Écrit par Ruth Promislow, Michael Whitt and Noren Howg

Le programme de certification en cybersécurité récemment annoncé par le gouvernement fédéral s’adresse aux petites et moyennes entreprises (PME), mais les grandes organisations devraient également en prendre note.

Toutes les organisations sont sujettes à des cyberattaques, quelle que soit leur taille ou leur secteur d’activité. Bien entendu, la gestion de ces risques est plus difficile pour les PME dont les ressources sont limitées pour mettre en œuvre une approche proactive. 

Le risque de cyberattaque pour les PME est également un risque pour les grandes organisations : les PME fournissent souvent des services aux grandes organisations et exposent ainsi la grande organisation à leurs cyberrisques. L’exemple le plus notoire de cela est l’atteinte à la vie privée de Target où les intrus ont eu accès au système Target par l’intermédiaire du fournisseur de CVC. L’exposition devient plus prononcée lorsque la PME est engagée par la grande organisation pour traiter des renseignements personnels au nom de de l’organisation plus grande. Le manque de sécurité d’une PME devient donc un manque de sécurité pour l’ensemble de l’organisation. 

Le 12 août 2019, le ministre des Finances, Bill Moreau, a annoncé le lancement d’un programme de certification appelé CyberSecure Canada. Cybersécurité Canada est une réponse partielle aux besoins exprimés dans la Stratégie nationale de cybersécurité pour le gouvernement du Canada, qui vise à soutenir les petites et moyennes entreprises en rendant la cybersécurité plus accessible. L’initiative cible les petites et moyennes entreprises, mais toutes les entreprises au Canada sont admissibles au programme de certification, y compris tous les organismes sans but lucratif et à but lucratif.

Pour qu’une entreprise obtienne la certification, elle devra adopter un certain nombre de contrôles de cybersécurité. Ces contrôles comprennent :

1. élaborer un plan d’intervention en cas d’incident;
2. corriger automatiquement les systèmes d’exploitation et les applications;
3. activer les logiciels de sécurité;
4. configurer en toute sécurité les appareils;
5. utiliser une authentification forte de l’utilisateur;
6. offrir une formation de sensibilisation des employés;
7. sauvegarder et chiffrer les données;
8. mobilité sûre;
9. établir des moyens de défense du périmètre de base;
10. des services infonuagiques sécurisés et des services informatiques externalisés;
11. des sites Web sécurisés;  
12. mettre en œuvre le contrôle d’accès et l’autorisation; et
13. sécuriser les supports portables.

Il est également nécessaire de mettre en place des procédures rigoureuses de consentement, de collecte, de conservation et de destruction sécurisée.

Une entreprise qui se conforme à tous ces contrôles, comme le démontre un audit effectué par un organisme accrédité, peut obtenir la certification CyberSécurité et être autorisée à utiliser le logo Cybersécurité Canada. Une fois obtenues, les certifications seront valides pendant deux ans. À l’expiration de la certification d’une organisation, l’organisation devra demander une nouvelle accréditation.

Le fait de se concentrer sur une stratégie de cybersécurité et de travailler à la certification devrait fournir aux entreprises des outils et des cadres essentiels pour aider à atténuer les cyberrisques et à répondre aux cyberincidents. La mise en œuvre de ces contrôles (et l’obtention d’une certification) aident également les organisations à s’acquitter de leurs obligations en vertu de la législation applicable en matière de protection de la vie privée afin de protéger les renseignements personnels qu’elles recueillent. 

Pour les grandes organisations, la certification de leurs fournisseurs / fournisseurs tiers serait probablement utile pour gérer l’exposition juridique à une cyberattaque contre le tiers. Lorsqu’elle traite avec un tiers fournisseur dans le cadre du traitement des renseignements personnels, on s’attend à ce qu’une organisation dispose d’une certaine base pour choisir le tiers et lui confier le traitement des renseignements personnels. Le défaut d’avoir une base pour le faire expose l’ensemble de l’organisation à la responsabilité en cas d’attaque contre la PME impliquant des renseignements personnels qui ont été initialement confiés à l’ensemble de l’organisation. De plus, une grande organisation pourrait également être exposée dans le scénario où elle fournit à un fournisseur tiers l’accès à son système (comme dans le cas de l’atteinte à la sécurité de Target) sans aucune raison d’être convaincue que le tiers a pris les mesures appropriées pour gérer les cyberrisques.

Gérer les risques de cybersécurité implique de regarder au-delà des risques à l’intérieur de vos propres quatre murs. Les défaillances d’un fournisseur tiers peuvent exposer votre organisation à des risques plus tard. Être proactif implique d’examiner toutes les relations contractuelles de votre organisation et d’évaluer où le risque opérationnel peut survenir et ce qui peut être fait pour atténuer ce risque, y compris éventuellement exiger que des fournisseurs tiers obtiennent une certification CyberSecure (ou une autre forme de certification).

Les praticiens de la protection de la vie privée et des données de Bennett Jones sont disponibles pour aider les entreprises qui ont besoin d’aide dans ces domaines. Pour nous contacter, n’hésitez pas à vous connecter avec l’un des avocats énumérés sur notre Privacy & Data Protection page.