cybermenaces se multiplient, particulièrement dans les environnements infonuagiques où résident des données sensibles. Les rançongiciels sont les plus courants, souvent associés au vol de données pour aboutir à une double extorsion. Le piratage psychologique et l’hameçonnage s’intensifient également, appuyés par l’intelligence artificielle (IA). Des courtiers d’accès vendent désormais les vulnérabilités des systèmes sur le marché noir et permettent ainsi de mener des attaques plus ciblées et spécialisées.
Pourquoi les entreprises et bureaux familiaux sont-ils des cibles particulièrement intéressantes pour les cyberpirates?
Les entreprises familiales sont des réseaux interconnectés d’entreprises et de personnes qui offrent de multiples points d’entrée aux auteurs de menaces. Les données personnelles accessibles au public facilitent un piratage psychologique réaliste. Jusqu’à maintenant, ces organisations ont surtout privilégié l’efficacité au détriment de la cybersécurité, ce qui les rend attrayantes pour les pirates à la recherche de cibles qui présentent une valeur intéressante tout en étant relativement peu protégées.
L’une des lacunes les plus courantes que vous observez dans les pratiques en matière de cybersécurité consiste à prioriser l’efficacité au détriment de la cybersécurité. En voyez-vous d’autres?
Oui, de nombreuses organisations donnent la priorité à l’efficacité plutôt qu’à la sécurité, considérant souvent cette dernière comme un fardeau. Parmi les autres lacunes, j’ai noté le manque de formation continue des utilisateurs et une méconnaissance des menaces émergentes. Les risques liés aux tiers augmentent également, car les fournisseurs peuvent introduire des vulnérabilités. Les contrats et processus d’intégration doivent donc comprendre des mesures de cybersécurité et de diligence raisonnable.
Y a-t-il autre chose que les entreprises peuvent faire pour atténuer les facteurs humains et les vulnérabilités?
La formation est la clé. Les entreprises familiales devraient renforcer leurs connaissances par des formations sur la cybersécurité spécifiques à chaque rôle et des simulations d’hameçonnage. Elles peuvent également lier l’hygiène informatique à l’évaluation du rendement et à la rémunération, appliquer des politiques de mots de passe forts, se doter de directives sur l’utilisation des appareils et limiter l’accès aux données. Ces mesures contribuent à réduire la probabilité que des erreurs humaines entraînent des intrusions.
Passons aux conséquences juridiques. Quels sont les principaux risques auxquels les entreprises familiales sont exposées en cas de cyberattaque?
Les entreprises familiales sont confrontées à des pertes financières qu’entraînent le paiement de rançons, la fraude, les coûts de récupération et l’interruption de leurs activités. Les violations de données commerciales ou personnelles sensibles peuvent nuire à la réputation, donner lieu à des enquêtes réglementaires, exiger des notifications de violation de données et même mener à des actions et recours collectifs. La perte de propriété intellectuelle menace également l’avantage concurrentiel à long terme d’une entreprise.
Vous avez mentionné plus tôt dans notre conversation l’importance de s’assurer que les contrats avec les sous-traitants comprennent des mesures de cyberprotection. Comment les négocier? Est-ce devenu une norme dans l’industrie?
Les clauses de protection robuste des données ne sont pas obligatoires au Canada, surtout en dehors du Québec, mais elles constituent une pratique exemplaire. Les contrats devraient exiger le respect des lois sur la protection des renseignements personnels, la déclaration des incidents et des mesures de sécurité; inclure des indemnités, des assurances et des limitations de responsabilité. Les entreprises devraient également revoir les contrats existants, afin de s’assurer du respect de leurs normes par les fournisseurs et du partage de responsabilité en cas d’intrusion.
Existe-t-il d’autres exemples de stratégies qu’une entreprise familiale pourrait adopter pour améliorer sa cybersécurité?
Se concentrer sur l’identification et la protection de ses propres « joyaux de la couronne », c’est-à-dire ses données les plus sensibles. Adapter la sécurité en fonction de la sensibilité des données. Établir des politiques rigoureuses pour les mots de passe, les sauvegardes et l’intervention en cas d’incident. Se doter de lignes directrices claires pour le télétravail, l’utilisation des appareils et l’intelligence artificielle. Des politiques rigoureuses et adaptées au niveau de risque sont la clé de la résilience.
Supposons que le pire se produit et qu’une entreprise est victime d’un incident. Décrivez-moi ce qu’est un plan d’intervention en cas d’incident et la façon dont le plan pourrait répondre à ce type de scénario.
Un plan d’intervention en cas d’incident décrit la façon de gérer les différents types de cyberincidents. Il définit les échelons responsables, les rôles et les protocoles de communication. Il comprend des contacts comme des assureurs et des experts judiciaires. L’objectif est de réagir rapidement, d’atténuer les dommages le plus possible et de respecter les obligations légales. On doit toujours garder une copie physique du plan à portée de main au cas où les systèmes seraient compromis.
Quelles sont les premières questions qu’une entreprise familiale doit se poser lorsqu’elle décide d’améliorer sa cybersécurité? Par où commencer?
Elle devrait commencer par une évaluation des risques et se poser les questions suivantes : Quelles sont nos données les plus critiques? Quelles sont nos plus grandes menaces? Respectons-nous les lois sur la protection des renseignements personnels? Sommes-nous à l’affût des menaces? De quels outils d’atténuation (comme une assurance ou des mesures de protection des fournisseurs) disposons-nous? Puis, elles devraient examiner les incidents passés afin d’en tirer des leçons et d’améliorer leur approche à l’avenir.
Comment la nouvelle génération peut-elle jouer un rôle dans la sensibilisation à la cybersécurité au sein de ses entreprises familiales?
La nouvelle génération peut promouvoir la cybersécurité en tirant parti de sa connaissance approfondie de l’entreprise et de son aisance avec la technologie. Elle peut promouvoir l’investissement dans un budget informatique, l’établissement de politiques rigoureuses et favoriser une culture de la sécurité. Son leadership aidera à faire en sorte que la cybersécurité devienne une priorité stratégique plutôt que seulement technique.
À quels autres défis émergents les entreprises familiales devraient-elles se préparer à affronter dès maintenant?
L’IA accélère la sophistication des menaces et permet des attaques plus rapides et convaincantes. Les courtiers en accès sont de plus en plus actifs et vendent des vulnérabilités à des acteurs malveillants. Parallèlement, les risques pour la réputation sont amplifiés par l’exposition instantanée en ligne. Les entreprises familiales doivent gérer leur présence numérique avec soin et garder une longueur d’avance en intégrant la cybersécurité à tous les aspects de leur stratégie commerciale.
L’épisode complet du balado Beyond Succession sur la cybersécurité et les entreprises familiales est accessible ici (en anglais). Si vous souhaitez discuter de la manière dont les entreprises familiales peuvent se protéger des cyberattaques tout en maintenant leur efficacité opérationnelle, veuillez communiquer avec Leah Tolton.
