Écrit par Ruth E. Promislow

Quels sont les nouveaux modèles et les nouveaux risques pour la cybersécurité au Canada, aux États-Unis, dans l’Union européenne et en Australie? Un groupe d’experts mondial a partagé ses points de vue et ses prédictions lors de la 64e conférence du Pacific Rim Advisory Council (PRAC) de la semaine dernière à Calgary.

Voici leurs idées clés:

Modèles

• Les entreprises doivent prendre des mesures pour comprendre l’hygiène de cybersécurité de leur fournisseur et inclure dans leurs accords des conditions contractuelles qui exigent que le fournisseur respecte une norme particulière, permettent à l’entreprise de vérifier la conformité à cette norme et exigent une notification par le tiers d’une violation des garanties. D’autres modalités contractuelles devraient également indiquer quelle partie assumera les coûts associés à une cyberattaque.
• Les contrats de service cloud, qui sont généralement proposés sur une base à prendre ou à laisser, écrémentent généralement la responsabilité du fournisseur de cloud en relation avec une cyberattaque. Par conséquent, les entreprises doivent s’assurer qu’elles ont mis en place d’autres protections en relation avec une attaque potentielle contre le fournisseur de cloud, ainsi que des dispositions du contrat cloud qui permettent de surveiller les performances du fournisseur de cloud selon les normes de sécurité énoncées.

Risques

• La gestion des risques au sein d’une organisation doit être pilotée par l’entreprise en collaboration avec l’informatique. L’inclusion du personnel informatique dans la négociation des contrats peut être importante dans le contexte, par exemple, des accords de fournisseurs de services cloud.
• L’élément humain demeure la plus grande faiblesse de la cybersécurité. Tout le monde dans une entreprise a besoin d’être formé sur la gravité de la menace et ce qu’il faut rechercher dans leur communication quotidienne. Les dirigeants doivent aligner l’ensemble de l’organisation pour travailler ensemble.

Regard vers l’avenir

• Réglementation : Le Règlement général sur la protection des données (RGPD) de l’UE est entré en vigueur en mai 2018 et a un effet extraterritorial. D’autres juridictions dans le monde suivent les étapes de la mise en œuvre de régimes législatifs plus agressifs pour obliger le respect de la protection des données personnelles.
• Pots de miel: Il s’agit d’un outil de détection de plus en plus populaire dans la défense de la cybersécurité. Les pots de miel sont des leurres sur le système d’une entreprise qui sont destinés à attirer les pirates. Leur sécurité est plus faible et lorsqu’un pirate informatique entre dans un pot de miel, l’entreprise peut en apprendre davantage sur les tactiques de l’attaque, puis utiliser ces informations pour détourner les futures.

Bennett Jones a été l’hôte de la conférence PRAC à Calgary, la première fois que l’événement a eu lieu en Alberta. J’ai animé le panel sur les entreprises risquées: gérer la cybersécurité en tant que menace et pratique et les membres du panel étaient:

• Robert Beggs, chef de la direction, DigitalDefence, Waterloo
• Bruce Johnson, associé, Davis Wright Tremaine, Seattle/Los Angeles
• Ross Perrett, associé, Clayton Utz, Brisbane
• Jaap Stoop, associé, NautaDutilh, Amsterdam  

Télécharger le PDF